はじめに
新型コロナウイルスの流行により、多くの企業において働き方が大幅に変わりました。それに伴い、大企業のみならず中小企業においても、不正アクセス・個人情報漏洩などのインシデントが数多く発生しています。
こうした背景からマキナレコード翻訳チームでは、
オーストラリア・サイバーセキュリティセンター(ACSC)がインターネット上で公開している、「中小企業向けセキュリティガイド」を翻訳しました。
ACSCとは
ACSCは、サイバーセキュリティに関する助言、支援、対応を行うオーストラリアの政府機関です。
*公式サイト:https://www.cyber.gov.au/
*【原文】「中小企業向けセキュリティガイド」
:”Small Business Cyber Security Guide”
https://www.cyber.gov.au/acsc/view-all-content/publications/small-business-cyber-security-guide
このサイトでわかること
今回紹介するセキュリティガイドでは、
企業を狙う主なサイバー脅威とその対策について、
少ない文字数とわかりやすい英語で説明されています。
(全体の文字数は多いですが、「ランサムウェア」「多要素認証」など各トピックあたりの文字数は少なめです。)
なので、
「中小企業向け」というタイトルではありますが、
中小企業に限らず、
□ セキュリティ専任の人材がいない…
□ セキュリティを学ぶ時間がない…
□ セキュリティの基本をわかりやすく知りたい…
という方に役立つ内容かと思われます。
「街かどセキュリティ相談室」、始動!
なお、宣伝で恐縮ですが、
弊社マキナレコードでは、
チャットで応対する中小企業向けのセキュリティ顧問サービス
の提供を2021年8月31日より開始いたしました。
ご興味のある方はこちら(弊社サイト)をご覧いただければ幸いです。
お待たせしました。
以下、翻訳です。
ネット空間に潜む脅威
この章では、ネット空間の脅威として最も一般的なものと、その対策について解説します。
マルウェア
マルウェアとは?
危害を加えるために作られた不正なソフトウェアです。
マルウェアとは、悪意のあるソフトウェア(ウイルス、スパイウェア、トロイの木馬、ワームなど)の総称です。
マルウェアの目的は?
混乱を起こすため、損害を与えるため、人をだますためです。
通常は、利益目的です。
マルウェアは、銀行のカード番号やパスワード、クレジットカード番号やパスワードなどの大切な情報にアクセスします。利用者のコンピューターを乗っ取ったり、監視したりすることもできます。このようなアクセスやデータを利用して、犯罪者たちは以下のようなことを行います。
□ 窃盗
□ いたずら
□ 政治的・社会的な行動(アクティビズム)
□ スパイ行為
□ その他の重大な犯罪
マルウェアは「ビジネス」にすぎない…
マルウェアの開発者は世界中のどこにでもいる可能性があります。開発者に必要なのはコンピューターと技能と悪意だけです。また犯罪者は、マルウェアを使って誰かを攻撃するための安価なツールを簡単に入手できます。マルウェアは特定の誰かを狙っているのではなく、単なるビジネスに過ぎないのです。
対策は?
☐ オペレーティングシステム(OS)を自動更新する
☐ ソフトウェア・アプリケーションを自動更新する
☐ 業務データのバックアップを定期的にとる
詐欺メール(フィッシング)
フィッシングメールとは?
「怪しい」「不審な」メールのこと。受信した人からお金やデータを騙し取るように作られています。
フィッシングメールとは、自分が知っていると「思い込んでいる」個人や組織からのメールです。これらのメールは、言葉遣いやデザイン、ロゴなどを模倣して「本物」を装い、ユーザーにリンクや添付ファイルをクリックさせます。そして、パスワードやクレジットカード番号などの個人情報を提供、もしくは確認するよう求めたり、偽のアカウントへの支払いを求めたりして詐欺行為を行います。また、見た目は本物でも中にマルウェアが仕込まれた添付ファイルを送ることもあります。
大量に送信されている
フィッシングメールは、通常何千人もの人に送信されています。たとえごく一部の受信者が詐欺に引っかかったとしても、重要なデータやまとまった金額が奪われてしまいます。
フィッシングの種類
☐ フィッシング(必要なスキル:低 / 標的:多)
明らかに怪しい大量送信メールであることが通常。数千人のターゲットに送信される。
☐ スピアフィッシング(必要なスキル:高 / 標的:少)
経営者、受付担当者、財務・給与担当者をはじめとする特定の個人に送られる、詐欺的で高度なメッセージ。
☐ ホエーリング(必要なスキル:高 / 標的:少数だが高価値)
CEOのような大物を狙ったスピアフィッシング。
狙われるのはメールだけではない
フィッシング詐欺はメールに限られた話ではありません。SMS(ショートメッセージ)、インスタントメッセージ、ソーシャルメディアでも被害に遭うことがあります。フィッシングはますます高度化し、発見するのが難しくなってきています。
フィッシングメールの見分け方
以下に注意してください。
☐ 金銭の要求。特に、緊急のもの、期限超過のものに注意 ☐ 銀行口座の変更 ☐ 添付ファイル ☐ ログインの詳細情報を確認または認証するよう求める依頼
ランサムウェア
身代金は絶対に払わない!
