コラムカテゴリー:ITコンサルティング, セキュリティ, 業界動向
さまざまな情報がシステム化され管理されるなか、情報セキュリティの重要性は高まっています。IPA(情報処理推進機構)は毎年「情報セキュリティ白書」を発行しており、その2019年版が8月に発行されました。
ITコンサルティングとも密接に関わるので興味深く読んでいるのですが、情報システムや情報セキュリティの専門家向けの情報に限らず、一般ユーザ向けのセキュリティ意識向上のための内容も含まれています。
いくつかのトピックスを取り上げてご紹介することで、最近の動向を理解いただくとともに、あらためて一般ユーザも意識すべき対策を理解する一助にもしていただけたらと思います。
【はじめに】
「情報セキュリティ白書2019」の冒頭でも、守るべき対象が「サイバー世界とフィジカル世界の融合により大規模化・複雑化して(P.1)」いると述べられている通り、情報システムと実世界が密接に関わり、もはや切り離せない「融合」した状態になっています。
例えば、金銭同等の資産が、インターネットに繋がった情報システムに管理されている電子マネー・スマホ決済等は、生活に密着しています。
そのような生活インフラともなった情報システムについては、特に堅牢なセキュリティが求められます。
最近では、セブンペイへの不正アクセスと、その後のサービス廃止等が、セキュリティが担保できずに重大な影響を及ぼした事例として記憶に新しいところです。
セキュリティを守るためには、情報システムや情報セキュリティ等の業務に関わる方はもちろんのことですが、利用するユーザも含め、それぞれが知識を身につけ、できる対応をすることが大切とあらためて感じています。
【インシデントの発生状況】
「情報セキュリティ白書2019」の内容は多岐にわたりますが、第1章の「情報セキュリティインシデント・脆弱性の現状と対策」を中心に見ていきます。
悪意をもった攻撃に起因するインシデントに関してですが、攻撃手法として目新しいものが出てきたというよりは、以前から存在していた攻撃手法が引き続き利用されています。ただ、手法自体は同様ながらも、複数の手法を組み合わせたり、巧妙化することで、被害が発生しているという状況が見受けられます。
ビジネスメール詐欺(BEC)が日本語でも増えているようです。
詐欺の手口、不安の煽り方など、「人の思い込みや後ろめたさを悪用した狡猾な手口のインシデントが増えた(P.8)」とありますが、手口をユーザが理解して注意することで防げるものも多そうです。
また、ここ数年の傾向としてはIoT機器を対象として攻撃についても挙げられます。気軽にインターネット接続して利用できる機器も多くありますが、脆弱性情報やアップデート情報を踏まえて、対策が必要です。
個人的には、今後、IoT機器の増加にともない、ますますIoT機器関連のインシデントも増えてくるのではないかと危惧しています。
情報漏えいの事例も紹介されていますが、多くのユーザが利用している大規模なサービスで情報漏えいが起こると社会的な影響が大きい、という当たり前のことをあらためて実感しました。
【対策】
セキュリティ対策に「絶対」はありませんが、基本的な対策をすることで防げるリスクが多いのも事実です。
業務で利用するものはもちろん各組織のポリシーに則った対応が必要ですが、個人で利用するものも含め、以下のようなことをあらためて意識するとよいでしょう。
・ID/パスワードの適切な設定、管理。生体認証や多要素認証の活用。
・OSを含む、各種ソフトウェアのアップデート
・不審なメール/Webサイト/(偽の警告等の)不正なポップアップウィンドウ等に反応しない
・周囲の人(職場・家庭等)との情報共有
対象はパソコンのみならず、スマホやタブレット、スマートスピーカー等のいわゆるIoT機器にも及ぶことに留意してください。
また、組織としては様々な対策をしていると思いますが、どんなにシステム的に防御をしても、例えば詐欺に騙されているユーザが意図的に「正当な操作」として実行する処理を防ぐのは難しいです。そのような不適切な処理が実行されるリスクへの対策としては、ユーザの注意力を高めるための教育、訓練が重要だと思われます。
経験上、資料や講習での教育研修だけよりも、模擬訓練や疑似的に脅威への対応を実際に行うほうが実感として身につきます。
以上、私見も交えつつ、かいつまんで取り上げました。他にも多くの示唆に富む内容が「情報セキュリティ白書2019」には記載されています。アンケート回答することで以下のサイトからPDF版をダウンロードすることもできますので、興味のあるかたはご確認されてみてはいかがでしょうか。
200ページ超の資料ですが、合間にあるコラムにも気軽に読める興味深い話題があります。
<IPA 情報セキュリティ白書>
https://www.ipa.go.jp/security/publications/hakusyo/2019.html
関連サービス
2019年09月09日 (月)
青山システムコンサルティング株式会社