2023年4月: 小林海斗(Assistant Manager / Senior Security Analyst)
北米におけるサイバーセキュリティの現状とその対策②
こんにちは、SYSCOM GLOBAL SOLUTIONSのセキュリティチームの小林です。
前回は、サイバーセキュリティ事故の背景について説明しましたが、今回は具体的な対策についてお話しします。今回ご紹介する対策は、比較的低予算かつ短期で導入・実施できるものばかりです。これらの対策は、昨今の企業保険に欠かせなくなっているサイバーセキュリティ保険に加入する際やコンプライアンス順守に必要な条件となってきています。
1)「パスワード管理」
クラウドサービスのMicrosoft 365は年々より多くの企業へ導入されています。このMicrosoft 365アカウントに不正ログインされると、メールだけではなく共有ファイルまでアクセス可能となり、自社の情報のみならず、顧客情報まで流出してしまいます。そして不正ログインされたアカウントから社内外に対し、スパムメールやフィッシングメールを送信されてしまうこともあります。不正ログインされた被害者であるはずが、加害者となり社会的信用を喪失してしまうだけでなく、損害賠償にまで発展することも珍しくありません。
アカウントのパスワードポリシーの強化、MFA(多要素認証)の導入、必要最低限のアクセス権の付与等のパスワード管理対策が必要となります。
パスワードポリシーで、ユーザーが設定するパスワードを16文字以上、大文字、小文字、記号を含む等、複雑なパスワードにすることはブルートフォースアタック(総当たり攻撃)を防ぐのに効果的です。また、万が一パスワードが流出してしまったとしても、MFAを導入していれば不正にログインすることはできません。MFAとは、ウェブサービスのログイン時に要求されるログインIDとパスワードの他に、スマートフォンのテキストメッセージのコード認証やアプリ認証が必要となる機能です。極めて基本的な対策ですが、不正ログインに対しては大変有効な対策になりますので、未導入の企業はすぐに検討、またはセキュリティ業者へ相談することをおすすめします。
2)「社員へのセキュリティトレーニング」
サイバー事故は必ずしも洗練されたテクニカルな攻撃により発生するわけではありません。なかにはよく知られている手法であるにも関わらず、人為的なミスによって事故が発生することもあります。その一つが、フィッシングメールによる事故です。メールや携帯電話のテキストメッセージ(SMS)で日々よく見かける不審なメールは安易に開かない、特にリンクや添付ファイルには気をつけるといったことをよく耳にします。しかしながら、いくら気をつけていても、フィッシングメールのなりすまし手口が日々巧妙化しており、簡単に見分けることが難しくなっています。なかには信頼できるメールアドレスから送信されているように見えるフィッシングメールもあります。
企業の対策としては、1年に数回、全社員に対し模擬フィッシングメールを送信し、回避できるかをシミュレーションテストによって訓練することをおすすめしております。また、セキュリティアウェアネストレーニングと併せて行うことで、社員の情報セキュリティに対する意識を高め、事故防止につなげることができます。弊社では、様々なパターンを想定したフィッシングメールトレーニングサービスや、現場で活躍するセキュリティアナリストによる情報セキュリティ講習を提供していますので、お気軽にご相談ください。
3)「脆弱性管理」
企業システムにおける情報漏洩のうち、60%はシステムパッチが適用されていないことが原因とされている統計データがあります。ここでいうパッチとは、PCやサーバーのWindowsアップデート、またはネットワーク機器のファームウェアアップデートなどを指します。アップデートによって、これまで問題なく使用できていたシステムに不具合が生じる可能性があるため、アップデートを行うことを躊躇することは理解できます。しかし、これらのパッチを適用しないと、既知の脆弱性がそのままの状態となり、その脆弱性を狙った攻撃を防ぐことができません。日々の運用の中では煩わしく感じることもありますが、近年ではパッチ適応は必須となっております。ただし、全てのネットワーク機器・サーバーや全社員のPCなど、日々最新版にアップデートし続けることは現実的ではありませんので、最近では脆弱性管理ツールによる運用が主流となっています。弊社では様々な脆弱性・パッチ管理のソリューションを取り扱っておりので、この機会にご検討いただけますと幸いです。
以上、述べた内容は基本的なものですが、どれも費用対効果が高く、セキュリティ上のリスクを大幅に軽減することができます。もし未導入であれば、この機会にぜひ導入をご検討ください。
次回は、セキュリティ対策の応用編として、ゼロトラストモデルと情報漏洩対策について解説します。
小林 海斗
Assistant Manager / Senior Security Analyst
ITインフラ構築・保守運用の経験を経てSOC(Security Operations Center)へ配属。サイバーセキュリティソリューションの導入・コンサルやインシデント対応を担当。エンドポイント(PC・サーバー)、ネットワーク、クラウド、メールを含む包括的なSOC運用に従事。CISSP保持。
企業システムにおける情報漏洩のうち、60%はシステムパッチが適用されていないことが原因とされている統計データがあります。ここでいうパッチとは、PCやサーバーのWindowsアップデート、またはネットワーク機器のファームウェアアップデートなどを指します。アップデートによって、これまで問題なく使用できていたシステムに不具合が生じる可能性があるため、アップデートを行うことを躊躇することは理解できます。しかし、これらのパッチを適用しないと、既知の脆弱性がそのままの状態となり、その脆弱性を狙った攻撃を防ぐことができません。日々の運用の中では煩わしく感じることもありますが、近年ではパッチ適応は必須となっております。ただし、全てのネットワーク機器・サーバーや全社員のPCなど、日々最新版にアップデートし続けることは現実的ではありませんので、最近では脆弱性管理ツールによる運用が主流となっています。弊社では様々な脆弱性・パッチ管理のソリューションを取り扱っておりので、この機会にご検討いただけますと幸いです。
以上、述べた内容は基本的なものですが、どれも費用対効果が高く、セキュリティ上のリスクを大幅に軽減することができます。もし未導入であれば、この機会にぜひ導入をご検討ください。
次回は、セキュリティ対策の応用編として、ゼロトラストモデルと情報漏洩対策について解説します。
小林 海斗
Assistant Manager / Senior Security Analyst
ITインフラ構築・保守運用の経験を経てSOC(Security Operations Center)へ配属。サイバーセキュリティソリューションの導入・コンサルやインシデント対応を担当。エンドポイント(PC・サーバー)、ネットワーク、クラウド、メールを含む包括的なSOC運用に従事。CISSP保持。
Executive Message
& Employee Spotlight
北米日系企業向け:セキュリティチームブログ③
前回までは比較的低予算で導入できる基本的な対策を紹介してきました。これらを抑えることができたら第3回は応用編になります。
SYSCOMで活躍する社員たち: レ・ティ・タオ・リーさん
Keep It Simple, SYSCOM: Le Thi Thao Ly’s Direct and Effective Approach. “We don’t have one-size-fits-all solutions, we have the most suitable solution for the customer.”
北米日系企業向け:セキュリティチームブログ
北米日系企業向けに、日々お客様のセキュリティ対策の立案、運用をしている我々セキュリティチームの視点から、最新のセキュリティ事故の現状や対策を定期的にご紹介してまいります。