こんにちは。はなくとです。
今回はお盆休みを利用して、先日IPAより発行された「情報セキュリティ白書2018」の第1章について気になったことを書いてみます。
ちなみに原本の入手にはIPAの会員登録の上、アンケートに回答する必要があります。
どなたでも入手できますので是非読んでみてください。得るものはきっと多いと思います。
原本入手したい方はこちらから(IPAのサイトに飛びます)。
https://www.ipa.go.jp/security/publications/hakusyo/2018.html
1章で気になった箇所
1章では、国内外のセキュリティインシデント・脆弱性、攻撃・手口の動向、セキュリティ対策等について記載されていました。知らない用語や気になった箇所を書いていきます。
・ランサムウェアによる感染拡大の理由
①ランサムウェアの巧妙化
自己増殖機能をもつWanna Cryptor(Wanna Cryのこと)やファイルレス攻撃の出現。
②攻撃のハードルが下がる
安価な攻撃ツールやサービス(Ransomeware as a Service)を利用できる。
中学生でもランサムウェアを作れる時代に。
・情報漏えいインシデントの状況
全世界の2017年度の情報漏えい件数は2216件。
TOP3の業種は医療(536件)、不動産(338件)、政府・自治体(304件)。
・ウィルス配布手段はドライブ・バイ・ダウンロードよりもメールが主流になってきている。
①受信者が開封しやすい件名を選定したり、送信者や送信元メールアドレスを偽装する。
②メールにウィルスを添付するのではなく、ダウンロードするURLを本文に記載する。
・IoT機器を狙ったウィルスであるMiraiの亜種による感染が拡大。
仕様(利用者がパスワード変更不可)や設定不備(初期パスワードのまま利用)を悪用。
・ビジネスメール詐欺
従業員をだまして情報・お金を詐取する。
・ソフトウェア脆弱性の発生を防ぐためにセキュリティ・バイ・デザイン(※)によるセキュ
リティ対策を講じる必要がある。
※セキュリティ・バイ・デザインについてはこちらから。
・Windows Updateの実施率は6割前後。
・業務委託時には、サプライチェーン上のビジネスパートナーや委託先も含めてセキュリティ
対策が必要。
所感
1章を読んで、情報システムにおける一番の脆弱性は「人」であることを再確認しました。システムは設計・設定したとおりに動く一方で、人の行動は不確実に満ち溢れたものです。
例として標的型攻撃メールを取り上げます。標的型メールの内容(件名・本文・送信者・メールアドレス)が巧妙化すればするほど正誤の判断がつきにくくなり、受信者がウィルスに感染する確率が高くなります。そのときの判断力や体調、気分も影響してくるでしょう。
また、ある受信者が怪しいメールと気づいたとしても別の受信者は気づかずにそこから感染することもあります。
このように、機械のような画一的な判断を苦手とし、かつ各人によって同じ基準で判断させることが非常に難しい人こそが最大の脆弱性と考えています。
最も脆弱である「人」に攻撃が届かないようにする、届いても影響を少なくするのがセキュリティ対策の役目なのかな、とふと思いました。
「人」の脆弱性を補うには、技術的対策、物理的対策、管理的対策(※)のうち、管理的対策が有効ですが絶対ではない。そこにも「人」の難しさがあるように思いました。
※技術的対策、物理的対策、管理的対策はこちらから。
第2章についてはこちらから
第3章についてはこちらから
おしまい。