他人事じゃない!4つの事例でみる、実践したいセキュリティ対策の「きほん」
2024年、新しい年がはじまったということで、
今年もしっかりセキュリティ対策を意識して、感染事故を防いでいきましょう!
ということで、今回は初心に立ち返り、「普段から実践したいセキュリティ対策の『きほん』」について、4つの事例をもとに解説していきたいと思います。
<4つの事例>
1.そのパスワード設定で大丈夫?
2.怪しいメールを受け取ったらどうする?
3.アプリのアップデートは必要?その理由は?
4.ファイルの共有設定はデフォルトでよい?
IT・セキュリティに自信がないな……という「セキュリティ初心者」の方はもちろん、「セキュリティ対策に自信がある」という方も、改めてご一読いただければと思います。
情報セキュリティ事件の多くが「人」に起因する
いきなりですが、「セキュリティ対策」と聞いて皆さんは何を思い浮かべますか?
セキュリティ対策をするなら「まずは必要なシステムを導入しないと」という具合に、ついついシステムの方に目が行きがちですが、実は「人」の対策がとても重要なのです。
IPA(独立行政法人 情報処理推進機構)が公表している「情報セキュリティ10大脅威 2023」を見ても、ランクインしたすべての脅威が、システムだけではなく「人」の脆弱性に起因していることがわかります。
情報セキュリティ10大脅威 2023<組織編>
システム側で対策を行っていくことはもちろん大事ですが、システムを扱う我々「人」が対策できていなければ、どれほど優れたシステムを導入したとしても意味がありません。
少しでもサイバー攻撃を受けるリスク・マルウェアなどに感染するリスクを下げるため、今回は組織で働く我々「人(個人)」が行うべき4つのセキュリティ対策を、ケース別にみていきたいと思います。
【1】「パスワード設定の重要性」について
情報システム部門から、社内システムのパスワードを変更するよう通達があった。この時、どのような点に注意してパスワードを変更すればよいか?
対策:「長く複雑で推測されにくいパスワード」に設定する
パスワードを設定する際のポイントとして、大文字・小文字・記号・数字を混ぜた、長く複雑な文字列のパスワードを作成することが挙げられます。他人が予測できそうな、単純な文字列(誕生日や名前、123456など)は、攻撃者に推測されるリスクが高いため避けるようにしましょう。
パスワードを推測されると、攻撃者が従業員や会社のシステムアカウントに不正ログインし、組織にとって重要な情報が盗み出されたり、悪用されたりする可能性が考えられます。
そこからランサムウェア感染や情報漏洩事件など、大規模な被害につながることも・・・
パスワードを設定する際は、攻撃者が容易には推測できないパスワードを設定しましょう。
【2】「急な口座振替に関するメール」への対応
メールのやりとりが多い業務を行っており、以下のようなメールを受信した。 メールの内容を確認する際に、とるべき最初の行動は何か?
対策:差出人・件名・本文・ファイル名などをチェック
見覚えのない内容や、不審な添付ファイル・リンクを含むメールが届いたら、差出人(メールアドレス)や件名、本文の内容や添付ファイルについて、「違和感がないか」、「正しく表記されているか(空欄になっていないか、不審なスペースが入っていないか等)」を確認しましょう。
メール攻撃の内容は日々進化を遂げており、攻撃者は受信者に不審メールだと簡単に気づかれないよう、さまざまなテクニックを使ってきます。
この代表例が、過去に国内でも大流行したマルウェア「Emotet(エモテット)」です。
攻撃者はターゲットとする企業の取引先や公的機関を装ってメールで添付ファイルを送り、受信者が誤ってファイルを開くことで、内部に仕組まれたプログラムが実行され、感染します。
内容や送信元に見覚えがない場合や、不審な添付ファイル・URLのリンクがある場合は、安易にメールを開かず速やかに上司・あるいは社内のセキュリティ担当者に報告しましょう。
▼攻撃メールの確認手順
【3】「アプリケーションの定期アップデート」は必要?
