「中小企業の情報セキュリティ対策ガイドライン」改訂版が公開されました。
関連法令等が最新の内容に更新され #テレワークセキュリティ に関する解説が追加。
さらに #インシデント対応 の基本的な手順を紹介する手引きも追加されました。
手引きではインシデント対応の基本ステップ「検知・初動対応」「報告・公表」「復旧・再発防止」のほか、各フェーズで求められるアクションを「ウイルス感染・ランサムウェア感染」、「情報漏えい」、「システム停止」の3つのケースごとに紹介されています。
#IPA #独立行政法人 #情報処理推進機構
#中小企業 #情報セキュリティ #対策 #ガイドライン
#中小企業の情報セキュリティ対策ガイドライン
#インシデント対応 #基本ステップ
#ウイルス感染 #ランサムウェア感染 #情報漏えい #システム停止
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html
Cloudbric WAF+とAWS WAFは、共にWebアプリケーションファイアウォール(WAF)ですが、それぞれ異なる特徴を持っています。
以下は、Cloudbric WAF+とAWS WAFの主な違いです。
以上が、Cloudbric WAF+とAWS WAFの主な違いです。どちらのWAFが適しているかは、使用目的や予算、システムの規模などによって異なるため、それぞれの特徴を比較して選択する必要があります。
弊社では、AWS WAF用のルールセットとなるCloudbric WMS for AWSの取り扱いもございます。
無償トライアルのお申込みもお承りいたしますのでお気軽にお問い合わせください。
阪神淡路大震災や東日本大震災、毎年のように全国各地で発生する大雨災害、新型コロナウイルスによる緊急事態宣言。
いつどこで天災や事故に巻き込まれるかわからない状況です。
さらには毎日のように発生している情報漏洩(ろうえい)や不正アクセスなどの情報セキュリティに関わる事件も、企業にとって悩みの種です。
こうした背景があり、徐々に事業継続計画(BCP)が求められる時代になってきました。
中でも急激にデータ量が増えている情報化社会の中で重要度が増している「IT-BCP」について、中小企業のレベルではスッポリと欠落している場合が多いのではないでしょうか。
まず最初に経済産業省が定義するBCPの定義とは以下の通りです。
BCP(事業継続計画)とは、企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のこと
https://www.chusho.meti.go.jp/bcp/contents/level_c/bcpgl_01_1.html
BCPの中で情報セキュリティは大きく分けて以下の通り2つの側面があります。
1は企業の活動が物理的な影響を受けてできなくなった場合の復旧対象の決定と優先順位の策定などを中心とした計画になります。
2は直接的に企業のデータやインフラが悪意を持った第三者に狙われることに対してどのようなポリシーを設定して対応していくのかを決め、かつセキュリティレベルを維持するべきかを検討する計画となります。
現代において意思決定に必要な情報収集・分析・伝達には情報システムが深く関与していることから、IT-BCPとして策定していく必要があります。
IT-BCPには、以下のような要素が構成されていなければなりません。
あくまでもBCP全体との整合性を取ることが大事であり、システムが使えるようになっても事業が維持できなければBCPとしては未完成であることが重要です。
IT-BCPの策定にご不安があれば、是非弊社にご相談ください。
2022年11月上旬頃より、Emotetの攻撃メールの配信が観測されない状態が続いていましたが、2023年3月7日から #Emotet 攻撃メールの再開が確認されています。
攻撃の手口は従来から大きくは変わりませんが、メールに添付されたZIPファイル内に500MBを超えるWord文書ファイルが含まれているものが新たに確認されました。
2022年11月上旬頃より、Emotetの攻撃メールの配信が観測されない状態が続いていましたが、2023年3月7日から再開されたことを観測しました。
これは攻撃に使用するファイルのサイズを大きくすることでセキュリティソフトなどの検知を回避する目的があると考えられます。すでに国内企業・組織にも着信している可能性が考えられますので「不審なメールの添付ファイルを開かない」などの基本的な対策を実践してください。
Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール(攻撃メール)に添付される等して、感染の拡大が試みられています。
Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです。
このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。
Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/security-alert/2022/1202.html
#Network #NetworkEngineering #ITSecurity #InfoSecurity #CyberSecurity
#UTM #L2Switch #アンチウイルス #アンチウイルスソフト #セキュリティ #ネットワーク #ネットワークセキュリティ #ネットワーク関連
#BCP対策 #事業継続計画
こちらの記事について、物騒な傷害事件としての側面は本稿では取り扱いしませんが、故意にコンピューター内のデータを消去してしまうという行為について、刑事・民事の両面からとりあげてみたいと思います。
マスク指導に不服でデータ削除 低評価なら「刺す」 市職員を免職
「マスク指導でもめましたよね。納得できず削除しました」
「(人事評価は) 自分は 標準だと思うがそれより低かった場合は、包丁をもって脅したり、刺したりすることを考えている」
https://www.asahi.com/articles/ASR315FGWR31UJHB00J.html
まず、刑事事件として扱分ける可能性についてですが、過去の判例から、故意に削除した場合、電子計算機損壊等業務妨害罪(刑法243条の2)に該当し、5年以下の懲役又は100万円以下の罰金に処せられることがありそうです。
次に、民事上の責任についてですが、故意又は過失によりデータを消去し業務上の損害が発生した場合、民法709条に基づき、その損害の賠償を請求することができます。
おそらく、データを再入力するための人件費や、データの再構築に要する費用は損害と言えます。
またそれ以外にデータ消去により休業を余儀なくされたのであれば、過去数ケ月分の収入を基に休業期間の得られたであろう利益・収益を損害として請求されることになります。
事業継続(IT-BCP対策)のためにも重要かつ企業の大切な資産であるデータ(各種情報)と、大切な社員を犯罪者にしないためにも、共有データ領域への適切な権限運用(閲覧・書き込み・削除)を実施することも、企業の重要な責務です。
ネットワーク全体を多様な脅威から守るためには、エンドポイント(PC、モバイル等)対策としてのアンチウイルスソフトだけでは不十分です。
社内ネットワークへのマルウエアの侵入や社外への情報漏洩を防ぐ「出入口対策」と、社内ネットワークに侵入してしまった未知の脅威に対して拡散を抑制する「内部対策」の両方を講じた多層多角的な防御体制が必要です。
「出入口対策」としては「UTM」(統合脅威管理)が効果的であり、「内部対策」として有効な「セキュリティスイッチ」を組み合わせて導入することで、セキュリティ体制をより強固に構築することが可能です。
| UTM | セキュリティスイッチ | アンチウイルスソフト | |
|---|---|---|---|
| ウイルス/マルウェアの侵入対策(インターネット経由) | 〇 | × | 〇 |
| スパムメール | 〇 | × | △ |
| フィッシング/有害サイト(Webフィルタリング) | 〇 | × | △ |
| ファイアウォール | 〇 | × | × |
| 不正侵入 検知/防止 | 〇 | × | × |
| C&Cサーバー通信対策 | 〇 | × | × |
| ウイルス/マルウェアの拡散防止(社内ネットワーク経由) | × | 〇 | × |
| LAN内の有害トラフィック攻撃 | × | 〇 | × |
| LAN内の通信盗聴 | × | 〇 | × |
| ループ 検知/遮断 | × | 〇 | × |
| ウイルス/マルウェア感染(ファイル経由) | × | × | 〇 |
| ウイルス/マルウェア感染(USB経由) | × | × | 〇 |
| ウイルス/マルウェア感染(公衆Wi-Fi利用時) | × | × | 〇 |
自社はどこから着手すればよいかというご質問に対しては、各社さまいろいろな構想もおありかと思います。
自社にはどれが最も良いサービスなのか迷ったら、弊社までお問い合わせください。
2023年2月1日から2023年3月18日は内閣セキュリティセンター(NISC)が推進する#サイバーセキュリティ月間です。
この機会に、サイバーセキュリティについて関心を高め、理解を深めていきましょう!
