“セキュリティの要はユーザーの心構えにあり”をモットーに、企業のIT環境の安心・安全のためならいつも全力全開、苦労も手間も厭わない「竹中さん」。セキュリティベンダー「クオリティソフト」のエバンジェリストとして、日夜企業のセキュリティ対策をさまざまなかたちで支援している。今日も彼は日本のオフィスのどこかで、ユーザーがついやってしまいがちな危険な操作や、情シスが見落としがちな管理の落とし穴、はたまたハッカーがしかける怪しい動向に目を光らせる。

今回「竹中さん」は、今年の脅威動向を踏まえて、年末から2018年前半にかけて、情シスが特に注意すべきセキュリティトピックについて解説する。

年末から2018年初頭に向けて特に注意したいセキュリティトピック

2017年はランサムウェアや標的型攻撃などの脅威が急増するとともに、その被害は大手企業だけではなく中小企業にまで及んだ。このように企業の規模や業種業態にかかわらずあらゆる企業・組織がサイバー攻撃者から狙われるようになった今、すべての企業にとってもセキュリティ対策は必須だと言えよう。

さらに、2017年5月に改正された個人情報保護法では、5,000人分以下の個人情報を取り扱う小規模な事業者も同法が適用されることとなり、より厳密に情報を守らねばならなくなった。加えて2015年に経産省が策定し、先日改定された「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策はもはや担当者だけで行うのではなく、経営者も含めた対策が必要だと明言している。

こうしたなか、残り少ない今年と来年前半に向けた2つのセキュリティトピックについて紹介しよう。

「ランサムウェア」の横行

2015年あたりから急増し始めたランサムウェアは、ご存知の通りファイルを暗号化する代わりに身代金を要求するマルウェアだ。当コラムでも何度か取り上げたとおり、Windowsの脆弱性を利用したランサムウェア「WannaCry」が世界中で猛威を振るったのは記憶に新しい。また、WEBサイトを改ざんしランサムウェアをダウンロードさせる「Bad Rabbit」やWindowsの正規機能である”Powershell”を利用した「ファイルレスマルウェア」も出現した。 特にファイルレスマルウェアの場合、マルウェア自体のファイルは物理的には作成せずに不正活動を行うため、マルウェア検出の際にファイル単位の検索をする多くのセキュリティ対策製品では検出が難しい。そのため、来年以降多く発生するのではと考えられる。

ランサムウェアはRaaS(Ransomeware as a Service)と言われるほど、ブラックビジネスとして浸透してしまっている。今後も姿や形を変えて忍び寄ってくるこの脅威は企業にとってもはや軽視できない。身を守るためには、様々な手法(多層)で防御していく必要性がある。

2018年3月にはクレジットカードのセキュリティ対策を!【EC事業者向け】

経済産業省などからなる「クレジット取引セキュリティ対策協議会」より、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が2016年2月に発表された。これにより、2018年3月からEC加盟店はクレジットカード情報の漏洩対策として「カード情報の非保持化」もしくは「PCI DSS準拠」が求められるようになる。

PCI DSSとは、加盟店において、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準である。このPCI DSSでは、カードデータの保護や通信時の暗号化はもちろん、会員データへのアクセス制御やウイルス対策ソフトの定期更新、また、パッチの早期適用といった脆弱性管理なども求められている。

そんな中、JavaのWebアプリケーション開発フレームワーク「Apache Struts」の脆弱性が発見され、各企業やEC事業者には大きな被害も出ている。まだ対策をしていないEC事業者はこれを機に特に気をつけたいところだ。 また、最近ではクレジットカードに記載されているセキュリティコード(3桁の番号)の漏えいも合わせて問題になっている。セキュリティコードは日本クレジットカード協会等のガイドラインでも保持を禁止されているので、今回の方針改訂を機に合わせて見直してもらいたい。

余談を許さぬ脅威動向、まずは守るべきモノの優先順位を!

残念ながら2018年以降も情報流出経路はますます増えていくと考えられます。また、IoTの進展により、PCやスマホと言った端末だけではなく、IoT機器へのセキュリティ対策も必要になってくるでしょう。

そうしたなか、先般行われた情シス同士の勉強会「PCNW」で意見を交わすなか、共通見解となったのが以下の2つでした。

  • セキュリティは保険である
  • 守るべきモノは何かと、どこまでお金をかけるかを考えるべき

確かに、保険も生命保険から医療保険、自動車保険などと幅広くあって、同じ保険会社でも様々なオプションなどがありますよね。それでも、生命保険に入らないという人は少ないはずです。セキュリティも保険と一緒で、会社を守るためには保険をかける必要があるということではないでしょうか。

ちなみに、クオリティソフトでは、現状のセキュリティ状況を確認・分析するコンサルティングサービス「CHEC君」も提供していますので、まだ対策が十分にできていないと心配な企業や、セキュリティにまつわる自社の現状が知りたい方が、ぜひ一度この機会に確認してみてはいかがでしょうか。

今後もセキュリティ上の脅威動向については予断を許さないというのが現実です。皆さんも、セキュリティ対策を施す際にはまずは自社にとって守るべきモノは何なのか、優先順位等を整理した上で、適切な対策を実現してくださいね!

ISM CloudOne

IT資産管理課題解決のいろは

[PR]提供:クオリティソフト