初心者のための情報セキュリティ対策講座:3.サイバー攻撃対策総論
本記事も含め、初心者のための情報セキュリティ対策講座は「中小規模のITユーザー企業(部門)などで、PCが得意と言う理由で情報セキュリティ担当になった方」などの、「情報セキュリティ対策が必要な事は理解できるけど詳しくは知らない」方に向けてセキュリティ対策の概要を掲載しています。
本シリーズの構成
- 0.情報セキュリティ?
- 1.情報資産の棚卸し
- 2.IT機器の物理・論理構成の把握
- 3.サイバー攻撃対策総論(本記事)
- 4.情報セキュリティマネジメントシステム(ISMS)
本記事の目的
「0.情報セキュリティ?」でも簡単に記載していますが、サイバー攻撃は組織外部(中心はインターネット)からの脅威になるため必ず「攻撃者」と「攻撃の手口・対象」が存在します。その中でも、「攻撃者」を特定する事は難しいですが「攻撃の手口・対象」は学習することができます。
今回の記事ではサイバー攻撃に使われる主な「攻撃の手口」と「攻撃の対象」を知ることで、具体的な情報セキュリティ対策を実施する対象を特定できるようになる事を目的にしています。
このシリーズでは、ユーザー向けの情報としてユーザーが関わる・対策する事のできる一部の手法のみの紹介に止めています。
また、古典的な例では、攻撃の手口としてのパスワードクラックはサーバーを外部に公開していない場合、ユーザーが実施する対策としては優先順位は低くなってました。ですが、現在は個人でも問題になる事が増えている事や、事業でもクラウドサービスの利用が増えた事もあるため対策の優先順位は高くなっています。情報資産台帳をうまく活用して抜けの無いように注意して下さい。
サイバー攻撃とはどんなもの?
サイバー攻撃は決して新しい現象ではなく、何十年も前から(フロッピーディスクの頃から)存在していましたが、ネットワークの進化に伴ってますます洗練されてきており、単純なサービス拒否攻撃(DoS攻撃)から、機密情報を盗んだり、組織のITインフラストラクチャを破壊したりするマルウェアの使用までさまざまです。
サイバー攻撃の手口には多くの種類がありますが、全ての手口で技術的な弱点や人間の過ちを悪用することによって脆弱性を利用することを目的としています。
全てのサイバー攻撃に共通する対策(本記事の重要ポイント)
サイバー攻撃からの対策で最も一般的で効果的な方法は、すべてのデバイス・サーバー・アプリケーションには強力なパスワードやファイアウォールなどの対策を使用することと、使用しているOS、ソフトウェアのセキュリティアップデートを実施する事です。
また、技術的な対策だけでなくスタッフ個人が情報セキュリティに対する意識を向上させる事が重要です。
主なサイバー攻撃の手口と目的・対策
ポートスキャン
ポートスキャン自体はサイバー攻撃ではありませんが攻撃の前段階の調査としてとらえられるため、自身で管理していないサーバー・ホストに対しては行わないで下さい。
目的
- セキュリティ上問題のあるサービスの確認
- 既知のセキュリティホールがあるサービス実行の確認
攻撃の対象
- 外部公開されているサーバー・ホスト
対策
- 必要のないサービスやデーモンの停止
- OS、アプリケーションのアップデートによる脆弱性の修正
パスワードクラック
パスワードクラック自体の目的は不正なアクセス権限の奪取ですが、一度アクセス権限を奪われると情報漏洩や破壊に繋がります。
目的
- アクセス権限の奪取
攻撃の対象
- インターネットから接続できる全てのシステム・サービス
対策
- 適切なパスワードの設定(安易なパスワードを使わない、同じパスワードを使いまわさない)
- 2要素認証
- パスワード管理ソフトの利用
標的型攻撃・フィッシング詐欺
目的
フィッシング詐欺は攻撃者が銀行、取引先会社などの他の組織を偽って電子メールなどを送信し、対象者・組織から個人情報や金銭の取得などを目的とした詐欺です。
不特定多数の対象に対して送信されることもありますが、特定の個人・組織が対象とされた場合はソーシャルエンジニアリングなどの技術も使った標的型攻撃にもなります。
ICT機器の脆弱性ではなく人を狙った攻撃手口のため技術的な対策は困難です。
攻撃対象
- 個人・組織内の人間
対策
- ITリテラシー、情報セキュリティ意識の向上(運用面での対策)
マルウェア(含むランサムウェア)感染
マルウェアとは、コンピューターウイルスやワームを始めとした悪意のあるプログラムの総称です。ランサムウェアはマルウェアの一種で、感染したデバイスの情報を暗号化して使えない状態にした後、身代金を要求します。
マルウェアの感染経路は多岐にわたるため、具体的な対策は上述した「パスワードクラック」「標的型攻撃・フィッシング詐欺」への対策になります。そのほかにも、ここでは記載していませんが、外部公開しているサーバーのハードウェア・ソフトウェアの脆弱性を狙った攻撃に対しては技術的な対策も必要になります。
附則:無線LANに対する攻撃
適切な暗号化方法を選択している場合は無線LAN自体が攻撃対象になる可能性は少ないですが、利便性向上のために外部者用のWiFiやフリーWiFiを提供している場合は、偽アクセスポイントの有無には注意してください。
直接被害を受ける可能性は少ないですが、WiFi利用者が被害を受ける可能性があります。
狭い範囲で提供している場合は、無線LAN機器の電源を切ってもアクセスポイントが残っているかどうかで検出できます。
この記事のまとめ
この記事はあくまで初心者向けの記事のためサーバー管理など技術的な対策が必要なサイバー攻撃については取り上げていません。
IPA(独立行政法人 情報処理推進機構)でも情報セキュリティに関するポータルサイトが作られています。専門的な内容も多いですが初心者向けの分かりやすい資料もありますので、具体例や詳細、脆弱性対策情報などはそちらも合わせてご覧ください。
攻撃手口を知っていないと対策を立てることもできませんが、最も基本的で効果的な対策は適切なパスワード運用と定期的なセキュリティアップデート、職員全員の情報セキュリティ意識の向上と、外部のベンダー企業に頼る事の出来ない部分になります。
早道はありませんが、地道な取り組みは必ず実を結びます!
ディスカッション
コメント一覧
まだ、コメントがありません