サイバーセキュリティ月間とは
不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。
誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。
このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、本年は日米豪印の4か国(QUAD)で連携をしつつ、サイバーセキュリティに関する様々な取組を集中的に行っていきます。
【2023年サイバーセキュリティ月間特設ページはこちら】
https://security-portal.nisc.go.jp/cybersecuritymonth/2023/
【参照リンク】
NISC | みんなで使おうサイバーセキュリティ・ポータルサイト
NISC | 基本的なセキュリティ対策 OSや家庭用無線LANルーターの設定や利用
経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化
https://netkeizai.com/articles/detail/7922
各種検索サイトから弊社の記事へお越しになられた皆さまのなかには、決済代行・カート会社各社の3Dセキュアの導入やeKYCの導入ということのみならず、忘れられがちなWebサーバー側のセキュリティ強化についても非常に興味をお持ちの方もおられるのではないでしょうか。
特にこのサイトをご訪問の方のなかには
などが多くおられることと思われます。
ECサイトの構築費や運営費を抑えるため大手のショッピングモールを利用されず、自社運営を選択された事業者さまには、今回の経済産業省の通知が非常に厳しいものとして受け止められているのではないでしょうか。
大手ショッピングカートシステムでは、(その分のシステム利用料金を支払っておられるため)さまざまなシステム的セキュリティ対策が自動的に適用されますが、自社運営のECサイト、特に脆弱性を内包したままの古いバージョンのECシステムでは、お客様の手前、非常に心許ない状況かと思います。
上の状況に少しでも心当たりがある事業主さまは、是非 クラウド型WAF の Cloudbric WAF+(クラウドブリック)をご検討ください。
後付けでサーバーのリソースを枯渇させることなく、外部からの様々な悪意を持ったアクセス(Web攻撃)を遮断し、DDoS攻撃からもWebアプリケーションを保護します。
また、あまり語られることは少ないかと思いますがクレジットカード会社から情報漏えいを疑われた場合、ウェブサイト運営者が実施することとして、
・Webサーバーをインターネットから切り離す
・専門機関に対しサーバーのフォレンジック調査を依頼
することとなります。
ところが、一般的なレンタルサーバーでECサイトを立ち上げている場合、「Webサーバーをインターネットから切り離す」ということができず、アクセスログの種類も多くなく(WebのアクセスログだけではなくサーバーOSのアクセスログなども必要)かつ、ログの保存期間もあまり長くないため、様々な結果から「専門機関に対しサーバーのフォレンジック調査を依頼」することができなくなってしまいます。
こうなるとECサイトの再稼働は非常に厳しいものとなり、再開はほぼ不可能となってしまいます。
弊社では上記のような対応の経験から、WAFでのWebサーバーセキュリティおよびWebサーバー自体の立ち上げまで、全てをお承りすることも可能です。
Webサイトに特化した「Webサイト 診断」
WebサイトやWebアプリケーションの脆弱性を診断する「Webアプリケーション診断」
システムの基盤となるミドルウ ェアやOSなどの診断を行う「プラットフォーム診断」
など、
経済産業省の定める「情報セキュリティサービス基準」への 適合を認められ、独⽴⾏政法⼈情報処理推進機構(IPA) が公開する 「情報セキュリティサービス基準適合サービスリスト」へ登録されている脆弱性診断をご提供することも可能です。
お問い合わせお待ちしております。
第6回 クレジットカード決済システムのセキュリティ対策強化検討会 | 経済産業省
https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/006.html
クラウドPBXをご利用の環境にUTMを新設したり、またはその逆をした場合に音声通信がプツプツと切れるような障害が発生したことはありませんか?
・クラウドPBX
・UTM
両方の環境は大抵の場合異なるベンダーでの導入を強いられるため、それぞれの通信に問題が発生する場合が多くあります。
一元管理できれば良いのですが、大企業から中小企業まで、なかなかクラウドPBXとUTMの両方をコントロールするのは難しい現状でもあります。
そんな環境を可能な限り解消するべく、両方の取り扱いを数多く手掛ける弊社では通常の INNOVERA PBX + WatchGuard(UTM)だけではなく、随時UTMを検証実施してまいります。
音声データ通信・通話品質の向上と、ネットワークのセキュリティにご興味があるお客様は、是非一度お声がけください。
#サクサ #SAXA #統合脅威管理アプライアンス #SS3000 #SS6000
#UTM #Network #NetworkEngineering #ITSecurity #InfoSucurity #CyberSecurity
社内ネットワークに安心・安全な環境を提供します
#尼崎 #阪神尼崎 #Emission
推奨環境 INNOVERA PBX + WatchGuard(UTM)はこちらをご確認ください。
INNOVERA PBX(クラウドPBX イノベラ)
お問い合わせお待ちしております。
年末年始の長期休暇を迎えるにあたって、社内システムの情報セキュリティ対策は必須です。
休暇前と休暇後に行っていただきたい対策について、内閣府サイバーセキュリティセンター等が注意喚起していますので、是非ご覧ください。
