IPAの言うセキュリティ対策の基本を見ていきましょう! ラスト
皆様、こんにちは!
株式会社カチカのリモート&コールドバックアップ業務担当の村島です!
冬場の天気は、太平洋側は乾燥、日本海側は雨や雪が多く雷も頻繁に鳴るという気候なのはよく知られていますね。
では、リモート&コールドバックアップ業務の拠点である京都の気候はどうだと思われますか?
太平洋側の都市とも日本海側の都市とも言えませんよね。
ズバリそのとおりの気候でして、短いインターバルで晴れたり冷たい雨や雪が降ったりの繰り返しというのがいかにも京都の冬らしい天気なんです。
でもまあ、雪が積もったりすることなんてのは滅多にないので、観光の際にも傘を用意される必要まではまあないと思います。
では、今日もレッツスタディセキュリティ!なのです。
例の資料を見ていきましょう。
今回で最後にしたいと思うんですが、この↓資料を見ていきましょう。
https://www.ipa.go.jp/security/10threats/nq6ept000000g23w-att/kihontokyoutsuu_2024.pdf
(以降、特に注記なき場合同資料からの引用とします)
それで、この資料の中でもこの↓ページを見てきたのでした。
それでこのページの残すところというと最後の項目だけになりますね。
⚫ PCやスマートフォンを使う個人の対策
・大切なデータは別の媒体にも保存しておく
普段使用するPCやスマートフォン とは別の端末や外付けハードディスク、 SDカード等にデータを保存する。
使わない時は保存した媒体と、普段使用するPCやスマートフォンと は接続せずに保管する。
うん…まあこれは、お読みいただいた内容のままですね。
要は情報セキュリティの強化・向上のためには、バックアップを取って、それをオフラインバックアップ(コールドバックアップ)として保存しておきなさいよ、というだけの話です。
まあ、このときにもバックアップの3-2-1ルールとかもっと踏み込んでバックアップの3-2-1-1-0ルールとかを守れればより良いんでしょうね。どのキャリアもユーザー向けにクラウドバックアップの容量をいくらか用意しているはずですので、そういうものも含めればハイブリッドバックアップも実現できることになりますが。
「スマートフォンがランサムウェアにやられることってあるのかな?」と思いまして検索しましたらあるんですね。最近はむしろ増えているそうです。
公的機関ではないみたいですがCyber Security.comというサイトが注意喚起していました。
私は旧弊な人間ですからどうしてもスマートフォンを軽く見がちというか、PCと比べたらスマートフォンは銀行の窓口とATMぐらいの違いはあるんじゃないかというような考え方に陥ってしまいがちなんですが、もう立派なコンピュータの一種なんですね。コンピュータに忍び寄る脅威というのはスマートフォンにも間違いなく忍び寄るものなんだよということは認識しておいた方がいいかもしれません。
持ち歩くものなだけに、スマートフォンは災害にも遭いがちと言えるかも知れません。例えば、トイレの水溜に落とした。これだって、コンピュータ1台が水没したという紛れもないディザスターだと思うんですね。リカバリーつまりディザスタリカバリ(DR)の必要発生です。
社用スマホなら事業継続計画(BCP)に載せておくべき事項だと思いますし、個人用でも「バックアップを取っておくんだった!」とかなり焦る自体だと思います。
確認しましたが、スマホに関しては「システムごと書き出す」ということはできないみたいですね。まあそりゃそうか。ハードとOSが不可分ですからね。OSごと入れ替えたりできるならスマホ用のOSを作ろうって動きが出てくるでしょうし。つまりアプリ・設定・データがスマホからバックアップしておくべきものということになると思います。
というわけでこのページは終わります。
他のページも、さらっと流し読んでおきましょうか
まずは↓このページから。
真ん中の赤とピンクの表…表1.1は、情報セキュリティ事故において攻撃者が取ってくる手段が多様化しているとは言え、だいたいの糸口は5種類に大別できますよという話ですね。う~ん、これには正直表に付け足すことはないなあ。
緑色っぽい表1.2はクラウドサービスの利用によって新たに発生する危機とその対策3つということになってます。つまり、以下の8点に気をつけなさいということですね。
ソフトウェアの更新
セキュリティソフトの利用
パスワードの管理・認証の強化
設定の見直し
脅威・手口を知る
責任範囲の明確化(理解)
代替案の準備
設定の見直し
これらは全て1回やればそれでいいということではなく、常に見直し、改善を行っていかなければいけないということでしょう。
複数の脅威に対する対策 個人の場合と組織の場合に分けて
というわけで次のページなのですが、脅威に対する対策を簡潔に並べてくれてあります。
パスワードを適切に管理する
情報リテラシー、モラルを向上させる
メールの添付ファイル開封や、メールやSNSのリンク、URLのクリックを安易にしない
適切な報告/連絡/相談を行う
インシデント対応体制を整備し対応する(組織のみ)
サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う(組織のみ)
適切なバックアップ運用を行う
まあこれも文章のまんまだと思います。一応情報セキュリティ事故の際の連絡先は後に出てきます。
必ずしも通報義務の発生しない場合もありますが、重要なことかなと思ったらとりあえず連絡して話だけでも聞いてみることをおすすめします。
でも、最近は個人でも家の中でサーバーを立ててデジタル機器を利用する人もいるわけですから、サーバーやクライアント、ネットワークに適切なセキュリティ対策を行うことは個人でも必要な場合は結構あると思うんだけどな。