身代金を払っても、再度アクセスできるようになる保証はなく、2回目の攻撃を受けやすくなる恐れがあります。
ランサムウェアとは?
身代金を支払うまでコンピューターとファイルにアクセスできなくするマルウェアです。
ランサムウェア攻撃は通常、一見して無害に見える有害なメールに添付されたリンクやファイルを利用して実行されます。ほとんどのランサムウェアは、ダウンロードされたり開かれたりした際に、ユーザーのファイルを暗号化し、再びアクセスできるようにするための身代金を要求します。身代金は通常、ビットコインのような仮想通貨で支払うことが可能です。
目的は「お金」
身代金そのものは、古くから存在する効果的な犯罪ですが、現在ではネット上で行われています。ランサムウェアは、サイバー犯罪者にとってローリスク・ハイリターンの収入源です。ランサムウェアを開発して配信することは簡単です。また、中小企業のほとんどがランサムウェア攻撃に対する備えができていないという点も、サイバー犯罪者にとって有利です。
誰が狙われる?
小、中、大企業すべてが標的です。中でも中小企業は、セキュリティへの意識が低いことが多く、サイバーセキュリティ対策を実施する可能性も低く、サイバーセキュリティ対策にかける費用も少ないです。
対策は?感染したら?〜予防策と復旧策を〜
☐ オペレーティングシステム(OS)を更新する ☐ ソフトウェアを更新する ☐ 業務データのバックアップをとる
(*訳注)ランサムウェア対策についてもっと詳しく
マキナレコードでは過去に、英国NCSCが公表しているランサムウェア対策の資料を翻訳しています。より詳しいランサムウェア対策について関心をお持ちの方は、是非をお読みください。
https://codebook.machinarecord.com/4657/
ソフトウェアの管理
ソフトウェアをしっかり管理することで、上記のような、よく見られるサイバー脅威への対策を大幅に強化できます。
例えば、オペレーティングシステム(OS)は、コンピューター上で最も重要なソフトウェアです。 OSはコンピューターのハードウェアと全プログラムを管理するため、更新、バックアップ、メンテナンスが必要です。
以下は、ソフトウェアに関連して中小企業に検討して頂きたい事柄です。これらを通じて、レジリエンス(回復力)を高め、最新の情報を把握し、安全な状態を維持しましょう。
自動アップデート
アップデートとは、コンピューターやモバイルデバイスにインストール済みのソフトウェア(プログラム、アプリ、OS*)の新しいバージョンのことです。
言い換えるなら、「改良版」、「安全性の高いバージョン」とも言えます。
(*)OSとは…マイクロソフト社のWindows、アップル社のiOSなど
自動アップデートとは、アップデートが入手可能になり次第すぐにソフトウェアを最新版へと更新してくれる、デフォルトの(最初に設定したら、あとは全自動の)手順です。
やる意味は?何のため?
□ ネット上でのセキュリティを改善するため
□ 金銭、データ、個人情報を手堅く(=すぐに、専門家の手で直接)守るため
□ プログラムやアプリの機能や効率を向上させる
いつやるか?
