ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その5
みなさん、明けましておめでとうございます!
株式会社カチカのリモート&コールドバックアップ業務担当の村島です!
実はですね…なんていう意味ありげな前置きを置くまでもなく、私も年末年始には実家に帰ります。
ですが、母はもういい歳なんですよね。父は他界しています。だから、年末年始の帰省というのはどっちかと言うと休みに行くというよりは母の力ではもうどうにもならない用事を片付けに行くというか…。
かえって疲れます。
ところで、去年の紅白は面白くありませんでしたね。
私はだいたいテレビを見ない人間ですので消しておいてもいいと思うんですが、母がそれでは間がもたない人間でして、テレビ東京系の歌番組を見ていました。
ひろみゴーさんが出ていて「億千万の胸騒ぎ~」とか「僕たち男の子」とかの曲で盛り上がりました。
私と母は30歳違いなのですが、おそらく私よりさらに30歳下の人でもこれらの歌は知ってますよね。
誰でも知ってて誰でもカラオケで歌える歌って減った気がします。
まあ、雑談でした。
今回も「ランサムウェア・インシデント発生時の組織向けガイダンス」を見ていこうと思います。
ストップ!ランサムウェア ランサムウェア特設ページより引用
(以降、特記なき場合この文書からの引用とする)
これ、ずっと赤丸をした「仮訳」を読んでいたのですが、実はまだその序文しか読んでいないというとんでもない状態でした。いよいよ本文に入ってまいりましょう。
というわけで、今日もレッツスタディセキュリティ!なのです。
ガイダンス本文に入ります
ランサムウェア・インシデント発生時の組織向けガイダンス:
↑まあ、これがタイトルですね
1.組織は、事業継続計画の一環として、ランサムウェア・インシデントに備えるため、前もって対応方針、手順、フレームワーク、コミュニケーション計画を策定し、実施しておくことを推奨する。
はい、推奨するとのことですが、推奨でなくてやっておいてください。ここでいうところの推奨って、言ってみればPCソフトの動作環境みたいなもので、これ以下ではまともに機能しないというものだとお考え下さい。
これはあくまでも例にはなってしまうのですが、おおよそどんな組織や個人であっても当てはまるところは大きいのではないかと思います。
ランサムウェアが入り込んだときにどうなるか、それをあらかじめ予測し、適切な対処が行われるには、やはり様々な計画を策定して、模擬実施として訓練が必要であると思われます。
1.組織全体の意識改革
組織全体の意識改革
実は、これが一番難しかったりします。人間というのは、同じことを繰り返し言われたら、どうしても「わかったよ、うるさいなあ」と思ってしまう生き物です。
そうなったら困るので、しばしば説明会を開くようなことをして意識の向上を図るわけですが、それをやればやるほど聞いてもらえなくなるという悪循環に陥ります。
というわけなので、単に説明会を開くだけではなく、ネットワーク図を見て「ここが弱いのではないか」という意見交換会を開くのも非常に友好な手立てだと思います。
私は今となってはもうなくなってしまった「情報セキュリティアドミニストレータ」という試験に合格していました。問題には、ネットワーク図を見せられてどこにどんな弱点があるかという記述問題もあったように思います。これ、結構面白いんですよ。
さらに言うのであれば、あくまでも模擬的に「侵入できるかできないか」を実地でやってみるというのもひとつの手ではあります。以前にも言葉は出しましたがペネトレーションテストというのがありまして、大概は外部の会社にお願いして模擬的に侵入ができるかできないかをチェックしてもらうというテストです。侵入ができてしまったのなら強化の必要があります。そのペネトレーションテストを、自社内で行ってしまえるなら一石二鳥ですよね。
まあどんな教育でも訓練でもそうなんですが、一方的に話を聞いているという形の教育ほどつまらないものはありません。ほとんどの方はご経験おありじゃないんでしょうか。学校の授業中に眠ってしまったこと。個人的には思うんですけど、それの究極形態が免許の教習所で受ける学科ですよね。ほとんど動画見せられてるだけですもん。
まあそれはそれとして、要は訓練に自発的に参加していくという形態を作らないと、実際にこういうところが危ないんだ、こういう穴があるんだということはなかなかわかってもらえないんですよね。言葉だけでは。
セキュリティポリシーの明確化
これは、パスワードをどうやって作るか、とか、情報機器の持ち出しルール、外部メディアの使用ルールなどを明確化し、全従業員に周知徹底します。
と、軽く言っていますがこれもやっぱり「全従業員に周知徹底」というのがなかなか広まらないんですよね。「制限時速は60km/hなのでそれを守ります!」とはみんな言うんですよ。だけど実際には80km/hぐらいで走ってる人いくらでもいますよね。
これ、私も苦い経験がありまして、あるコールセンターにアルバイトで行くことになったんですね。で、そのコールセンターの研修中に、私Willcomを当時使っていたので、機種変したんです。Willcomの苦し紛れの一策だったと思うのですが、当時Willcomってスマホ出してなかったんですよ。だから、ほぼ電話機能しかない電話(フリスクの箱ぐらいの大きさでした)にソフトバンクから借りた電波を使って電話機能を除いたAndroid機が添付されていたんです。
