読書「小さな会社のIT担当者のためのセキュリティの常識」

情シスの勉強の一貫として最近読んだ本の内容をメモ(自分用) honto.jp

CONTENTS

・Intro: 中小企業が狙われる!セキュリティへの脅威と被害

 - 実際にあった被害ケースの紹介

・Chapter 1: セキュリティとサイバー攻撃

 - 今やお金すら情報化されている時代(Suica等のICカードAmazon等のポイントでお買い物、仮想通貨、ネットバンキング…)。今後更にIoT化が進む(あらゆるモノに通信機能が付き、インターネットに繋がる。例:冷蔵庫やエアコンがスマホを使ってインターネット経由で制御可能)。情報価値の高まり、インターネット活用による利便性の向上、ネットワーク技術の発展につれ、「サイバーセキュリティ問題」が多くなってきている。

 - 情報セキュリティとは※JIS Q 27001 (=ISO/IEC 27001) の定義によると
  情報の機密性、完全性、可用性を維持すること。更に、真正性、責任追跡性、
  否認防止及び信頼性のような特性を維持することを含めても良い。

  - 機密性:許可されている人や許可されているPC等以外からは、情報を使えない、
       閲覧できない、アクセスできないようにすること
  - 完全性:データの取扱権限を持つ人以外からは、情報が変更されたり、
       上書きされたり、消去、改竄されないようにすること
  - 可用性:事前に許可された人やPC等から情報の利用を求められたとき、
       エラーやアクセス禁止にならずに利用できること
  - 真正性:利用者や情報が本物であることを確実に保証できること
  - 責任追跡性:問題が発生した時にその問題の根本まで戻り、現象を追跡できること
  - 否認防止:情報の作成者が作成データにデジタル署名等を付与して、
        作成した事実を否認できないようにすること
        インターネットで買い物した際、購入事実を否認できないようにする
        ことも当てはまる
  - 信頼性:システム等が故障や不具合を起こすことなく意図した通りに利用できること
       (RAID1とかでミラーリングしたりして信頼性を維持する)

 - 企業が守るべき情報:物理的なPC等、書類、ソフトウェア、業務フローやノウハウ、
            ブランド価値や地理的条件等

・Chapter 2: 中小企業の経営者のためのセキュリティ基本講座

 - 「〇〇しているから大丈夫、〇〇していないから大丈夫」ではない
   全員が当事者意識を持ってセキュリティを意識する、対策することが大切
  - ウイルス対策ソフトだけでは不十分
   ※ウイルス対策ソフトは誰でもインストール可能で、悪意を持った人に
    とっては謂わばサンプル(それを元に更に攻略しようとする)のような
    役割をしてしまう
  - 乗っ取りやすいターゲットとして、PCを遠隔操作されてしまったり、
   加害者にされてしまうことも
  - フィルタリングしているし怪しいサイトを閲覧しない工夫をしていても、
   ターゲットが閲覧しやすいサイトにターゲットが来たときにのみ(ターゲットのIP
   アドレスで)罠を仕掛けられることもある

・Chapter 3: 担当者として知っておくべきネットワークの基礎知識

 - 社内ネットワークの構成、情報を整理する
 - 重要なネットワーク基本情報
  - IPv4アドレス:ネットワーク上の機器(PCやスマホ等)に割り当てられる           インターネット上の住所のようなもののこと
          「グローバルアドレス」と「プライベートアドレス」とがある
  - サブネットマスクIPアドレスを「ネットワークアドレス」と「ホストアドレス」に
            分ける際に使用するもののこと
  - デフォルトゲートウェイ:内部ネットワークと外部ネットワークを接続する                機器のこと(ほとんどの場合ルーター※)
  - DHCPサーバ:IPアドレスを自動的に各ネットワーク上の機器に割り当てる
          サーバーのこと(ほとんどの場合ルーター※)
  - DNSサーバ:ドメイン名とIPアドレスを変換するサーバーのこと
  ルーター:PC複数台、スマホ、ゲーム機等、様々なモノをネットワークに繋ぐ場合に必要

・Chapter 4: すぐにできるセキュリティ対策の基本

 - OS、ブラウザ、JavaFlashAdobe Readerウイルス対策ソフト等が最新状態に
  なっているか確認、アップデートする
  ※古いOSはインターネットに接続しないようにする
 - 監視カメラやシュレッダーを設置して紙の情報漏洩リスクを下げる
 - ウイルス対策ソフトを統一して一元管理する
 - NAS(ネットワーク上に接続できる外付けHDのようなもの)でアクセス権を
  設定・管理してファイル共有サーバーとして使用する
 - データのバックアップの種類・方法
 - USBメモリやSDカードの取扱について
  ※ウイルス対策&暗号化機能付きのUSBメモリがある
  ※PC本体のUSBポートに特殊なものを埋め込んで ポートを使用不可にすることが可能
 - 無線LANの取扱(IDやPWは絶対に変更する)
 - PCと無線LANルーターやアクセスポイント間の通信はWPA以上にする
 - PC盗難/紛失時に備え、HDを暗号化する
 - 連休前はPCの電源を根本から切断(通電しないようにする)
 - UTM(1台で総合的なセキュリティ対策が可能)を設置する
  ※ルーターの直下に置くのが望ましい(UTM機能付きのルーターもある)
  ※ネットワーク攻撃やウイルス、迷惑メールを防いだり、不正サイトを
   ブロックしたり、業務上不要なサイトの閲覧を防ぐことが可能