今日から、毎日行いましょう。
□ 自動アップデートをオンにする、または承認する(特にOS)
□ 自動アップデートが利用できない場合は、定期的にアップデートをチェックし、できるだけ早くインストールする(特にソフトウェア)
□ 自動アップデートが行われる時間帯は、通常の業務に支障をきたさないように設定する
□ ウイルス対策ソフトを使用している場合は、必ず自動アップデートをオンにする
サポート終了のソフトウェアについて
ご使用のハードウェアやソフトウェアがあまりに古いと自動アップデートが行われない場合があり、技術的な問題、ソフトウェア面での問題、セキュリティ上の問題による影響を受けやすくなる可能性があります。ACSCでは、デバイスやソフトウェアのアップグレードを推奨しています。Windows 7は2020年1月14日以降、Microsoft Office 10は2020年10月13日以降、サポート対象外となる予定(*)です。
(*訳注)今回紹介しているACSCのレポートは2019年10月9日公表、2021年2月4日最終更新されたものです。マイクロソフト公式サイトによるとWindows 7、Microsoft Office 10とも、上記の日付にサポート終了済みとなっています。
Windows 7 : https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-information
Microsoft Office 10 : https://support.microsoft.com/ja-jp/office/office-2010-%E3%81%AE%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E7%B5%82%E4%BA%86-3a3e45de-51ac-4944-b2ba-c2e415432789
自動バックアップ
バックアップとは、会社の最も重要な情報(顧客情報、売上高など)をコピーしたデジタルデータです。(USBなど)外付けの接続されていないハードドライブに保存したり、クラウドに保存したりすることができます。
自動バックアップとは、人の手を介さずに自動的にバックアップを作成する、デフォルトの(最初に設定したら、あとは全自動の)手順です。
バックアップを作るたびに記憶装置の遮断・取り外しを行えば、バックアップしたデータはサイバーインシデント発生時に影響を受けなくなります。
やる意味は?何のため?
「安全」と「スピード」のためです
□ 情報の紛失、盗難、破壊があった場合でも、迅速かつ容易に業務を再開できる
□ 企業の信頼を守る、法的義務を果たすことができる
□ 常に保護されているという安心感から、価値を提供するビジネスに集中できる
いつやるか?
今日から、毎日行いましょう。
□ 業務に適したバックアップシステムを選ぶ
□ バックアップを復元できるかどうか、定期的にテストする
□ 物理的なバックアップをオフサイト(*)の安全な場所に保管する
(*訳注)オフサイト:バックアップの一種で、地理的に離れた場所にある機器にデータを保存すること「オフサイトバックアップ」という。
(参考)[外部サイト] IT用語辞典 e-Words
*業界によっては、特定の期間、記録を保持する義務があります。自社のデータ保持要件を必ず確認してください。
多要素認証(MFA)
多要素認証とは?
アクセスを許可する上で、2つ以上の本人確認情報を必要とするセキュリティ対策のことです。
多要素認証(Multi-factor authentication : MFA)では通常、ユーザーが知っていること(暗証番号、秘密の質問)、持っている「物」(カード、トークン)、ユーザーにもともと備わっているもの(指紋、網膜)の組み合わせが必要になります。
多要素認証を行う意味は?
セキュリティが大幅に強化されます
多要素認証で生じた複数のレイヤー(層)によって、攻撃を行うことがはるかに難しくなります。犯罪者は、暗証番号などの本人確認情報を1つ盗むだけでは不十分なのです。多要素認証のうち、最も一般的なのが二要素認証(2FA)です。
多要素認証をどこに導入する?
社内外の重要なアカウントへのアクセスがある箇所に導入すべきです。
中小企業は、できる限り多要素認証を導入するべきです。多要素認証の選択肢として、以下のものが挙げられます(が、この他にも存在します)。
□ 物理的なトークン
□ ランダムPIN
□ 生体認証/指紋認証
□ 認証アプリ
□ メール
□ SMS(ショートメール)
人と手順
どんなに小さな会社であろうと、サイバーセキュリティ対策をよく知った上で実行することは、社員全員にとって必要なことです。
とはいえ、小さな会社には専任のIT担当者を雇う余裕がないというのは、よくある話です。そこで、次の章ではアクセスできる人を管理する方法、企業情報を取り扱う人を管理する方法、従業員へのトレーニングを管理する方法についてご紹介します。
会社の内部プロセスや従業員たちは、サイバーセキュリティ上の脅威から会社を守るための最後の砦であり、最も重要な防衛手段の一つなのです。
アクセスコントロール
会社のコンピューター環境の中にあるものに、誰がアクセスできるのかを決める手順です。
アクセスコントロールとは、コンピューターシステムへのアクセス権を制限する方法のことです。
これにより事業主は、
□ アクセスの権限を与えたい人を決める
□ どの役職にどんなアクセスが必要かを決める
□ スタッフのアクセスコントロール制限を実施する
ことができるようになります。
やる意味は?
大切な情報に不正アクセスされる恐れを最小限に抑えるためです
多くの中小企業は、社内スタッフを雇用したり、外部の供給業者(ウェブサイト・ホスティング会社など)に業務を委託したりしています。
スタッフや供給業者の
□ ネットワーク
□ ファイル
□ アプリケーション
□ 秘密データ
に対するアクセス権を制限できるアクセスコントロールシステムは、会社を守る有効な手段の一つです。
「最小権限の原則」
「最小権限の原則」は、事業の性質によりけりですが、ほぼ全ての小規模事業者にとって一番安全な手段です。「最小権限の原則」とは、業務を行う上で必要最小限の許可をユーザーに与えることをいいます。この原則によって、「インサイダー」(組織内部の人間)が、故意過失を問わず事業を危険にさらしてしまう恐れが減ります。
マルウェア対策
☐ 管理者権限を制限する
☐ パスフレーズを共有しない
☐ アカウントの無効化を必ず行う
パスワードならぬ「パスフレーズ」
パスフレーズとは?