まあコールセンターだから当然だとは思うんですが、スマホ持ち込みは厳禁でロッカーに置いておくことになりました。しかし、私のこの組み合わせ電話の場合、Android機が気になって電話の方をポケットに入れたまま持ち込んでしまうという失敗を結構してしまったんです。
当時はもうかなり「携帯電話=スマホ」の時代でしたので「電話の持ち込みは何があろうとダメ」というルールでした。私の電話に情報を扱う機能はないと言っても「ルールはルールです」と言われて、結局研修途中でクビになってしまいました。まあ、あんまり働きたくなかった職場だからいいか…。
というわけで、これを明確化して、それを実効性のあるものにしようと思ったら、残念ながら罰則にしかならないんでしょうね。
ルールをみんなで意見を出し合って決めるという方向性もないわけではないと思うんですが、時間がかかりますしセキュリティの専門家以外の意見が強く反映されてしまうと実効性に問題があるようにも思えます。
報告体制の整備
インシデント発生時の報告態勢を整備し、それにより迅速な対応を可能にするというのがこれの趣旨なのですが、アクシデントまで行っちゃった件なら誰にでも公にされますが、インシデントだったら「隠してしまえば何とかなる」と考えるのも人間というものです。以前ご紹介したこれ↓みたいなものですね。
東海道新幹線において発生した西日本旅客鉄道株式会社所属車両の
鉄道重大インシデント(車両障害)より
残念なことですが、情報を扱う場合には必ず2名以上の人員によって行い、インシデントやアクシデントが発生したときにはそのうち1名以上により管理部門に報告態勢を取るしかないのかも知れません。
ただ、情報セキュリティ関係ない話になってしまうのですが、JR西日本ではインシデントやアクシデントが発生すると「日勤教育」という名のパワハラが行われていました。このため、従業員同士でインシデントやアクシデントの報告をしない方向で動くという取引が横行しており、これが一因となってあの福知山線脱線横転事故が発生しました。安全というのは、とかく万全を期そうと思うと逆に働くことになります。誠に難しい問題ではあると思いますし、私なぞに絶対的解決を思いつくこともできるわけではありません。細かいことでも日々の気づきと改善の積み重ねなのだと思います。
2.技術的な対策
最新のセキュリティ対策ソフトの導入
これもねえ…もう言い尽くされていることではあるんですが、最新のセキュリティ対策ソフトをインストールして有効にしておくということですね。
ところで、業務でこれをやっている方はまずいないと信じたいんですが、セキュリティソフトって無料版があるソフトもありますよね。あれって使い方を見たら機能の制限はやっぱりあるんですが、ご利用の方っていらっしゃいますか?
まあセキュリティソフトは、安全のために使うものですから、有料版を使っておいた方が間違いないんでしょうね。個人でしか使わないのなら無料版でもいいのか、私もそんなに大惨事になったことがないのでよくわかりませんが。
脆弱性管理
脆弱性管理というと、OSやアプリケーションの脆弱性を定期的にパッチ適用し、攻撃の機会を減らす…ということになると思うのですが。
しかし…ですよ。あくまでも私の個人的PCは、という話ですよ。変化球というかむしろもう魔球に近いような構成のPCを使っておりまして。PCIのカード(expressではなく)の機器も4枚も使っています。それのドライバも当然古いってことになるじゃないですか。でも、使いたいんですよね。
ソフトウェア的にも、これまではフリー版で使えたのに、最新のバージョンではフリー版では使えなくなってしまった機能があって、しかも過去バージョンを公開しているサイトもありますので、わざわざ有料版を買おうという気にはなれないなあ。
まあ、私のあくまでも個人的な感覚ではありますが、セキュリティソフト等でスキャンしてみて問題がなさそうなんであれば使っちゃってもいいと思います。我ながら、セキュリティ屋にしては酷いこと書いてる自覚はあります。ですのであくまでも
でお願いします。そしてこれも情報セキュリティアドミニストレータで勉強したことなんですけど、ネットワークに繋がっているPC等の1台1台は安全でも、ネットワークの構造そのものに脆弱性が発生する、ということがあり得ます。
これはPCのメーカーでもルーターのメーカーでもない、利用者が管理しなければいけない問題です。
ネットワーク図を読める人が最低ひとりはいて欲しいっていうところですよ。架空のものでも現実に存在するものでも構わないんですが、ネットワーク図で「ここまずくない?」なんて議論するのもひとつの訓練にはなり得ると思います。
大学を卒業なさっている方ならおわかりかと思いますが、単なる一方的講義ではなく、何らかのテーマについて議論するというのはより頭を使いますしより深く考えより深く理解ができますよね。
そういうものも、訓練として取り組んでいくだけの価値があるんではないかと私は考えるわけです。
多要素認証の導入
パスワードに加えて、生体認証やワンタイムパスワードなど、いくつかの認証要素を加えることでより強固なものにしよう、という考え方ですね。