情報システム部門から、業務で使用しているアプリケーションのアップデートを行うよう指示があったが、アップデートせずに使い続けている。
特に使用するにあたって支障はないし、問題なく使い続けられているので、アップデートする必要はあるのだろうか?
対策:アップデートは情報が公開され次第、速やかに行う
ソフトウェアのアップデートは最新バージョンがリリースされたタイミングで、速やかに行いましょう。
アップデートをせずに放置をしていると、脆弱性(ソフトウェアやOSのセキュリティ上の欠陥)を悪用され、サイバー攻撃を仕掛けられる可能性があります。近年では、セキュリティレベルの低い組織の脆弱性を突き、そこを踏み台にすることで、本来の標的である大企業に攻撃を仕掛ける「サプライチェーン攻撃」が猛威を振るっています。
自組織だけではなく、関連するすべての組織において高水準なセキュリティレベルを保つためにも、OSやアプリケーションの定期的なアップデートはもちろん、組織の脆弱性についても今一度現状を見直してみるとよいでしょう。
【4】「ファイルの共有設定」はデフォルトでよい?
外部のクラウドサービスを利用して、社員同士で企画書や議事録のファイルを共有している。
メンバーだけで共有しているので、公開範囲の設定は特に行っていないが、何か意識したほうがいいだろうか?
対策:ファイルの公開設定は、必ず定期的に見直す
クラウドサービスにおける公開範囲の設定確認は、必ず行った方がよいとされています。
クラウドサービスは、いつでも・どこでもデータを利用できるため利便性が高い反面、適切に公開範囲を設定しなければ、外部の第三者がデータに不正アクセスできる状態となってしまうため、情報漏洩につながる可能性があります。(実際、過去にはGoogleドライブなどの設定ミスにより、顧客や取引先の情報が漏洩してしまったという事例も発生しています。)
そのため、まずは外部に公開してよいファイル・情報であるかを確認し、公開範囲の設定を見直しましょう!デフォルトの設定値が、必ずしも安全とは限りません。特別な理由がない限り、すべてのユーザーがアクセスできるような設定は行わないようにしましょう。
また、ユーザーに付与している権限が適切か、不要なゲストユーザーがいないかなど、定期的な棚卸を行うことも効果的です。
(余談ですが、Googleアカウントについては、2023年12月1日から順次、長期間ログインしていないアカウントが自動で削除される動きがあります。Googleは不正利用される可能性が高い休眠アカウントについて対処しようとしており、企業や学校に紐づいていない”野良のアカウント”が、今回は対象みたいですね。こうした動きが今後、他のクラウドサービスでも出てくるかもしれません。)
日々のセキュリティ対策で、大切な情報資産を守りましょう!
今回は4つのケースを用いて、日頃から意識したいセキュリティ対策の「きほん」についてお伝えしました。
この他にも気を付けたいポイントはまだまだありますが、ここですべて書くと長くなってしまうので……。
ぜひMOTEXが監修した、セキュリティブック「セキュリティ 7つの習慣・20の事例」などもご覧いただければと思います!
また、近年では外部からのサイバー攻撃だけではなく、従業員の情報資産の扱いに対する意識やリテラシーの低さに起因した情報漏洩や、内部不正による情報漏洩が後を絶たない状況です。
・会社のPCやスマホ、USBメモリーが入ったかばんを紛失・・・
・個人情報を含むメールを誤送信・・・
・重要書類を机の上の放置したまま・・・
・退職者が情報を不正に持ち出し・・・
こういった「人」の何気ない行動によって、組織の機密情報や顧客データが流失し、悪用される可能性もあります。
このような事態を未然に防ぐためにも、セキュリティ担当者を中心に、社内でセキュリティ教育・メール訓練等の対策を行うことが重要です。ぜひ今回ご紹介したケースなども参考に、個々が責任を持って、日頃からセキュアな行動を心掛けてみてください!