たった1つの単語ではなく、文をパスワードに使うこと
パスフレーズはパスワードと同様、コンピューターのシステム、プログラム、サービスへのアクセス権を確認するために使用されます。パスフレーズが最も効果的なのは、以下の場合です。
□ 多要素認証と併用している…先述の多要素認証(MFA)を参照 □ 固有である…有名なフレーズや歌詞ではない、かつ、再利用されていないもの □ 長い…一般的に、フレーズは単語よりも長い □ 複雑 …大文字、記号、句読点を使った文章の形を取っている □ 覚えやすい…ロックアウト(アカウントが一時無効になること)されずに済みます
なぜパスフレーズを使うべき?
「安全性」も「快適性」も向上します
□ 一般的なパスワードよりも解読が難しい
□ でたらめな文字列よりも覚えやすい
□ パスワードの必須条件に簡単に満たす – 大文字や小文字、記号、句読点
ブルートフォース(総当たり)攻撃と辞書攻撃
どちらも1秒間に数百万回、パスワード/パスフレーズの試行が行われます。
パスワードを破るのにかかる時間はどれくらい?
パスフレーズは、固定して使うデバイス、携帯するデバイスの全てで使いましょう。
パスフレーズは、会社にあるあらゆる機器のセキュリティを大幅に向上させます。以下、パスワードとパスフレーズのセキュリティを互いに比較した結果です。
従業員へのセキュリティ訓練
従業員と会社をサイバー脅威から守るための教育
サイバーセキュリティ・インシデントへの対応計画は、スタッフの習慣や行動を変えることに役立ちます。また、会社の安全を守る上での説明責任を一人一人が持っているという感覚を作ることにも役立ちます。インシデント対応計画によって、スタッフたちは
サイバー脅威を
□ 認識する
□ 回避する
□ 報告する
□ 取り除く
□ 復旧する
ための方法を学びます。
やる意味は?
従業員はサイバー脅威を防ぐ最前線であり、最後の砦でもあります。
従業員のミスはつきものです。事業主には、事業と顧客に関する情報を守る法的責任があります。だからこそ、サイバーセキュリティ訓練が必須なのです。
いつやるか?
定期的に行いましょう
サイバーセキュリティは進化し続けています。従業員全員に最新の情報を与え続けるかどうかが、犯罪者がお金やデータにアクセスするかどうかの分かれ目です。
☐ 従業員へのサイバーセキュリティ訓練・教育を導入し、更新し、定期的に繰り返す ☐ サイバーセキュリティ・インシデントの対応計画を立てる ☐ 脅威を見つけた従業員に報酬を与える ☐ サイバーセキュリティの文化を築く
セキュリティ簡易チェックリスト
ソフトウェア関連
☐ オペレーションシステム(OS)の自動アップデートをオンにする
☐ OSの自動アップデートが行われても支障のない時間をつくる
☐ ソフトウェア・アプリケーションの自動アップデートをオンにする
☐ ソフトウェア・アプリケーションの自動アップデートが行われても支障のない時間をつくる
☐ 業務データのバックアップをとる。バックアップデータはデバイスから分離し、接続されていない状態にする。バックアップデータが復元可能であることを定期的に確認する
☐ 多要素認証(MFA)を有効にする(有効にできるところは全て有効にする)。
行動・習慣
☐ アクセスコントロールシステムを確立し、誰が何にアクセスできるかを決定する
☐ 管理者権限を「必要な」場合のみに制限する
☐ 個々のログイン情報等のパスフレーズを共有しない
☐ 従業員が企業を離れた際は、必ずアカウントを無効化する
☐ 強力なパスフレーズを使用する
効果的なパスフレーズとは…
☐ 多要素認証と併用
☐ 長い
☐ 複雑
☐ 固有
☐ 覚えやすい
☐ 従業員へのサイバーセキュリティ訓練・教育を導入し、更新し、定期的に繰り返す
☐ サイバーセキュリティ・インシデントの対応計画を作成する
☐ 脅威を発見した従業員に報酬を与える
☐ サイバーセキュリティの文化を作成し、定期的な議論を推奨する
☐ 以下の内容を含むメールには常に注意する
☐ 金銭の要求(特に、緊急のものや期限超過のもの)
☐ 銀行口座の変更
☐ 添付ファイル(特に、不明または不審なメールアドレスからのもの)
☐ ログイン情報の確認、認証を求める依頼
セキュリティ用語集
ウイルス対策ソフトウェア
Anti-virus Software
コンピュータウイルスからコンピュータやネットワークを保護するためのソフトウェアプログラム。
アプリケーション
App
スマートフォンまたはタブレットで一般的に使用されるソフトウェアを指す用語。モバイルアプリケーションとも呼ばれる。