パスワードの運用について
次の6ページはパスワードの管理のことですね。わかりやすそうなパスワードを使わないってことです。いまはChromeにもEdgeにもパスワード管理機能が備わってますので、そういうのを利用するのもまたひとつの手ではあろうと思います。
生体認証というのがもっと普及すればいいんでしょうけど、少しめんどくさい面もありますね…PCよりも生体認証が進んでいるのがスマホと言えると思います。指紋認証がだいたいついてますしね。ですが、なかなか認識されないときもありますね。急ぐときに限って認識されない印象がありますが。
ちょっと前に掌の静脈で認証とかも流行ったんですが、掌型に切り抜いた大根で認証が通ったとかいう話が流れていつの間にか誰も話もしなくなりました。
精度が高いと言われているのが肛門認証だということはいつかもお話ししたと思いますが、これはさすがに利便性がね…銀行のATMコーナーで利用者が揃いも揃ってパンツ脱いでるとかもうギャグでしかありません。
安全かつ強力、そして簡易な生体認証が出てきてほしいものです。
情報リテラシー、モラルを向上させる
もうこれは、読んどいてくださいとしか言えません。情報を受信するにも発信するにも慎重に。真偽不明な情報を流すこと、安易に他人を攻撃するような発言を流すこと、そういうことをしないように啓発活動を継続的に行いましょうってことですね。
ネットだと匿名だと思ってやたらにイキるやつとかいますが、ネットって時間はかかりますがその気になれば少なくとも「どの端末から書き込んだのか」ぐらいは調べられるのに、ああいう連中って完全匿名だと思ってるんでしょうかね?
まあ、頭悪いやつ炙り出し装置がネットってことになるのでしょうか。
添付ファイルの開封やリンククリックを安易にしない
これはもう…言い尽くされてることじゃないでしょうか。よくわからない添付ファイルは開かない。「こちらをクリック」に安易に乗らない。
会社を名乗るメールが来て、なんだか急がせるような内容のことが書いてあって「こちらをクリック」になっていても慌ててはいけません。「もしかしたらそういうこともあるかも?」と思えるようなことだったら、その会社のオフィシャルサイトに行って、そこから辿って同じ内容が出てくるか否か確認して下さい。オフィシャルサイトから辿れないならまあ9割方は嘘メールです。
弁護士YouTuberの久保田康介さんという方が架空請求詐欺メールやメッセージに敢えて電話して真偽を確認するという動画をアップしていらっしゃいますけど、同じ目的で私は敢えてそういうヤバそうなリンクをクリックすることもあります。まあ、そういうことをしても大丈夫な手段を学んできたからできることで、日々の業務に役立てるべくわざわざそんなことをしているわけですが、久保田さんはYouTubeからお金が入るのに私は特に誰からもお金をもらえません。なんかいい方法ないかな?
適切な報告/連絡/相談を行う
はい、これがネット上で何かあったときの連絡先です。個人の場合と組織の場合で分けてありますが、被る部分もたくさんあると思います。
ネット上のいざこざについて、誰かに通報しなければいけないのかと言われると「特に義務はない」という場合がほとんどです。しかし場合によってサイバー攻撃は単なる不正アクセスだけではなくより重い刑法犯にもなり得ます。
という場合に該当するんじゃないかと思ったら、やはりまずは警察に連絡して相談することが一番なんじゃないかと思います。
その他、直接政府の機関ではないというような組織の名前もたくさん挙がっていますが、これらには特に通報義務まではないことがほとんどです。しかし、そういう組織は情報セキュリティを脅かすような事例についての情報を常に求めていて、その情報から導き出される「有効な対策」を練り続けています。従って、そういう機関に申告することによって特に自分の損にならないのであれば、いちユーザーの良心として申告なさってはどうかなと私は考えています。
対応体制を整備する
はい、これはもう、大きな組織なら情報セキュリティ専門部隊を作ってくださいという内容です。そして最後の段落には「そこまでできない組織であっても最低限インシデントの際の対応を決めておいて下さいね」と書いてあります。
これはまことにもってそのとおり。皆様その辺十分お考え下さいという話ですが、中小企業の皆様の場合は特にそういう非常事態がいつ来るかもわからないのにリソースを割いている余裕なんかないというのが実態だと思うんですね。
ですので兼任でも構いませんので情報の扱いに関する担当者をひとり決めて、その人にはいざというときの行動のルールを決めて貰って、それ以外の人には「こういうことで困ったら○○さんに聞いて」ということができるぐらいのことはしておいて欲しいんですね。
そして担当の方にはルールとして事業継続計画ないしはそれに近いものを決めてもらって、その中には情報事故の際にどうするのかということも含めておいていただきたいと思います。
サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
はい、以上の3ページは、この文章冒頭の「他のページも、さらっと流し読んでおきましょうか」で引きました2ページに掲げられていた表3つぐらいの内容を詳述したことです。
内容に関しては、中小企業に関する限り前項で述べたように兼任でも構わないので決めていただいた責任者の方にお読みいただいて、実行できるところから始めてくださいというような内容になります。大企業なら一気に全部取り組めるのでしょうが、中小企業にあってはそういうことはなかなか難しいのではないかと思います。
このnoteはそういう方々にとっても役に立つものにして行きたいと思います。
結局、何をすればいいのか?
