こんにちは。はなくとです。
今回は先日IPAより発行された「情報セキュリティ白書2018」の第3章について気になったことを書いてみます。
また、原本の入手にはIPAの会員登録の上、アンケートに回答する必要があります。
どなたでも入手できますので是非読んでみてください。得るものはきっと多いと思います。
原本入手したい方はこちらから(IPAのサイトに飛びます)。
https://www.ipa.go.jp/security/publications/hakusyo/2018.html
3章で気になった箇所
3章では、個別のテーマとしてIoT、仮想通貨、スマートフォン、制御システム、中小企業に対する情報セキュリティについて記載されていました。知らない用語や気になった箇所を書いていきます。
IoT
・Hajime
Miraiと同じ感染経路(ポート23で動作するTELNET+既定のパスワード)。
P2P通信によって遠隔操作されるため無力化が困難。
IoTのファイルシステム上から自身の削除やプロセス名の書き換えによる隠蔽。
DDoS攻撃の踏み台に利用されない、善意の警告メッセージを表示させる。
・BrickerBot
IoT機器に直接被害を与える。
→ストレージ機能とカーネルパラメータ変更、インターネット接続の妨害、ファイルの削除
→PDoS(Permanent Denial of Service)攻撃
・PERSIRAI
ネットワークカメラを対象とし、ポート番号81から感染。
・IoT機器に対する脅威
①ボットネット形成
②第3者に対する攻撃への悪用
③IoT機器の破壊(PDoS攻撃)
④仮想通貨マイニングへの悪用
・IoTセキュリティ向上の取り組み
①IoTセキュリティガイドライン
②IoT機器に対する認証マーク
③官民連携でサイバー攻撃に係る通信の遮断
④IoTセキュリティ基盤の民間団体の発足
仮想通貨
・マルチシグネチャ
複数の秘密鍵。仮想通貨を取引するにはm個の秘密鍵のうちn個の秘密鍵が必要。
スマートフォン
・SMSから不正アプリをインストールさせる手口の出現
・遠隔監視アプリ
制御システム
・ネットワーク化やオープン化によってサイバーセキュリティの標的になってきた。
→社内ネットワークや制御システム内のインターネットにアクセスする機器から感染。
・ICS-CERT
制御システムを対象としたCERT
・ラダーロジック爆弾(LLB)
ファームウェアの更新時にラダーロジックは保護されないことを利用し、コマンドの実行や
値を改ざんする不正なラダーロジックの埋め込み。
・制御システムのリスク分析
制御システムのセキュリティリスク分析ガイド(IPA)
→資産ベース、事業被害ベースのリスク分析
・IEC62443
制御システムセキュリティの国際標準
中小企業
・中小企業はサイバー攻撃対策が十分ではないと思っている。
→経費をかけられない、専門人材がいないため分からない。
・中小企業の情報セキュリティ対策支援
①中小企業の情報セキュリティ対策ガイドライン第2.1版(IPA)
https://www.ipa.go.jp/security/keihatsu/sme/guideline/(外部サイト)
②情報セキュリティ対策支援サイト(IPA)
https://www.ipa.go.jp/security/isec-portal/index.html(外部サイト)
③中小企業向けサイバーセキュリティ対策の極意(東京都産業労働局)
http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/
(外部サイト)
④企業と組織のネットトラブル対応マニュアル
(鳥取県サイバーセキュリティ対策ネットワーク)
https://www.pref.tottori.lg.jp/270716.htm(外部サイト)
⑤出社してから退社するまでの中小企業の情報セキュリティ対策実践手引き(JNSA)
https://www.jnsa.org/result/2010/chusho_security_tebiki.html(外部サイト)
所感
3章は、特にIoTや制御システム、中小企業に対するセキュリティが気になりました。特に中小企業が抱えている問題である「お金が無い」「専門人材がいない」の2つは非常に大きな問題と感じています。
どれだけお金が無いかによりますが、私だったらFWやアンチウィルスソフトウェア等の最低限のセキュリティ対策(環境の調査は必要)を導入した後は、セキュリティポリシーの策定やセキュリティ教育にお金をかけるかな、と思います。理由は、第1章の所感でも述べたように「人」が最大の脆弱性と考えているからです。
これまで中小企業を顧客としたことは無く、どこまで差し迫った状況なのか事情は理解できていませんが、中小企業へのセキュリティ対策をアドバイスする仕事も面白そうだと思いました。
第1章についてはこちらから
第2章についてはこちらから
おしまい。