こんにちは、さとうです。
2020年3月10日にIPAから
「情報セキュリティ 10 大脅威 2020」
の解説書形式の文書が公開されています。
これは、2019年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、有識者により順位付けしたものです。
10大脅威は個人むけと組織むけと2つに分類されていますが、ここでは組織むけに着目してみていきたいと思います。
<情報セキュリティ 10大脅威 2020(組織むけ)>
第1位 標的型攻撃による機密情報の窃取
第2位 内部不正による情報漏えい
第3位 ビジネスメール詐欺による金銭被害
第4位 サプライチェーンの弱点を悪用した攻撃
第5位 ランサムウェアによる被害
第6位 予期せぬIT基盤の障害に伴う業務停止
第7位 不注意による情報漏えい(規則は遵守)
第8位 インターネット上のサービスからの個人情報の窃取
第9位 IoT機器の不正利用
第10位 サービス妨害攻撃によるサービスの停止
これらの10大脅威は、どのような対策/対応が必要かも書かれています。
<対策/対応(一部)-組織むけ>
第1位 標的型攻撃による機密情報の窃取
■ 被害の予防/対応力の向上・情報の管理とルール策定・サイバー攻撃に関する継続的な情報収集と情報共有・セキュリティ教育の実施・インシデント発生時の訓練の実施・統合運用管理ツール等によるセキュリティ対策状況の把握・取引先のセキュリティ対策実施状況の確認・セキュアなシステム設計・ネットワーク分離・重要サーバーの要塞化(アクセス制御、暗号化等)・海外拠点等も含めたセキュリティ対策の向上■被害の早期検知・ネットワーク監視、防御・エンドポイントの監視、防御■ 被害を受けた後の対応・CSIRT の運用によるインシデント対応・影響調査および原因の追究、対策の強化・関係者、関係機関への連絡
第2位 内部不正による情報漏えい
■ 被害の予防・基本方針の策定・重要資産の把握、体制の整備・重要情報の管理、保護・物理的管理の実施・人的管理及びコンプライアンス教育の徹底■ 被害の早期検知・システム操作履歴の監視■ 被害を受けた後の対応・関係者、関係機関への連絡・影響調査および原因の追究、対策の強化・内部不正者に対する適切な処罰実施
第3位 ビジネスメール詐欺による金銭被害
■ 被害の予防(被害に備えた対策含む)・ガバナンスが機能する業務フローの構築・メールに電子署名を付与(S/MIME)・「情報セキュリティ対策の基本」を実施(ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る)・メール以外の方法で事実確認・判断を急がせるメールに注意■ 被害を受けた後の対応・CSIRT への連絡・警察に相談・踏み台や詐称されている組織への連絡・影響調査および原因の追究、対策の強化
第4位 サプライチェーンの弱点を悪用した攻撃
■ 被害の予防・業務委託や情報管理における規則の徹底・信頼できる委託先組織の選定・委託先からの納品物の検証・委託先組織の管理・公的機関が公開しているガイドラインの活用■ 被害を受けた後の対応・影響調査および原因の追究、対策の強化・被害への補償・(委託先から)委託元への連絡
第5位 ランサムウェアによる被害
■ 被害の予防(BCM 含む)・迅速かつ継続的に対応できる体制(CSIRT等)の構築・「情報セキュリティ対策の基本」を実施(ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る)・受信メールやウェブサイトの十分な確認・添付ファイルやリンクを安易にクリックしない・不審なソフトウェアを実行しない・サポートの切れた OS の利用停止、移行・フィルタリングツール(メール、ウェブ)の活用・ネットワーク分離・共有サーバー等へのアクセス権の最小化・バックアップの取得■ 被害を受けた後の対応・CSIRT への連絡・バックアップによる復旧・復号ツールの活用・影響調査および原因の追究、対策の強化
第6位 予期せぬIT基盤の障害に伴う業務停止
■ 被害の予防(被害に備えた対策を含む)・BCM の実践(BCP 策定と運用)・可用性の確保と維持(システム設計や監視)・データバックアップ(復旧対策)・契約やSLA 等を確認・被害を想定し IT 基盤側との事前の連携確認■ 被害を受けた後の対応・BCP に従った対応
第7位 不注意による情報漏えい(規則は遵守)
■ 情報リテラシーや情報モラルの向上・従業員のセキュリティ意識教育・組織規程および確認プロセスの確立■ 被害の予防(被害に備えた対策含む)・確認プロセスに基づく運用・情報の保護(暗号化、認証)・外部に持ち出す情報や端末の制限・メール誤送信対策等の導入・業務用携帯端末の紛失対策機能の有効化■ 被害を受けた後の対応・被害拡大や二次被害要因の排除・漏えいした内容や発生原因等の公表・関係者、関係機関への連絡
第8位 インターネット上のサービスからの個人情報の窃取
■ 被害の予防・「情報セキュリティ対策の基本」を実施(ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る)・セキュリティ対策の予算・体制の確保・セキュアなインターネット上のサービス構築・セキュア開発ライフサイクルの実践・セキュリティバイデザインの実施・セキュリティ診断(ウェブアプリケーション診断、プラットフォーム診断等)の実施・WAF、IDS/IPS の導入・利用者に対するセキュリティ機能の提供・ミドルウェアやライブラリ利用状況の把握■ 被害の早期検知・適切なログの取得と継続的な監視■ 被害を受けた後の対応・CSIRT への連絡・セキュリティ専門企業への調査依頼・影響調査及び原因の追究、対策の強化・情報漏えいの被害者に対するすみやかな連絡と補償・漏えいした内容や発生原因等の公表・関係者、関係機関への連絡
第9位 IoT機器の不正利用
■ 被害の予防・セキュア開発ライフサイクルの実践・セキュリティバイデザインの実施・初期パスワード変更の強制化・脆弱性の解消(セキュア・プログラミング、脆弱性検査、ソースコード検査、ファジング等)・ソフトウェア更新の自動化・分かりやすい取扱説明書の作成・迅速なセキュリティパッチの提供・利用者にとって不要な機能の無効化・アクセス範囲の制限・セキュリティに配慮したデフォルト設定・利用者への適切な管理の呼びかけ・ソフトウェアサポート期間の明確化・セキュリティパッチが公開されたら迅速に更新(自動更新機能を有効にする)・廃棄時は初期化・機器の管理画面や管理ポートに対する適切なアクセス制限・不要なサービスの停止(ポートを閉じる)■ 被害を受けた後の対応・CSIRT への連絡・IoT 機器の電源オフ・IoT 機器の初期化後、「被害の予防」を実施・影響調査および原因の追究、対策の強化
第10位 サービス妨害攻撃によるサービスの停止
■ 被害の予防・DDoS 攻撃の影響を緩和するISPやCDN等のサービスの利用・WAF の導入・システムの冗長化等の軽減策・ネットワークの冗長化・ウェブサイト停止時の代替サーバーの用意と告知手段の整備■ 被害を受けた後の対応・CSIRT への連絡・通信制御(攻撃元 IP アドレスからの通信をブロック等)・利用者への状況の告知・影響調査および原因の追究
セキュリティ脅威が年々高度化、複雑化していく現状では、予防よりも検知や対応の方に注力するほうが現実的なケースが増えつつあると考えられます。
本書は、後半に各脅威と、対策(防止、検知、対応)が整理されている表も掲載されており、自組織の対応方針を検討するのに便利なツールとなっています。
さとう