情報セキュリティの強化とか向上とか、災害対策とかディザスタリカバリとか、事業継続計画(BCP)とか、バックアップの3-2-1ルールとかバックアップの3-2-1-1-0ルールとか、いろんな用語が出てくるけれども結局何をすればいいの?という話にもなってくると思います。
それは、これをお読みいただいている方(必ずしも組織の責任者だけではないと思います)皆様が、普段どういうふうに情報機器を扱っていらっしゃるかによります。
「最初はみんなスタンドアロンで使っていたけど、時代の移り変わりに伴ってなんとなくネットワークが作られた」というような会社様もきっとあると思うんですよ。個人の方でもいらっしゃるかも知れませんね。
そういうときには、現状の情報機器のあり方をまず図に起こして下さい。ネットワーク図というものになるかと思います。
そして現代おそらくそのネットワークはどこかでインターネットに繋がっていると思います。
単にインターネットをホームページ公開したりメールを使ったりという使い方しかしていらっしゃらないのならば、自社の情報を集めてある保存先をインターネットでクラウドに同期すれば、これはこれでひとつのバックアップのできあがりです。これのことをオンラインバックアップまたはホットバックアップと言います。
ただ、これだけでは情報事故に完璧な備えとは言えないのです。もうひとつプランを立てていただきたい。面倒くさいと思われるかも知れませんが、月に1回でも2ヶ月に1回でも構わないので深夜などにいったん自社のネットワークの利用を完全に止め、ネットワークのバックアップを取って下さい。これをオフラインバックアップまたはコールドバックアップと言います。
こういう、オンラインとオフラインを組み合わせたバックアップをハイブリッドバックアップと言います。ここまでやっておけば、特に恐ろしい情報事故からは逃れる可能性がグッと上がります。
そして、オフラインで取得したバックアップのメディアを自社拠点内(オンプレミス)に保存しておくよりは、離れたところにおいておいた方がより安全ですよという話です。ぜひ、そういう際には弊社のご利用をご検討いただきたいと思います。
今回駆け足で読んだ資料には「こういう事態が起こらないように」ということでたくさんのケースが書かれています。その「こういう事態」は現在多種多様に育っていってしまってちょっと見ると手のつけようがないように思えるかも知れません。
しかしそういうものもよく見ればわずか数種類に分類することができ、防御方法もいくつかのものを備えればおよそ安全とは言える、というのがあります。その中に、ハイブリッドバックアップなどが入ってくるわけです。
小括
さすがにちょっと長くなりましたが、情報セキュリティも正しい知識を持てば、決して怖くはないものです。こわくない、こわくない。弊社を含めて安全のお手伝いをする企業は日本にも世界にもたくさんあります。そういうところをご利用いただければ良いのです。
一見したところ対策がわからないので放っておくという状態が、攻撃者から見たらまさに思う壺です。ぜひ、怖がらずに一歩を踏み出して下さい。
弊社ではバックアップというものを通じて情報の安全に尽力しております。ご利用・ご検討いただければ幸いでございます。
今日もありがとうございました。
今後ともよろしくお願い申し上げます。
目次
クラウドストレージが持つ特有のリスク
クラウドストレージが持つ特有の脆弱性
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その1
IPAの言うセキュリティ対策の基本を見ていきましょう! その2
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4
IPAの言うセキュリティ対策の基本を見ていきましょう! その5
IPAの言うセキュリティ対策の基本を見ていきましょう! その6
IPAの言うセキュリティ対策の基本を見ていきましょう! その7
IPAの言うセキュリティ対策の基本を見ていきましょう! その8
IPAの言うセキュリティ対策の基本を見ていきましょう! その9
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その2
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その3
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その1
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その2
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その3
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その5