中小企業やベンチャーも気をつけたいセキュリティと情報資産の考え方

攻撃者から狙われやすい中小企業

セキュリティの専門家がスタッフにいない可能性が高い企業は、大企業よりも情報セキュリティの安全性が低く、取引先情報や場合によっては顧客の個人情報など比較的窃取しやすい環境であると思われます。
更にクラウドベースのオフィスアプリケーションやリモートワークへの移行により、より攻撃を受ける機会が増えています。

例えばクラウドを利用する際に設定されているアカウント情報ですが、これは多くの企業が従業員に与えているメールアドレスを利用しているため、攻撃者は簡単に類推することができます。
最近はパスワードの有効期限設定についても大手OSメーカーがセキュリティの推奨から外していますが、これはユーザーがパスワードを定期的に変更する際にパターン化させて繰り返し使っていたり、覚えやすい単語を使っているからです。

英国のNCSC（National Cyber Security Center）は3つのランダムな単語を使ったパスワードの方が、強度が高く、覚えやすいと提案しています。詳細を知りたい方は検索エンジンで「NCSC three random words」と検索してください。
攻撃者は窃取したアカウントとパスワードをどうするかというと、ダークウェブに掲載して販売します。
ダークウェブに掲載されてから1日も経たないうちに悪意のあるアクセスが行われます。

例えば、メールソフトに利用しているアドレス帳やメール本文が窃取されると、それを利用したメールでの攻撃で取引先が攻撃対象になります。
実際に聞いた話ですが、企業の役員クラスの方が海外出張で知り合った女性からのメールを開いてマルウェアに感染したという事例もあります。

幸運にもアンチウィルスソフトが検知してくれれば被害は防げますが、攻撃者は常に脆弱性を狙って攻撃してきます。

さらに困難なのは、被害を受けていてもそれを検知する術を持たない場合が多く、第3者からの指摘でサイバー攻撃に遭っていたことを知る場合が多いようです。

ではどういうセキュリティ対策をすればより良いのでしょうか。

パスワード管理

パスワードはシステム毎に変えるべきですが、覚えきれずに一緒にしてしまっている場合も多いと思います。

そのため、パスワードマネージャーという製品を利用する企業も増えています。特にクラウドベースのアプリケーションを使っている場合、多要素認証は設定しておいた方がよいでしょう。

大手OSメーカーはパスワード入力を廃止する方向です。近い将来、パスワードを考えたり覚えたりする苦痛から解放されるでしょう。

セキュリティパッチとアップデート

サイバー攻撃者はOSやアプリケーションの脆弱性を狙ってきます。

そのため、OSやアプリケーションの欠陥を修正するパッチをメーカーが配布していますが、その適用が遅れることで被害に遭うこともよくあります。

そのため、パッチが公開されたら迅速に適用する方策を立てることは非常に重要です。

ウィルス対策ソフトとファイアウォール

OSにバンドルされているウィルス対策ソフトやファイアウォールの設定はもちろんのこと、サードパーティから提供されているサイバーセキュリティ対策ソフトを導入することも有効な手段です。
前述の通り、アンチウィルスソフトと呼ばれる静的なファイル検知の製品ではバンドルされているウィルス対策ソフトと大きな違いはありません。

また、有名なウィルス対策ソフトは攻撃者によりリバースエンジニアリングされ、回避策を取られている可能性があります。
サイバー攻撃対策がイタチごっこになっている現状があるのです。

ここでは3種類ほど紹介しておきます。

イ：強制アクセス制御（最小権限の原則）を使った製品
ロ：仮想マシンによる実行環境の囲い込みを行う製品
ハ：ファイル照合ながら、深層学習を用いたアルゴリズムで検知する製品

それぞれに特徴があります。
イの製品はOSが提供しているアクセス制御にプラスする形で、マルウェアからのアクセスを防御する仕組みです。これは利用環境に応じてアクセスポリシーを設定する運用が必要となりますが、非常に強力な防御力を発揮します。

ロの製品は外部からのファイルを扱うアプリケーションを仮想マシンで実行し、サイバー攻撃が発生しても被害は仮想マシンでとどまり、メインのOSは保護されるという仕組みです。

ハの製品はディープラーニングというAI技術を利用した攻撃予測の製品で、ウィルスのデータベース（定義ファイル）に頼ることなく、ウィルスを検知します。

従業員へのセキュリティ教育

標的型攻撃メールのトレーニングを行う企業もあります。
従業員への啓発という点ではリスクを下げることが出来ます。

前述の事例のように役員クラスの方が被害に遭うこともありますので、従業員のみならず役員へのセキュリティ教育も重要です。

バックアップ

ランサムウェアに攻撃されファイルが暗号化されたとか、破壊されたという場合、速やかに業務を復旧させるにはバックアップが必要です。

注意が必要なのは、バックアップばかり入念に対策したけど、リストア出来ないという事態が起きない様にリストアの計画も実際のテストを含めて、ユースケース別に検証しておくことが重要です。

ネットワークの監視

インターネットに接続されていない閉域網ですらサイバー攻撃を受けることがあります。
VPN接続の場合もネットワークの監視が重要なので、以下の資料にてわかりやすく！まとめてあります。
社内共有資料としても使える資料なのでぜひご覧下さい。

サイバーセキュリティのチェック項目

CISA（米国のサイバーセキュリティ―・インフラセキュリティー庁）、FBI、NSA（米国の国家安全保障局）、カナダ、ニュージーランド、オランダ、英国のサイバーセキュリティ機関が不十分なセキュリティ慣行のリストをまとめました。
これらをチェックすることは防御力を向上させるのに役立ちます。

インシデント発生時の対応

インシデント発生時の対応を計画しておくことは被害の拡大を防ぐために重要です。
そのためにCSIRTを組織化するのがより良いと思いますが、インシデントの報告先や対応方法をまとめておくだけで計画的に対応が可能になります。