情報セキュリティ白書2018 第3章を読む




こんにちは。はなくとです。
今回は先日IPAより発行された「情報セキュリティ白書2018」の第3章について気になったことを書いてみます。

また、原本の入手にはIPAの会員登録の上、アンケートに回答する必要があります。
どなたでも入手できますので是非読んでみてください。得るものはきっと多いと思います。

原本入手したい方はこちらから(IPAのサイトに飛びます)。
https://www.ipa.go.jp/security/publications/hakusyo/2018.html

3章で気になった箇所

3章では、個別のテーマとしてIoT、仮想通貨、スマートフォン、制御システム、中小企業に対する情報セキュリティについて記載されていました。知らない用語や気になった箇所を書いていきます。

IoT

・Hajime
 Miraiと同じ感染経路(ポート23で動作するTELNET+既定のパスワード)。
 P2P通信によって遠隔操作されるため無力化が困難。
 IoTのファイルシステム上から自身の削除やプロセス名の書き換えによる隠蔽。
 DDoS攻撃の踏み台に利用されない、善意の警告メッセージを表示させる。

・BrickerBot
 IoT機器に直接被害を与える。
 →ストレージ機能とカーネルパラメータ変更、インターネット接続の妨害、ファイルの削除
  →PDoS(Permanent Denial of Service)攻撃

・PERSIRAI
 ネットワークカメラを対象とし、ポート番号81から感染。

・IoT機器に対する脅威
   ①ボットネット形成
   ②第3者に対する攻撃への悪用
   ③IoT機器の破壊(PDoS攻撃)
   ④仮想通貨マイニングへの悪用

・IoTセキュリティ向上の取り組み
 ①IoTセキュリティガイドライン
 ②IoT機器に対する認証マーク
 ③官民連携でサイバー攻撃に係る通信の遮断  
 ④IoTセキュリティ基盤の民間団体の発足

仮想通貨

・マルチシグネチャ
 複数の秘密鍵。仮想通貨を取引するにはm個の秘密鍵のうちn個の秘密鍵が必要。

スマートフォン

・SMSから不正アプリをインストールさせる手口の出現
・遠隔監視アプリ

制御システム

・ネットワーク化やオープン化によってサイバーセキュリティの標的になってきた。
 →社内ネットワークや制御システム内のインターネットにアクセスする機器から感染。

・ICS-CERT
 制御システムを対象としたCERT

・ラダーロジック爆弾(LLB)
 ファームウェアの更新時にラダーロジックは保護されないことを利用し、コマンドの実行や
   値を改ざんする不正なラダーロジックの埋め込み。

・制御システムのリスク分析
 制御システムのセキュリティリスク分析ガイド(IPA)
 →資産ベース、事業被害ベースのリスク分析

・IEC62443
 制御システムセキュリティの国際標準   

中小企業

・中小企業はサイバー攻撃対策が十分ではないと思っている。
 →経費をかけられない、専門人材がいないため分からない。

・中小企業の情報セキュリティ対策支援
 ①中小企業の情報セキュリティ対策ガイドライン第2.1版(IPA)
  https://www.ipa.go.jp/security/keihatsu/sme/guideline/(外部サイト)
 ②情報セキュリティ対策支援サイト(IPA)
  https://www.ipa.go.jp/security/isec-portal/index.html(外部サイト)
 ③中小企業向けサイバーセキュリティ対策の極意(東京都産業労働局)
  http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/
  (外部サイト)
 ④企業と組織のネットトラブル対応マニュアル
  (鳥取県サイバーセキュリティ対策ネットワーク) 
  https://www.pref.tottori.lg.jp/270716.htm(外部サイト)
 ⑤出社してから退社するまでの中小企業の情報セキュリティ対策実践手引き(JNSA) 
  https://www.jnsa.org/result/2010/chusho_security_tebiki.html(外部サイト)

所感

3章は、特にIoTや制御システム、中小企業に対するセキュリティが気になりました。特に中小企業が抱えている問題である「お金が無い」「専門人材がいない」の2つは非常に大きな問題と感じています。

どれだけお金が無いかによりますが、私だったらFWやアンチウィルスソフトウェア等の最低限のセキュリティ対策(環境の調査は必要)を導入した後は、セキュリティポリシーの策定やセキュリティ教育にお金をかけるかな、と思います。理由は、第1章の所感でも述べたように「人」が最大の脆弱性と考えているからです。

これまで中小企業を顧客としたことは無く、どこまで差し迫った状況なのか事情は理解できていませんが、中小企業へのセキュリティ対策をアドバイスする仕事も面白そうだと思いました。

第1章についてはこちらから

こんにちは。はなくとです。 今回はお盆休みを利用して、先日IPAより発行された「情報セキュリティ白書2018」の第1章について気になったこ...

第2章についてはこちらから

こんにちは。はなくとです。 今回は先日IPAより発行された「情報セキュリティ白書2018」の第2章について気になったことを書いてみます。 ...

おしまい。




★シェアはこちらです★

    error: Content is protected !!