ニュース

2月、3月はサイバーセキュリティ月間です

2月1日から3月18日(サイバー)までを「サイバーセキュリティ月間」として、
政府がサイバーセキュリティに関する知識の普及啓発強化を行っているのはご存知でしょうか。

現在は個人のみならず企業にとっても標的型メール攻撃など、大変な脅威となっています。
この脅威に立ち向かうためには、万全になるようにシステムを見直すことももちろんですが、
一人ひとりがセキュリティについて正しい知識をもとに注意する必要があります。

今回は今後気になるIoT時代に求められるセキュリティについて、現状と今後の取り組みについて見ていきましょう。


【各団体のセキュリティに関するガイドライン】
NTT R&Dフォーラム2017の講演でも紹介されていましたが、
情報処理推進機構(IPA)が公開した「IoT開発におけるセキュリティ設計の手引き」のなかで
記載されている IoTのセキュリティ設計の5つのStepとして以下があります。

  •  Step1:対象とするIoT製品やサービスのシステム全体構成を明確化する。
  •  Step2:システムにおいて、保護すべき情報・機能・資産を明確化する。
  •  Step3:保護すべき情報・機能・資産に対して、想定される脅威を明確化する。
  •  Step4:脅威に対策する対策の候補(ベストプラクティス)を明確化する。
  •  Step5:どの対策を実装するか、脅威レベルや被害レベル、コスト等を考慮して選定する。

ここで重要なのは、IoT製品単体レベルでセキュリティ設計をするのではなく、
その他のシステムやネットワーク全体を把握して、守るべきところを優先順位を考えて設計することと言われています。


また、経済産業省および総務省が発表した「IoTセキュリティガイドライン」のなかで
記載されている 一般利用者のための4つのルールとして以下があります。

  •  ルール1:問合せ窓口やサポートがない機器やサービスの購入・利用を控える
  •  ルール2:初期設定に気をつける
  •  ルール3:使用しなくなった機器については電源を切る
  •  ルール4:機器を手放す時はデータを消す

上記を見るとセキュリティに関する基本的な事項が書かれていますが、守られていないケースは多数あるようです。
今一度、他人事と思わず、会社のみならず、自宅のネットワーク環境についても確認してみてはいかがでしょうか。


【日本で最初の標的型攻撃】
2005年10月、実在の外務省職員を詐称してウイルスを埋め込んだWordファイルが添付された
日本語メールが複数の官公庁に届いた事件が日本で最初の標的型攻撃とされています。
それ以降、標的型攻撃は年を重ねるたびに急増しています。 最近では日本年金機構の事件が記憶に新しいところです。
この時は内閣のサイバーセキュリティ戦略本部より原因究明調査結果の報告書について、
同様の被害拡大防止のためホームページに公表されました。
それまでに起きたセキュリティに関する事件は、ほとんど詳細について公表されませんでした。

今年1月に開催された世界経済フォーラム(通称:ダボス会議)で発表された「グローバルリスクレポート2017」では
テロリストの攻撃と比例してサイバー攻撃が増加していることが分かりました。

今後も日本の官民のみならず、各国とも連携して、サイバー攻撃から守る必要性が求められます。



◆脅威を可視化し標的型攻撃対策に関連する製品はこちら◆
  •  QRadar(IBM製品)ネットワークに流れる全てのパケットをキャプチャーし、社外からの攻撃や社内の不正状況をリアルタイムに可視化します。
    攻撃元や資産への影響を把握し、迅速に対策することができます。
  •  DDI(トレンドマイクロ製品)標的型サイバー攻撃かどうかを判断するためにアプライアンスで用意された「サンドボックス」という保護された
    仮想環境で不正かどうかを迅速に判定でき対策することができます。

一覧に戻る