『あなたのセキュリティ対応間違っています』2016/10/21
辻 伸弘 (著)

実際のサイバー攻撃を調査・解析した上で、企業や組織はどう対応したらよいかを教えてくれる本です。
JTBや年金機構の情報漏洩事件、アノニマス、ランサムウエアなど、世間を騒がしたセキュリティ事件・事故についての概要を知ることも出来て、現実の厳しさを思い知らされました。
JTBの情報漏洩事件は、JTB側の対応が遅れるように、わざと3連休を狙って攻撃をしかけたのではないかと推察されています。攻撃側は、最も効果的に「隙を狙える」時期を選んでくるんですね……本当に嫌な奴らです(汗)。
なかでも年金機構の情報漏洩事件では、巧妙な偽メールから、どのように身を護ったらいいのか悩まされました。と言うのも、「標的型攻撃メールの本文には、年金関連の団体がWebサイト内で使用していた実在する文章が使われていた」からです。これを偽物のメールと気づくのは、本当に容易ではないと思います。
また、年金機構では、個人情報が入っているファイルにはパスワードをかけるルールになっていたようですが、処理が煩雑になるため、実際にはほとんどの職員がパスワードをかけていなかったそうです。これに対して辻さんは、これは職員の個人的な問題ではないと言います。「守れないルールを作り、ルールが守られていないことに気付けていなかった時点で、本来は組織の責任なのです。守れないルールによる運用は、大変危険な脆弱性です」……セキュリティに関するルールは、可能な限り「守りやすい」ルールを設定すべきなのでしょう。
そして「マルウェアへの感染を想定し、感染した場合の対応方針を組織として事前に準備すること。できれば対応手順を実際に訓練しておく」ことが大事なのだと痛感しました。
この本は、セキュリティ担当の人だけでなく、経営層や一般人にとっても、(それなりに)分かりやすく最新のセキュリティ事情を説明してくれるので、とても参考になりました。
システムの脆弱性に対応するために取り組むべきことは、主に次の3つだそうです。
1)使用しているソフトウェアやそのバージョンなどを把握しておく
2)脆弱性情報は複数の報道を見た上で、必ず一次情報を確認する。
3)信頼できるセキュリティ専門家の意見をSNSなどを使って参考にする。
また、脆弱性情報を収集できるサイトとして、次の3サイトが紹介されていました。
1)Security Focus(脆弱性情報の検索サイト)
2)CVE Details(脆弱性情報をまとめたWebサイト)
3)The Exploit Database(攻撃コードや脆弱なソフトウェアの情報をまとめたWebサイト)
ITセキュリティというのは、難しいコンピュータ用語・めまぐるしく変わっていく技術情報を追いかけるのが大変な上に、「本業と関係ない」知識や行動を強いられるので、出来れば「誰かに丸投げでお任せしたい」分野です(汗)。
それでも、犯罪者から身を守るために「大金を持っている時は危険な夜道を一人でふらふら歩かない」程度の常識が求められるのと同じように、今後は、「誰でもITセキュリティの最低限の常識を持っている・行動していく」ことが求められるようになると思います。面倒くさくて本当はイヤなのですが(汗)、今後も、ITセキュリティの動向に注目していこうと思います。
最後に、誰でも知っておくべき「パスワード設定の3大鉄則」を紹介します。あなたは大丈夫ですか?
1)短い文字列を設定しない
2)名前や生年月日、単語など推測できる文字列を使わない
3)使いまわさない。