・Chapter 5: 中小企業が気をつけるべき、さまざまな脅威と対策

 - 様々な標的型攻撃や不特定多数への攻撃の種類と説明
  ※水飲み場攻撃とか、スパムメールとかランサムウェアとか
 - 不注意でのデータ喪失、PC故障等のリスクから回避するための対策
  - 操作ミスでデータ紛失:
   [対策] データはバックアップにしておく、アクセスログをとっておく等
  - ノートPC、USBメモリ紛失:
   [対策] ノートPC内のデータを暗号化しておく、そもそもUSBメモリを使用不可に
      しておく、社内教育の徹底等
  - HD内のデータ喪失:
   [対策] クラウド上にバックアップしておく、UPS無停電電源装置)の設定等
 - 人の心理を突いた攻撃の種類と説明
  ※ソーシャルエンジニアリングとかスプーフィング(なりすまし)とか

・Chapter 6: スマホタブレット利用時のセキュリティ対策

 - 実際にあった被害ケースの紹介
 - 「携帯電話」ではなく「小型パソコン」という認識を持つ!
 - スマホをPC経由で充電しない
 - スマホにもウイルス対策ソフトを入れる
  ・iPhoneの場合:
   アプリからウイルスに感染することはまずない(アプリDLはAppleStore上のみで、AppleStoreへのアプリ申請も審査が厳しいため)。ただし、偽サイト上でのワンクリック詐欺フィッシング詐欺を防ぐことはできないため、ウイルス対策ソフトが必要。
  ・Androidの場合:
   アプリは公式のGoogle Playストア以外からDL可能なものもあり、それらはGoogleの審査を通っていないためウイルス、マルウェアのターゲットにされやすい。ただし、以前Google Playストア上に悪意のあるアプリが登録されていたことがあるため、不正アプリをチェックするウイルス対策ソフトを入れた方が安全。また、iPhone同様偽サイトの対策も必要。
  ・おすすめアプリ:
   - カスペルスキー セーフブラウザ(無料):Safariの代わりに機能するWebブラウザSafariの使用をブロックすることが可能)。子供向けに閲覧不可カテゴリを設定することが可能。
   - ウイルスバスター(30日間のみ無料):日本語環境のみの対応。偽サイトや怪しいSMSから守る。SNSからの情報を防ぐ。子供向けに閲覧不可設定可能。不正アプリチェック(Androidのみ)等。  

・Chapter 7: マイナンバー制度とセキュリティ対策

 - マイナンバー制度の基本説明
 - 企業としてマイナンバーを収集、利用、保管、破棄する際の注意点
 - マイナンバーの漏洩、盗難を防ぐために下記4つの安全管理措置を講じる必要あり
  ・組織的安全管理措置:取扱責任者・担当者を決めて組織体制を整備する
  ・人的安全管理措置:事務取扱担当者の監督や教育を行う
  ・物理的安全管理措置:紙やデータでの流出を防ぐ為、セキュリティ対策を整備する
  ・技術的安全管理措置:情報にアクセスできる人を制御したり、識別・認証する

・Chapter 8: 知っておくべきセキュリティ関連法

 - サイバーセキュリティ基本法
  サイバーセキュリティにおける基本理念や考え方、戦略や組織体制を定義した法律
  下記3つを目的としている
  ・経済社会の活力の向上及び持続的発展
  ・国民が安全で安心して暮らせる社会の実現
  ・国際社会の平和及び安全の確保並びに我が国の安全保障に寄与すること
 - 不正アクセス禁止法
  ・禁止事項:他人のID/PWを取得・漏洩したり、実際にアクセスする等
  ・対策:複雑なPWを設定したり、不要なID/PWを削除したりする等
 - ウイルス作成罪:
  ・禁止事項:ウイルスの作成、提供、供用、取得、保管すること
  ・対策:ウイルス対策ソフトや怪しいメール/リンクを開かない等による自己防衛、OSを常に最新版にする等
 - 個人情報保護法
  ・禁止事項:個人情報を不適切に扱うこと
  ・対策:情報にアクセスできる人、端末等を制限したり、不要な情報を速やかに削除したりする等
  ※個人情報とは「氏名・生年月日」だけではなく、「○○さんが△△を買った」という情報全体が「個人情報」に該当すること。また、「他の情報と容易に照合することで特定の個人を識別することができる情報」も「個人情報」に該当する。
 - 迷惑メール防止法:
  ・禁止事項:送信に対する同意を得ていない人へ送信したり、送信者情報を偽って送信する等
  ・対策(送信者側):オプトイン方式(事前承諾なしで送信しない)を導入する
 - 電子署名法:
  ・禁止事項:不実の証明をさせること