前回までで、基本的な考え方や脅威・リスクの違いなどをご説明してきました。4回目となる今回は、ケーススタディとして、具体的な脅威や、そこに潜在するリスクがどのようなものであるのか解説します。
まずは、例として以下のような組織があることを想定してお話し致します。
この組織は、インターネット経由で利用できるさまざまなサービスを利用しており、リモートワークでの業務も許可しています。
また、社内にもサーバーがあり重要な情報はそこで管理されており、それらの保守等については、いくつかのベンダーがリモートで対応しています。
このような環境を前提とした場合に想定される脅威・リスクについて考えていきたいと思いますが、今回はインターネット接続やVPN接続など、ネットワーク関連について考察していきます。
インターネットに接続されていることによる「脅威」と「リスク」
インターネットの発展は、私たちの生活にさまざまな利便性をもたらしましたが、一方では新たな脅威やリスクの発生源ともなっており、日々さまざまな被害が報告されているのは、皆様もご存じの通りです。
このケースの場合、例えば以下のような脅威が想定されます。
■メール関連
メールのやり取りに起因する被害は、年々増加傾向にあり、昨今よく耳にするランサムウェア等のマルウェア感染の入り口も標的型メール攻撃であるケースが増えています。
前回の最後にお伝えしましたIPAから発表されている「セキュリティ10大脅威」の上位にもランキングされていますので、特に注意が必要です。
また、メール誤送信やビジネスメール詐欺に騙されてしまうなど、人為的な要因によって引き起こされる被害も多いポイントですので、特に事務系の業務に従事されている方などに対するセキュリティ教育を徹底することも重要です。
■クラウドサービス
現在、クラウドサービスはさまざまなものが存在しており、設備投資が不要でインターネット経由経由で手軽に利用できることからも、多くの企業・組織で利用されています。
しかしながら、クラウド基盤そのものに潜在する脆弱性や、それらに対する提供事業者側の管理体制などが不完全なものも存在します。
また、利用者側の責任範囲となる部分が多いもの、例えばIaaSを利用する際には、管理設定のミスなどや、アカウントの管理などに留意することも重要です。
例えば、クラウド上のストレージの設定が誰でも閲覧できるようになっていたことで、情報が漏えいした、アカウントを不正利用されたなど、利用者の設定ミスや管理不備による事故が急増しています。
なお、事後対策として、有事の際に確認が取れるように各種ログを保管しておくことなども有効です。
機器故障や自然災害等の物理的な脅威によって引き起こされる重要データの喪失なども、企業にとっては大きなリスクとなりますので、クラウド利用時においても、バックアップやBCP計画などを立案し、平時から備えておくようにしてください。
■WEBサイト
企業のホームページやECサイトなど、常に公開されているものは、インターネット経由で誰でも閲覧できます。
これは、悪意のある第三者にとっても同様であり、攻撃者は侵入できそうなWEBサイトを常に探しています。
特に「SQLインジェクション」や「クロスサイトスクリプティング」などの以前から認知されている代表的な脆弱性が放置されているようなサイトは非常に危険です。
これまで報告されているWEBサイト経由のセキュリティ事故に関しては、WEBアプリケーションやシステムプラットフォームの基本的な脆弱性対策さえできていれば、被害の85%は未然に防ぐことができたという報告事例もあります。
また、WEBサイトに関しては、不正な改ざんにより踏み台攻撃に利用されるリスクもあります。
踏み台攻撃というのは、自社のサイトを経由され、他社への攻撃を仕掛けられるものですが、そのような改ざんをされると、意識しないままに加害者(攻撃者)になっていたという事態に陥ってしまいます。
WEBサイトに関しては、公開前の脆弱性診断の実施、また公開後であっても定期的な脆弱性診断を実施するなど、「評価」と「強化」を継続していく運用が重要です。
■リモートワーク環境
コロナ渦以降、多くの企業でリモートワークが定着し、現在も継続している組織も多く存在します。
効率的に業務が進められるようになり、その恩恵を受けている方も多くいらっしゃるかと思いますが、そのようなリモートワーク環境を狙った新たな被害も急増しています。
技術的な脅威としては、社内へ接続するためのネットワークの脆弱性等を狙った侵入などが挙げられます。
VPN接続する際のアカウントの流出や、マルウェア感染していた私物のPC利用などによって、社内のネットワークに侵入されるような被害です。
業務用のPCや、業務に必要なデータの持ち出しの際、端末やUSBメモリ等の外部記憶媒体の紛失や破損、それによる情報漏えいやデータ喪失などの人為的な要因による被害も増えています。
また、リモートワークを実現するために、セキュリティポリシーを緩和せざるを得ないような場合、不正な情報持ち出しなど内部の人間による犯行などにも留意が必要です。
組織が認めたデバイスからのみアクセスを許可する仕組み、私物PCやUSBメモリの利用制限、事後対策としてのログの管理などを徹底してください。
このように、インターネットを経由した脅威・リスクだけでも考えることは多々あります。
ここでは、代表的なものを書き出しましたが、細かいものまで含めると、まだまだいくつもの脅威があります。
脅威の種類についても、前回お伝えした通りですが、技術的脅威、人的脅威、物理的脅威のそれぞれが含まれています。
インターネットに接続されているということは、常になんらかの脅威にさらされているという意識を持つこと、それを組織全体に浸透させることが重要です。
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方