多様化するサイバーセキュリティー
こんにちは、ピーシー・ブレインの高山です。
iPhone6Sシリーズが発売になりましたが、恒例の行列も今回は見られなかったようです。ちょうど買い換えサイクルの私は大きいサイズのPlusをチョイスしました。さて、今回はセキュリティに関するトピックをお届けします。
Contents
多様化するサイバーセキュリティ
先日、アメリカと中国との首脳会談でのサイバーセキュリティに関するニュースが話題になりましたが、コンピュータやインターネットが身近な現代ではもはや他人事ではありません。
国内では6月に発表された年金機構の情報漏えい事件は、大きなインパクトを与えましたが、その後もサイバー攻撃は減っていません。企業・組織の内部まで入り込んで、情報を盗み出す・企業活動を停止させるような大きな影響を与えるものが増えてきています。
また、10月にはいよいよマイナンバーの通知が始まり、企業が慎重に扱わなければならない情報がまた増えることになります。
今回は、最近の事例やパソコン以外にも広まりつつある、サイバー攻撃の情報も含めてサイバーセキュリティについて取り上げてゆきます。
▼様々な手口があることを知っておく
冒頭の年金機構のケースでは、「標的型攻撃」という高度な攻撃手法がとられました。機密度の高い・重要な情報や企業情報を狙うケースでは、マルウェアの感染から始まる多段階の複雑かつ高度な攻撃がますます増加してくることが予想されます。
一方で、個人をターゲットにした攻撃では、ウイルスで破壊行動を行うものよりも、フィッシングやワンクリックといった手法で金銭的な損害を与えるものが増えて来ています。さらに流出したパスワード情報を別のサービスでなりすまして悪用されるようなケースも出てきています。
このような状況においては、企業として組織として対応・対策する課題と、個人として知っておくべき知識(セキュリティ教育等)や対策の両面から取り組んでゆく必要があります。
▼フィッシング詐欺
金融機関などを装ったメールを送り、個人情報や口座・クレジットカード情報などを詐取する行為です。
正規のサイトそっくりにみせかけた偽サイトへ誘導し、情報入力させる手口です。
対策としては、少しでも「違和感」を感じたメールのリンクは開かないことです。電子署名の無い金融機関のメールは疑うくらいでも良いでしょう。フィッシング対策協議会の情報も参考になります。
http://www.antiphishing.jp/
▼マルウェア対策
ファイルの改変や消去を行うウイルスだけでなく、潜伏して情報を収集し持ち出す、遠隔操作を行うようなプログラムの総称をマルウェアと呼びます。標的型攻撃として内部へ深く侵入する足がかりになります。1台が感染すると内部の他の端末へも感染を広げる非常に厄介な存在です。最近は外部から遠隔で制御され、見た目には悪さをしない悪質なものが増えています。
マルウェア対策は感染の前提となる脆弱性を減らすことです。OSやアプリはもちろん、セキュリティ対策ソフトは常に最新になるようにアップデートを行うことです。(マイクロソフトの場合、米国の毎月第2火曜日が月例の更新日と決まっています)
そして、感染機会となる不審な添付ファイルへの注意も必要です。取引先を装ったり、気を引く名称やファイルタイプを偽装して、不審に思わせないように細工してきています。攻撃者は心理学を研究していることを知っておきましょう。
なお、怪しいメールの見分け方については、次の資料に具体例が記載されています。ぜひ一読して頭に入れておいてください。
- 標的型攻撃メールの例と見分け方(IPA)
https://www.ipa.go.jp/security/technicalwatch/20150109.html
他にも、セキュリティ対策ツールにかからない形で、不安を煽るポップアップメッセージやメールの文面で料金の支払いを要求する不正請求詐欺タイプもあります。これに対しては、その請求は無視することです。
複雑化・高度化するサイバーセキュリティ攻撃に対しては、私たちの側も正しい知識や情報を身につけて自ら守ることが必要です。
▼PC・サーバー以外のセキュリティについても注意を!
PCやサーバーのセキュリティについては多くの方が意識を向けていますが、最近ではそれ以外の機器を狙った攻撃も増えてきています。
ルーターやプリンタ・複合機といった機器のOSやプログラムにも脆弱性が含まれる場合があり、そういった弱点をつかれて踏み台にされてしまうケースもあるので機器の(ファームウェア)更新情報にも留意しましょう。
▼まずは現状把握から
気づいたところから、できるところから手をつける、ということも良いのですが、まずは現状で自社がどの程度の情報セキュリティ対策ができているのかを確認してみましょう。
IPA(情報処理推進機構)が提供している「5分でできる!自社診断シート」は、セキュリティのポイントを25個の質問にまとめたもので、感覚的ではなく数値化された評価として状況を把握することができます。情報管理者・技術者向けというよりも経営者向けとして提供されている情報ですので、利用しやすいものになっています。
http://www.ipa.go.jp/security/manager/know/sme-guide/sme-shindan.html
社長のブログ・・・抜群のおもてなしに感動
抜群のおもてなしに感動 ~ 人生初の人力車
娘の夏休み最終日、妻と娘と一緒に浅草散策に行きました。
何度も遊びに来ている浅草ですが、今回は人生初の人力車に乗って
浅草寺周辺をガイドしてもらいました。
3人での利用でしたので2台に分散、私はひとり乗車とされてしま
いました。おじさんのひとり乗車は何と無く気恥ずかしさがありま
したが、いざ出発してみると、いつもより少し高い目線で観る景色
がとても新鮮で恥ずかしさよりも楽しさの勝ち。行く先々で物珍し
そうにカメラを向けてくる外国人観光客にも余裕で笑顔とピースの
ポーズを決めてやりました。
何より、担ぎ手お兄さんの、お客に楽しんでもらいたいという誠実
な姿勢と一所懸命のおもてなしに、これぞ日本のサービス魂、と感
動、勉強をさせていただきました。
SEOトピック ~ 常時HTTPS化に向けての注意点
Googleに続き、Yahoo!も検索サイトの常時HTTPS化を発表しました。
他にもウィキペディアやNTTドコモといった企業でもサイト全体のHTTPS化・常時HTTPS化を進めています。サイバーセキュリティへの意識が高まる中で業務目的のサイトの移行はますます進むことが予想されます。
この際に気をつけたいのが、コンテンツのHTTP・HTTPSの混在です。
サーバーにSSL証明書を導入すればHTTPS通信自体は実現できますが、画像やCSSなど同じページの一部のコンテンツがHTTPのままだと、ブラウザが警告を表示し、レイアウトが崩れたりするので、不信感を与えてしまいます。
CMSを利用しているケースではコンテンツのアドレスがHTTPに固定されてしまう場合もあるので、設定の変更が必要になることもあります。
スタッフのツイート (今月から新たに掲載します!)
【藤井】
生筋子が出回る季節になりました。
安い筋子を見つけては一年分のイクラを仕込んでいます。
筋子は魚焼き網でほぐす派です。
【豊桑】
涼しくなって長い距離が走りやすくなりました。
マラソンシーズンが徐々に近づいてきています。
ごはんも美味しいので食べた分だけしっかり消費したいと思います!
【田島】
空が高く頬をなでる風も涼しくなると、秋の運動会シーズンですね。運動会、張り切りすぎないよう楽しみたいと思います。
【青木】
9月の連休に白馬八方尾根へトレッキングに行ってきました。標高2,060mの八方池の水面に映る秋の北アルプスは絶景でした!が、足はボロボロです…。
【高山】
頑張れブレイブブロッサムズ!ラグビーワールドカップでの活躍に期待です!
