情報セキュリティコラム

「盗まれるものはない」企業がアップデートしなければいけないセキュリティの考え方

2022年2月の自動車部品メーカーがサイバー攻撃を受けた事件で、より広く知れ渡るようになった「セキュリティーが強固な大手企業を避け、中小企業からサプライチェーン(供給網)を攻撃する例」
中小企業のセキュリティ担当者をはじめ、考え方をアップデートしなければならないが、
 「経営者がセキュリティに無関心」
 「セキュリティに予算を充てられない」
 「どこから始めていいのか」
 「盗まれるものはないからセキュリティは必要ない」
などと考えている方のアップデートしなければいけない考え方をご紹介します。

社内で使えるチェックシート付、本コラムの詳細資料ダウンロードはこちらから

攻撃者から狙われやすい中小企業

セキュリティの専門家がスタッフにいない可能性が高い企業は、大企業よりも情報セキュリティの安全性が低く、取引先情報や場合によっては顧客の個人情報など比較的窃取しやすい環境であると思われます。
更にクラウドベースのオフィスアプリケーションやリモートワークへの移行により、より攻撃を受ける機会が増えています。

例えばクラウドを利用する際に設定されているアカウント情報ですが、これは多くの企業が従業員に与えているメールアドレスを利用しているため、攻撃者は簡単に類推することができます。
最近はパスワードの有効期限設定についても大手OSメーカーがセキュリティの推奨から外していますが、これはユーザーがパスワードを定期的に変更する際にパターン化させて繰り返し使っていたり、覚えやすい単語を使っているからです。

英国のNCSC(National Cyber Security Center)は3つのランダムな単語を使ったパスワードの方が、強度が高く、覚えやすいと提案しています。詳細を知りたい方は検索エンジンで「NCSC three random words」と検索してください。
攻撃者は窃取したアカウントとパスワードをどうするかというと、ダークウェブに掲載して販売します。
ダークウェブに掲載されてから1日も経たないうちに悪意のあるアクセスが行われます。

例えば、メールソフトに利用しているアドレス帳やメール本文が窃取されると、それを利用したメールでの攻撃で取引先が攻撃対象になります。
実際に聞いた話ですが、企業の役員クラスの方が海外出張で知り合った女性からのメールを開いてマルウェアに感染したという事例もあります。

幸運にもアンチウィルスソフトが検知してくれれば被害は防げますが、攻撃者は常に脆弱性を狙って攻撃してきます。

さらに困難なのは、被害を受けていてもそれを検知する術を持たない場合が多く、第3者からの指摘でサイバー攻撃に遭っていたことを知る場合が多いようです。

ではどういうセキュリティ対策をすればより良いのでしょうか。

パスワード管理

パスワードはシステム毎に変えるべきですが、覚えきれずに一緒にしてしまっている場合も多いと思います。

そのため、パスワードマネージャーという製品を利用する企業も増えています。特にクラウドベースのアプリケーションを使っている場合、多要素認証は設定しておいた方がよいでしょう。

大手OSメーカーはパスワード入力を廃止する方向です。近い将来、パスワードを考えたり覚えたりする苦痛から解放されるでしょう。

セキュリティパッチとアップデート

サイバー攻撃者はOSやアプリケーションの脆弱性を狙ってきます。

そのため、OSやアプリケーションの欠陥を修正するパッチをメーカーが配布していますが、その適用が遅れることで被害に遭うこともよくあります。

そのため、パッチが公開されたら迅速に適用する方策を立てることは非常に重要です。

ウィルス対策ソフトとファイアウォール

OSにバンドルされているウィルス対策ソフトやファイアウォールの設定はもちろんのこと、サードパーティから提供されているサイバーセキュリティ対策ソフトを導入することも有効な手段です。
前述の通り、アンチウィルスソフトと呼ばれる静的なファイル検知の製品ではバンドルされているウィルス対策ソフトと大きな違いはありません。

また、有名なウィルス対策ソフトは攻撃者によりリバースエンジニアリングされ、回避策を取られている可能性があります。
サイバー攻撃対策がイタチごっこになっている現状があるのです。

ここでは3種類ほど紹介しておきます。

イ:強制アクセス制御(最小権限の原則)を使った製品
ロ:仮想マシンによる実行環境の囲い込みを行う製品
ハ:ファイル照合ながら、深層学習を用いたアルゴリズムで検知する製品

それぞれに特徴があります。
イの製品はOSが提供しているアクセス制御にプラスする形で、マルウェアからのアクセスを防御する仕組みです。これは利用環境に応じてアクセスポリシーを設定する運用が必要となりますが、非常に強力な防御力を発揮します。

ロの製品は外部からのファイルを扱うアプリケーションを仮想マシンで実行し、サイバー攻撃が発生しても被害は仮想マシンでとどまり、メインのOSは保護されるという仕組みです。

ハの製品はディープラーニングというAI技術を利用した攻撃予測の製品で、ウィルスのデータベース(定義ファイル)に頼ることなく、ウィルスを検知します。

従業員へのセキュリティ教育

標的型攻撃メールのトレーニングを行う企業もあります。
従業員への啓発という点ではリスクを下げることが出来ます。

前述の事例のように役員クラスの方が被害に遭うこともありますので、従業員のみならず役員へのセキュリティ教育も重要です。

バックアップ

ランサムウェアに攻撃されファイルが暗号化されたとか、破壊されたという場合、速やかに業務を復旧させるにはバックアップが必要です。

注意が必要なのは、バックアップばかり入念に対策したけど、リストア出来ないという事態が起きない様にリストアの計画も実際のテストを含めて、ユースケース別に検証しておくことが重要です。

ネットワークの監視

インターネットに接続されていない閉域網ですらサイバー攻撃を受けることがあります。
VPN接続の場合もネットワークの監視が重要なので、以下の資料にてわかりやすく!まとめてあります。
社内共有資料としても使える資料なのでぜひご覧下さい。

 

 

サイバーセキュリティのチェック項目

CISA(米国のサイバーセキュリティ―・インフラセキュリティー庁)、FBI、NSA(米国の国家安全保障局)、カナダ、ニュージーランド、オランダ、英国のサイバーセキュリティ機関が不十分なセキュリティ慣行のリストをまとめました。
これらをチェックすることは防御力を向上させるのに役立ちます。

 

あなたの企業は大丈夫?社内で使えるチェックシートはこちら▶「盗まれるものはない」企業がアップデートしなければいけないセキュリティの考え方 7選

 

インシデント発生時の対応

インシデント発生時の対応を計画しておくことは被害の拡大を防ぐために重要です。
そのためにCSIRTを組織化するのがより良いと思いますが、インシデントの報告先や対応方法をまとめておくだけで計画的に対応が可能になります。

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT CLC

シー・エル・シーとは

1980年から培った解決力
システムの最適化を提案するエキスパート

CLCはさまざまな業種のお客様からシステムについてのご相談をいただき、そのつど問題の的確な解決に努力してまいりました。
システムに関する豊富な経験とノウハウを活かした実績が評価され、システムの最適化をご提案するエキスパートとして、お客様から厚い信頼を頂いています。