先日、情報セキュリティ10大脅威 2022について解説しました。この度IPAよりこれの解説書が公開されました。IPAのHP(https://www.ipa.go.jp/security/vuln/10threats2022.html)よりダウンロードできますので、一度読んでみてはいかがでしょうか?
それぞれの案件について、丁寧に解説してあり、解説書は60ページにも及びます。セキュリティ対策という観点のみならず知識をつけるという点でも読み応えのある教材となっています。
セキュリティの基本
この解説書にも記載されていますが、攻撃の糸口に変化がない限り、「情報セキュリティ対策の基本」による効果が期待できます。「情報セキュリティ対策の基本」次の通りです。
| 攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
| ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する。 |
| ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする。 |
| パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する。 |
| 設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする。 |
| 誘導 | 脅威・手口を知る | 手口から重要視すべき対策を理解する。 |
また、最近はテレワークなども普及し、クラウドサービスの利用が一般的になってきました。先ほどの情報セキュリティ対策の基本のみならず、以下の対策を情報セキュリティ対策の基本+αとして行うことで、さらに被害にある可能性を低減できます。
| 備える対象 | 情報セキュリティ対策の基本+α | 目的 |
| インシデント全般 | 責任範囲の明確化 | インシデント発生時に誰が対応する責任があるのかを明確化する。 |
| クラウドの停止 | 代替案の準備 | 業務が停止しないように代替案を準備する。 |
| クラウドの仕様変更 | 設定の見直し | 使用変更により意図せず変更された設定を適切な設定に直す。 |
最後に
たまにセキュリティ対策を外部業者に丸投げしている場合があります。そのような場合、無知に付け込まれ、意味のない対策をされていたり、必要のない対策を取っている場合もあります。最低限の知識を身に着け、不必要な対策を行わないようにしましょう。
なお、ライトハウスコンサルタントでは、CIOアウトソースサービスを行っています。これは、いわゆるCIO(Chief Information Officer:最高情報責任者)としてセキュリティの専門家がかかわることにより、適切なセキュリティ対策等を実施できるようになります。相談料は無料ですので、お気軽にご相談ください。
