- HOME
- セキュリティ最新ニュース
- 情報セキュリティ10大脅威 2015をご紹介します。
Security
情報セキュリティ10大脅威 2015をご紹介します。
年が明けました。
去年2015年に公開された
2014年中に起きた情報セキュリティの脅威まとめ。
情報セキュリティ10大脅威 2015
をご紹介します。
引用元:https://www.ipa.go.jp/security/vuln/10threats2015.html
情報処理推進機構(IPA)は、日本におけるIT国家戦略を技術面、人材面から支えるために設立された経産省所管の独立行政法人です。
【01.インターネットバンキング、クレジットカードの不正利用】
2012年は銀行口座の不正出金被害総額が5,000万程度だったのが
2013年では、約14億円
2014年では、約29億円 でした。(警視庁調べ)
2015年はどうなったのでしょうか。また続報を新着情報にてお知らせします。
【02.内部不正による情報漏洩】
社員の資料持ち出しです。
【03.標的型攻撃による諜報活動】
昔は、誰が感染しても良かったため、ホースで水を撒くようにウイルスを撒いていました。そのため被害サンプルを集めやすく。対策がすぐにとれました。現在では、特定の会社を狙って社内メールを装い、ウイルスに感染するようなメールを決め撃ちするパターンが増えています。
(標的型攻撃)
しかも、ウイルスは荒らした後に自分自身を消去するのでウイルスの実態がわからないままで今までのウイルス対策の仕組みでは対策が出来ないようになっています。現在では、それでも対応が出来るような仕組みを持つセキュリティ製品が世に続々と出ています。
【04.ウェブサービスへの不正ログイン】
色々なインターネット上のサービスのIDパスワードを盗まれてしまってアクセスされる事をさします。ほとんどは、盗み見とウイルスによる流出となります。
【05.ウェブサービスからの顧客情報の窃取】
04と関連して、個人情報が保存されているようなウェブサービスについては中の情報が持ち出されることなども、頻繁に発生しています。
【06.ハッカー集団によるサイバーテロ】
ハッカー(クラッカー)集団という存在については皆様ご存知でしょうか。最近では、特定の過激派集団を避難するなど、政治的発言力を持とうとする動きもあり社会的に認知されている特定の集団なども台頭してきています。
【07.ウェブサイトの改ざん】
特定の会社のWebサイトの中にウイルスに感染するコードを忍ばせる攻撃などもありました。
(例: はとバス http://goo.gl/Rz7UaN )
【08.インターネット基盤技術の悪用】
これも、ほとんどは、ウイルス感染による動きでYahooを見たい人がYahooにアクセスするつもりがウイルスの動きで、ニセYahooに誘導されID パスワードを奪取されてしまうような事をさします。
(関連キーワード:DNSキャッシュポイゾニング)
解説:JPNIC
https://www.nic.ad.jp/ja/newsletter/No40/0800.html
【09.脆弱性公表に伴う攻撃】
ゼロデイアタックと言われる攻撃です。
セキュリティに明るい機関やソフトメーカーが
「このソフトは、侵入が出来る穴が空いているよ!」
「危ないから!みんな更新してね!」
と公表をしてから一般の利用者がその情報に気づいて更新するまでの間に、悪意を持った人は
「今のうちにその危ないところが対策される前に攻撃し尽くそう。」
「セキュリティの穴教えてくれてありがとうセキュリティ機関!」
というような攻撃の事をさします。
最近の頻繁にセキュリティ情報を確認する人というと、ほとんどが攻める側(悪意のある人)か守る側(セキュリティ提供業者)のどちらかになってしまうのではないでしょうか。
【10.悪意のあるスマートフォンアプリ
今年は、スマートフォンに対する攻撃が激化していくと予想されています。
”WindowsやMacはある程度ウイルス対策されている。じゃあ”
ほとんど対策されていない丸裸のスマートフォンやタブレットを狙う方が簡単だ。という考えです。現状、スマートフォン向けのセキュリティ対策を完璧に提供しているメーカーというのは、ほぼ皆無です
(CheckPoint社は今年、携帯向けにMobile Threat Preventionというセキュリティ製品を発売開始致しました。また続報致します。)
【まとめ】
2015年の情報流出というキーワードで大きく取り上げられたのが
・日本年金機構の情報漏洩問題
・堺市の有権者情報が個人情報が流出した問題
どちらも、情報を運用するべき場所で運用してなかったという人の運用の問題が第一の事件が多い反面その後、止めとなったのが、ウイルスへの感染でした。悪意を持った社内の人間が資料を持ち出す。以外のセキュリティ被害のきっかけは、ほとんどがウイルス感染なのです。また、10大セキュリティのほとんどは、ウイルス感染が引き金となっています。ではウイルス感染しないためにまず必要なのは何かというと
1)まずは無料で出来るしこれだけはやってほしい!