私もネット銀行の口座をいくつか持っていますが、最近は振込なんかするときに「スマホでチェックマークをタップして下さい」になりますよね。あれが安心の要素なんですね。
ただ、私は親が子沢山世代なので、伯父伯母および叔父叔母はたくさんいるわけなんですね。もうかなりの高齢です。はっきり言って、彼ら彼女らはスマホがわからないわけです。昔はソニー銀行もジャパンネット銀行もトークンというのを使っていてまだしもわからないことはなかったのですが(伯父伯母および叔父叔母に使わせたことがあるわけではありません、念のため)トークンや乱数表でも今ひとつわかっていませんでしたし、そもそも年が行くとトークンや乱数表の文字すらも「小さくて見えない」ということになるわけですわ。
スマホの指紋認証って、まあ機種にもよりますがだいたい左右どちらかの親指で認証するようになっていますよね。あれ、両方の親指として「多要素認証です」ってわけにはいかないのでしょうか?年寄りを取り残した技術進歩はあまり好ましくないように思うのですが。
まあ、そういった会社様にも、いずれ何とかしていただきたいものです。いままで何度も書いてますが、一番精度が高いというのは肛門認証なんだそうですけど、認証するたびにパンツ脱ぐのはいくらなんでも手間だしなあ。
バックアップ体制の構築
重要なデータを定期的にバックアップし、オフラインで保管することで、ランサムウェア攻撃によるデータ損失のリスクを軽減します。
やっと出て来ました。これが今日言いたいことのすべてみたいなものです。いまはクラウドが発達していますから、クラウドと同期を取って使っていればそれでいいだろう、みたいな考え方に陥りがちなんですが、クラウドとローカルが同期しているということは、間違いなく同じネットワークにあります。ランサムウェア撃退法にはなりません。
やはりここは、クラウドを使ったオンラインバックアップ(ホットバックアップ)とともにオフラインバックアップ(コールドバックアップ)をご利用いただき、ハイブリッドバックアップ(複合バックアップ)体制を作っていただき御社のデータを守っていただきたいのです。そして、利用者側から見たら普通のフォルダと同じ感覚で使えるにもかかわらず、第三者や攻撃者から見たら暗号化されているというタイプの暗号化ソフトも多く世に出ています。ハイブリッドバックアップと暗号化を組み合わせれば、もうほとんどランサムウェアの魔の手からは逃れることができると言っても過言ではないと思います。
3.組織体制の強化
情報セキュリティ担当者の設置は、できれば行って下さい。情報セキュリティに関する専門知識を持つ担当者を配置し、組織全体のセキュリティ対策を統括します。
とは言うものの…ですよ。中小企業様じゃそんな余裕ありませんよね、正直に言って。
というわけで、これだけはぜひ何とかしていただきたいと思いますのは、ネットワークやセキュリティの用語がおわかりになる方だけはぜひおひとり置いていただきたいんです。
いざというときにはご連絡をいただければ、弊社にて専門スタッフがしかるべき手段を考案してお伝えいたします。
というわけで、もう結構文字数が増えてしまいましたので、今日はここ明日はこの続きをお話ししたいと思います。
なんと「ランサムウェア・インシデント発生時の組織向けガイダンス」の項目1だけで今日は終わってしまったという。
まあ、非常に密度の濃い文章ですのでそういうことも起こりがちとご容赦下さい。
改めまして、本年もよろしくお願い申し上げます。
目次
クラウドストレージが持つ特有のリスク
クラウドストレージが持つ特有の脆弱性
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その1
IPAの言うセキュリティ対策の基本を見ていきましょう! その2
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4
IPAの言うセキュリティ対策の基本を見ていきましょう! その5
IPAの言うセキュリティ対策の基本を見ていきましょう! その6
IPAの言うセキュリティ対策の基本を見ていきましょう! その7
IPAの言うセキュリティ対策の基本を見ていきましょう! その8
IPAの言うセキュリティ対策の基本を見ていきましょう! その9
IPAの言うセキュリティ対策の基本を見ていきましょう! ラスト
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その2
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その3
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その1
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その2
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その3
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その6
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その7
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その8