前回に引き続き、ITシステムのセキュリティ脅威分析についてお話します。
セキュリティ10大脅威 2023年版
前回は「セキュリティ10大脅威」というIPAが発表している情報セキュリティの脅威についてお話しました。前回の発表後に2023年版が発表されたので、変わった点を少し補足しておきます。
順位はいくつか変わりましたが、トップは相変わらず、ランサムウェアによる被害です。前回9位だった「予期せぬIT基盤の障害に伴う業務停止」が外れ、新たに犯罪のビジネス化(アンダーグラウンドサービス)が10位に追加されました。犯罪側も組織化されて、より巧妙にかつ多数の組織的攻撃がが増してきたということです。
セキュリティ脅威の原因
では、この10大脅威に共通する脅威の原因と注意すべきことについてお話します。
紹介した10大脅威はいくつかの攻撃を組み合わせているために一見すると原因が見えにくい場合もありますが、糸口となる種類は実はそう多くはありません。
ソフトウェアの脆弱性
一番最初に気にすべき点はソフトウェアの脆弱性です。脅威分析でCVSS(共通脆弱性評価システム)の話をしましたが、この脆弱性をなくすだけでリスクが大きく低減します。もちろん、対策としては、ソフトウェアの更新です。OS(基本ソフト)の更新は自社開発ソフトとの相性等で留意が必要な場合もありますが、著名なソフトはできるだけ早めに更新することをお勧めします。
最近の著名なソフトは自動更新ができる仕組みが多いので、比較的安心なのですが、更新チェックソフトがメモリに常駐しているためにメモリが少ないとパソコンが遅く感じることがあります。少しパソコンが得手な人だと更新チェックを切っていることもあります。
お勧めとしてはできるだけメモリを多めに(最低8GBできれば16GB)するか、あまり使わないソフトはアンインストールしてしまうということです。使わなければ、そもそも脆弱性は関係ないですし、パソコンもスッキリします。1年に一度ぐらいは見直すことをお勧めします。
ウイルス感染
二番目はウイルス感染です。こちらは標的型攻撃の場合だと防ぎづらい面もありますが、セキュリティソフトを利用することや不審なメールは開かない、怪しげなサイトにアクセスしないといったことで多くは防げます。Windowsでは標準でMicrosoft Defenderと呼ばれる対策ソフトが入っていますができれば、市販ソフト等と組み合わせる方がより安心です。
パスワードの漏えい
三番目はパスワードの漏えいです。こちらは、パソコンに付箋やテプラシールで貼るのはもちろん厳禁にしてほしいですが、覚えるのが大変という方も少なくありません。その場合は紙に書いて、目立たない引き出しの隅にこっそり入れておくような対応をしてください。アナログでの対策は意外と効果的です。
また、漏えいしなくても、推定しやすいパスワードは総当たり攻撃のような手法で見つけられてしまうことが少なくありません。数字の連番やキーボードの並びといったものはやめて、英大文字、英小文字、数字の組み合わせてつくるようにしましょう。記号を入れることが出来る場合はさらにいいです。
設定の不備(セキュリティを甘くする設定)
四番目は設定不備です。管理者でないとできないことかもしれませんが、安易な設定により、脅威を容易にしていることが少なくありません。例えば、パスワードなしで共有できるファイルサーバーや自動ログインによりログイン作業なしでデスクトップ画面が出てしまうようなことです。
三番目のパスワード漏えいの対策として、難しく長いパスワードを設定したが、覚えるのが大変なのでパソコンの自動ログインを利用したといった話は本末転倒です。最低限、パソコン起動後のログインはパスワードなしや自動ログインで入れないようにしてください。もし、記憶するのが大変だという場合は生体認証でのログインをお勧めします。自分がパスワードになります。
それ以外にも自動更新をオフにする、セキュリティ対策の設定を簡易にするなど、つい利便性を優先しがちですが、そこが悪い人につけこまれることを忘れないでください。
五番目は、脅威への知識不足ですが、教育と絡めて、次回お話します。