添付ファイル
Attachment
メールと共に送られてくるファイル。
認証アプリ
Authenticator App
多要素認証において、コンピューターユーザーの身元を確認して、アクセスや制御を許可するために使用されるアプリ。
生体認証
Biometrics
指紋や声などの生物学的特徴を測定することで人を識別すること。
ビットコイン
Bitcoin
インターネット上のさまざまなサービスに利用されるデジタル通貨(暗号資産 / 仮想通貨)。
ブルートフォース攻撃(総当たり攻撃)
Brute Force Attack
1秒間に何百万もの文字の組み合わせを生成する、攻撃手法の一種。短いパスワードや単一の単語から成るパスワードに対して有効。
サイバー犯罪者
Cyber Criminal
情報を破壊したり盗んだりするために、コンピュータシステムを不正にハッキングする者。
データ
Data
ファイル、テキスト、数字、画像、音声、動画を含む情報のこと。
デフォルト設定
Default Settings
コンピュータ、OS、プログラムが、ユーザーのためにあらかじめ設定しているもの。
辞書攻撃
Dictionary Attacks
ルールやデータベースに基づいて何百万通りもの試行を行う、攻撃手法の一種。複雑でなく、よく使われるパスフレーズに対して有効。
暗号化
Encryption
他者がデータの内容にアクセスできないようにするために、データを他者が読めないようにするプロセス。
ネットワーク
Network
データを共有できるようにするため相互に接続されたコンピュータ、サーバー、メインフレーム、ネットワーク機器、周辺機器などの集合体。
オペレーティングシステム(OS)
Operating System
コンピュータのハードドライブにインストールされるソフトウェア。OSにより、ハードウェアはプログラムと通信し、プログラムを実行できるようになる。
ソフトウェア
Software
一般的にプログラムと呼ばれるもので、ユーザーがコンピュータやそのハードウェアとやりとりしたり、タスクを実行したりするための命令の集合体。
スパイウェア
Spyware
ユーザーの行動に関する情報を秘密裏に収集するために設計されたプログラム。通常、ユーザーがリンクをクリックしたときに知らないうちにインストールされる。
クラウド
The Cloud
大規模、分散型の記憶装置と処理能力を提供するリモートサーバーから成るネットワーク。
トークン
Token
通常はキーホルダーに収まる物理的なデバイス。ネットワークやソフトウェア・アプリケーションで使用するセキュリティコードを生成するもの。
トロイの木馬
Trojans
多くの場合、正規のソフトウェアを装ったマルウェアの一種で、サイバー犯罪者がユーザーのシステムにアクセスするために使用するもの。
ウイルス
Virus
損害を与えたり、個人情報を盗んだり、データを変更したり、メールを送信したり、メッセージを表示したりするように設計されたプログラムのこと。
最後に
以上、オーストラリア・サイバーセキュリティセンターによる「中小企業向けサイバーセキュリティガイド」の翻訳でした。
なお、マキナレコードでは、平日毎日、海外のサイバーニュースのダイジェストを更新・公開しています。
よろしければ、こちらもご覧ください。
Cyber Alert【平日毎日更新】
https://codebook.machinarecord.com/category/cyber-alert/
Weekly Cyber Digest【毎週金曜更新(平日のみ)】
https://codebook.machinarecord.com/category/weekly-cyber-digest/
Analyst’s Choice【毎月1回更新】
:弊社インテリジェンスアナリストによる脅威分析
https://codebook.machinarecord.com/category/analysts-choice/
免責事項
今回翻訳・掲載したガイドの免責事項について、ACSCは以下のように明記しています。
本ガイドの内容は一般的な性質のものですので、法律上の助言と見なしたり、特定の状況や緊急事態における支援のために依拠したりしないでください。重要な問題については、ご自身の状況に応じて、独立した専門家の適切なアドバイスを受けてください。本ガイドに記載されている情報に依拠した結果として発生した損害、損失、費用について、オーストラリア政府は一切の責任を負いません。
読者の皆さまには、以上の点をご留意いただけますようお願い申し上げます。