サイバーセキュリティ対策は適切なアップデート、適切なパスワード管理、適切なデータ退避が基本か。

はじめに

前回はサイバーセキュリティ事故の現状を分析した。今回は、それに対する対応策としての個人的見解を示す。次回は、その応用編としてさらに突っ込んで現状について分析したい。基本的には3つの適切な対応だ。まずは、常に最新のアプリに適切にアップデートすること、フィッシング詐欺の被害に会わないようにすることを含めて適切なパスワード管理、そして、ランサムウェア攻撃を受けても業務に影響がないような適切なバックアップを取ることだろう。ゼロトラストについては以前投稿したので、割愛する。

その1:セキュリティ事故の現状と動向  (前回の投稿
その2:セキュリティ事故に対する対応策 (⇨ この投稿)
その3:セキュリティ事故の最新動向   (次回の投稿

対応策1:適切なアップデート

サイバー攻撃を受ける可能性のあるソフトウェアは常に最新のバージョンにアップデートして守りを固める。

最新バージョンへのアップデート

自動車は今や動く情報機器だ。自動運転で走行する自動車を悪意を持ってハッキングされるリスクを想定しておく必要がある。実際、2015年7月には、ジープチェロキーがサイバー攻撃を受け、140万台をハッキング対策のためにリコールした。国際連合欧州経済委員会(UNECE:United Nations Economic Commission for Europe)の下部組織である自動車基準調和世界フォーラム(WP29)は、自動車にサイバー攻撃対策を義務つける国際基準(UN規則)を2020年6月に採択している。UN規則では、ソフトウェアアップデート管理システム(SUMS:Software Update Management System)により、次の四点を確保することが求められている。
・車両ごとのソフトウェアのバージョンと関連ハードウェアの特定
・ソフトウェアアップデートの安全性評価(保安基準適合性、運転中の安全性への影響等の評価)
・ユーザに対するソフトウェアアップデートの通知とアップデートに関する情報の記録
・改ざんの防止等のソフトウェア配信経路におけるセキュリティの確保

(出典:TechEyes

ゼロデー攻撃への対応

さまざまなサイバー攻撃によりソフトウェアの脆弱性が発見された場合には、問題の存在が広く知られる前にその脆弱性を解消するように努めます。しかし、改修までの期間は、いわば対策がない期間であり、この期間の攻撃をゼロディ攻撃という。大事なことはこの対策完了までの時間をいかに短縮するかと、対策が明確になったら速やかに改修、つまりソフトウェアのアップデートを行うことだ。

(出典:McAfee

対応策2:適切なパスワード管理

フィッシング詐欺に引っかからないように注意することと、パスワードは常に適切に管理することが重要だ。

流出していないかどうかをHIBPでチェック

サイバー攻撃にあってID(=メールアドレス)とパスワードが流出しているかどうかをチェックできるサイトがある。それがHIBP(Have I Been Pwned)だ。次のサイトにアクセスして、メールアドレスを入力すると、OKかどうかを数秒で確認してくれる。正常性が確認できるまでは一瞬ドキドキするが、これでチェックして安心することができる。
https://haveibeenpwned.com/
パスワード流出をチェックできるサイトHIBPは、2013年末に、Webセキュリティの専門家であるトロイ・ハント氏が構築し、2019年1月時点では、実に11億6025万3228件に及ぶ(出典)。あなたが利用しているメールアドレスもこのHIBPで一度チェックしてみよう。

安易なパスワードは避ける

メールアドレスとパスワードが流出されていなければ一安心だけど、これで問題が解決したわけではない。パスワードの安易な運用は厳禁だ。最もハッキングしやすいパスワードはなんだろう。下の図は2011年から2019年のよく使われるパスワードベスト10の変遷だけど、安易なものが多い。間違っても、このようなパスワードを使ってはいけない。
(出典:日経X TECH

複数のパスワードの使い分け

これは個人的なアイデアだけど多くのパスワードを全て異なるものにして、かつ定期的に変更するのはなかなか煩雑だ。パスワードの自動生成アプリを活用するのも方法だけど、これが万一盗まれたり、壊れた時の対応は大変だ。このため、たとえば次のようにIDを3つのランクに分けて、Cランクであれば、流出してもあまり影響がないのでメールアドレスとあるパスワードで管理する。ただし、定期的にパスワード長を拡大する努力は必要だ。Bランクは金銭的なリスクはないけど、個人情報の流出のリスクがあるので、できればパスワード長は長くして、Cランクと被らない別のパスワードとする。Aランクは、クレジットカードを登録していて、リスク値が高いものなので、これらは全てユニークで長い桁数のパスワードを個別に登録する。BランクやCランクとの共有は厳禁とする。
・Aランク:クレジットカードを登録しているサイトやSNSサイト
・Bランク:個人情報を含むもの(学会、日本技術士会、各種会員サイト)
・Cランク:個人情報を含まないサイト(メルマガ等)

対応策3:データのバックアップ

ランサムウェアに感染しない努力と、仮に感染してもPCなどを初期化して対応できるように大事なデータはバックアップをとっておきたい。

大切なデータはクラウド保存など複数の方法でバックアップ

アップルであればタイムマシンというアプリを使って、過去の任意のバージョンに戻ることができる。また、クラウド系と連動させておけば、PCが感染しても、クラウドからバックアップが可能だ。また、特に重要な個人情報は外付けハードディスクやUSBメモリーでバックアップを取っておくのが安心だろう。

(出典:バックアップ・データ復旧

CASB

キャスビー(CASB)とは、「Cloud Access Security Broker」の略であり、クラウドサービスの利用状況の可視化等の4つの機能を有する情報セキュリティのコンセプトだ。ハイプ曲線で有名な米ガートナー社が2012年に提唱した。ユーザー企業と複数のクラウドプロバイダーの間に単一のコントロールポイントを設けて、可視化、コンプライアンス、データセキュリティ、脅威防御の4つの機能を担う。

(出典:NEC)

セキュリティの感度を高める5つの備え

サイバー攻撃に対するセキュリティコンセプトとして、キヤノンマーケティングジャパンが提唱するのが5つの備えだ。下の図に示すように、特定、防御、検知、対応、復旧という5段階のプロセスで構成する。サイバー攻撃に対して重点対応する課題を特定し、防御する。一方で、サイバー攻撃の状況を常に検知し、何か問題が発見されたらすぐに対応し、適切な対策を取るなどの復旧を行う。こうした一連の考え方をあらかじめ整理しておくことは重要だ。

(出典:CANON

まとめ

今回は、サイバー攻撃に対する対応策として、常にアプリ等を最新のものにアップデートする、パスワードのフィッシングなどの攻撃に対応すると同時に、パスワードを適切に運用する。最後に、ランサムウェアなどの被害に遭っても業務に影響が出ないように普段からバックアップを取ることの重要性を示した。この3つさえ実施すれば問題ないといえるほどサイバー攻撃は単純ではないが、まずはこのような基本的対策を凡事徹底して取り組みたい。

以上

最後まで読んで頂きありがとうございます。

ITプロ人材のマッチングプラットフォームなら Bizlink をクリックしてみてください。
最新情報をチェックしよう!