先日、情報セキュリティ10大脅威 2022について解説しました。この度IPAよりこれの解説書が公開されました。IPAのHP(https://www.ipa.go.jp/security/vuln/10threats2022.html)よりダウンロードできますので、一度読んでみてはいかがでしょうか?

それぞれの案件について、丁寧に解説してあり、解説書は60ページにも及びます。セキュリティ対策という観点のみならず知識をつけるという点でも読み応えのある教材となっています。

セキュリティの基本

この解説書にも記載されていますが、攻撃の糸口に変化がない限り、「情報セキュリティ対策の基本」による効果が期待できます。「情報セキュリティ対策の基本」次の通りです。

攻撃の糸口情報セキュリティ対策の基本目的
ソフトウェアの脆弱性ソフトウェアの更新脆弱性を解消し攻撃によるリスクを低減する。
ウイルス感染セキュリティソフトの利用攻撃をブロックする。
パスワード窃取パスワードの管理・認証の強化パスワード窃取によるリスクを低減する。
設定不備設定の見直し誤った設定を攻撃に利用されないようにする。
誘導脅威・手口を知る手口から重要視すべき対策を理解する。
情報セキュリティ対策の基本

また、最近はテレワークなども普及し、クラウドサービスの利用が一般的になってきました。先ほどの情報セキュリティ対策の基本のみならず、以下の対策を情報セキュリティ対策の基本+αとして行うことで、さらに被害にある可能性を低減できます。

備える対象情報セキュリティ対策の基本+α目的
インシデント全般責任範囲の明確化インシデント発生時に誰が対応する責任があるのかを明確化する。
クラウドの停止代替案の準備業務が停止しないように代替案を準備する。
クラウドの仕様変更設定の見直し使用変更により意図せず変更された設定を適切な設定に直す。
情報セキュリティ対策の基本+α

最後に

たまにセキュリティ対策を外部業者に丸投げしている場合があります。そのような場合、無知に付け込まれ、意味のない対策をされていたり、必要のない対策を取っている場合もあります。最低限の知識を身に着け、不必要な対策を行わないようにしましょう。

なお、ライトハウスコンサルタントでは、CIOアウトソースサービスを行っています。これは、いわゆるCIO(Chief Information Officer:最高情報責任者)としてセキュリティの専門家がかかわることにより、適切なセキュリティ対策等を実施できるようになります。相談料は無料ですので、お気軽にご相談ください。