ブラウザやOS、関連するプラグインの最新版の導入です。ついにMicrosoftもInternetExplorerを古いものについてはサポートを終了していったりと、ソフトウェアを常に最新にすることは必須であるという考え方が広まって来ています。
ここでひとつ。
#普段から、パソコン触るのやめるとき、スリープにしていませんか?
シャットダウンを選択すると、終了に時間がかかりますがこのタイミングでWindowsはセキュリティ不備がある分について、自動的に最新状態に更新をしてくれています。一見、次回起動が早いからとスリープを使い続けて一年以上更新してなかったという事も聞いた事があります。
絶対にやめてください。
2)統合脅威(含ウイルス)対策製品の併用です
ふたつのセキュリティ製品の併用がおすすめです。
現在のセキュリティ対策のトレンドは、「入り口2段の出口2段」です。
従来は、入り口でなんとかウイルスを止めようとする防御が中心でした。しかし現在100%ウイルスを止める事はどうやっても不可能です。セキュリティを扱う業者の当社が言うのもおかしい話ですが、実情です。そのため、「感染しても、情報流出しようとする動きを検知して無効化する仕組み」というところが、重要視されています。
これを(ネットワークの)出口対策と呼んでいます。
(1)【ウイルス対策ソフト】は既に導入済みの企業は多いと思います。
ただし、それが最新の要件に対して有効なものかを判断出来る出来る人はそう多くないと思われます。
ぜひ、現在取引のあるセキュリティ製品取扱業者に問い合わせる事をお勧めします。
(2)【ネットワークセキュリティ機器】のUTMを導入する必要があります。
UTM(統合脅威管理)は、外から、会社(家)に入ってくる玄関口に立たせる警備員のような動きをする、ネットワークの機器です。
ウイルス対策ソフトが、新しい脅威の対策方法がわかり、駆除出来るようになる前にネットワークの入口と出口(玄関)で、脅威がやってきた物をソフトで駆除が出来るようになるまでの間、檻の中に閉じ込めておくような仕組みを持っている機械です。
3)情報の取り扱いが出来る範囲を絞ります。
営業担当者が、全社員の情報を知る必要はないと思われますし。
全社員の給与情報を知る必要があるのは、人事担当のみのはずです。
そうすると、必要なのは以下の通りとなります。
(1)アクセス権限の割り振りが必要です。
各、フォルダやアクセスを出来る人を決める必要があります。
(2)そもそもそのフォルダやアクセスするネットワークに繋がっているパソコン(端末)を
触る事が出来る人を決め、その人しか物理的にパソコン(端末)を触れなくします。
a)パソコンの周りに壁を作る
b)扉をつけて施錠する(最近の流行はICカードキーなど)
c)壁の中の端末自体にワイヤーロックをかけて盗難を防止する
こういった取り組みは、プライバシーマーク取得やISMS取得にも非常に有用な解決策となりえます。
【最後に】
どれだけシステムを整備しても流出させるのは「人」です。
ウイルス入のサイトにアクセスしようとするところにソフトや、セキュリティ機器が「ここは危ない場所です」と注意しても構わずアクセスしてしまうのが人です。組織、ルールの策定や社員全員のセキュリティ意識の向上が必要です。どうすれば?
・宝情報の営業担当に問い合わせください。
・お付き合いのあるセキュリティや監査を得意とする社労士や会計士、税理士などを探しましょう。
・お金をかけて、セキュリティコンサルタントを探すのもありです。
最後になりましたが、あけましておめでとうございます。
今年も当社が御社のセキュリティ向上に貢献致します。