最新記事
- (11/09)オリンパス、デジカメ4期連続赤字の衝撃!
- (11/06)ルノー・日産と三菱自、提携拡大3つの狙い!
- (11/06)三菱自とルノー・日産連合が業務提携!
- (11/02)苛烈なり!日産ゴーンCEOの体制変更!
- (11/01)ソフトバンク、"飛び道具"でドコモ越え!
- (11/01)ソニー、エレキ復活に「黄信号」!
- (10/31)ソフトバンク上期営業益が過去最高、来年度は売上高7兆円突破めざす!
- (10/30)今期業績を下方修正、コマツは何を見誤ったか!
- (10/30)三菱自動車、営業利益過去最高に!
- (10/30)アマゾンは、いつまで「利益ゼロ」なのか?
- (10/29)コマツの業績悪化で不安広がる、新興国は来年こそ正念場か!
- (10/29)ソニーとの合弁も BPOを武器に躍進するInfoDeliverの次の一手!
- (10/29)笑い止まらぬKDDI好決算の先行き!
- (10/25)ソニーが「α7」で狙うプレミアムカメラの覇権!
- (10/25)キヤノンを急襲する一眼レフカメラの変調!
- (10/24)キヤノンが下方修正、デジタル一眼が初の前年割れへ!
- (10/20)ソニー“高音質ハイレゾ”ウォークマン、iPodを追い詰める記念碑的製品となるか?
- (10/19)勢いづくソフトバンクが次に買収するのは?
- (10/19)ヤマダ電機、なぜ苦境に?上期連結初の赤字〜計画狂う中国出店、ネット通販台頭で現場混乱!
- (10/17)プロを悩ます? ソニーのデジカメ大胆戦略!
- (10/17)ドコモ、iPhone投入でも過去最大純減のワケ〜発表時期、対応遅れる機能、「5」なし!
- (10/17)構造不況の造船 海洋資源に走る!
- (10/17)業界の盟主ヤマダ電機、中間決算で赤字転落へ!
- (10/16)TDK高周波部品の受注好調、前年度比3倍の増産へ!
- (10/16)ソフトバンクが1515億円で射止めた"金の卵"!
- (10/16)カメラ事業は全く悲観せず=キヤノン会長!
- (10/15)ソフトバンク、「Clash of Clans」のスーパーセルを-約1515億円で買収!
- (10/15)米アップル、廉価版iMacを来年2014年に発売か ―中国市場向け!
- (10/15)Googleが広告にユーザー名やコメント表示…Facebook対抗策にプライバシーへの懸念も!
- (10/15)SONY再起動へ。打倒アップル・サムスンへの曙光!
GW中のセキュリティ問題を回避するための基礎知識!!
今週末からゴールデンウィークが始まるのを前に、JPCERT コーディネーションセンター(JPCERT/CC)が企業や組織のIT管理者および社員や職員向けてセキュリティ対策での基本的なチェック事項を紹介している。昨今は企業や組織を狙うサイバー攻撃が急増しているだけに、休暇中のセキュリティ問題を回避するためにもぜひ確認しておきたい。
JPCERT/CCは、長期休暇期間中ではセキュリティのインシデント発生に気がつきにくく、発見が遅れる可能性があると注意を呼び掛ける。休暇後にはサーバのログなどを確認して、不審なアクセスや侵入の痕跡がないかを確認したり、休暇期間中にインシデントが発覚した場合に備えて、対応体制や関係者への連絡方法などを事前に調整したりしておくことが大事だとアドバイスする。
最近のサイバー攻撃で目立つのが、Webサイトのユーザーアカウントに対して不正にログインが試行されるインシデントだ。実際に攻撃されたWebサイトの一部のケースでは不正ログインやサービスの不正使用につながった。不正なログインの試行ではパスワードなどの組み合わせパターンを全て試す「ブルートフォース」や、ある程度推測可能な組み合わせを試す「辞書攻撃」などが実行される。また、最近の事件では別のWebサイトで使われているパスワードの利用(使い回し)によって、被害につながったケースもあるようだ。
JPCERT/CCでは使用しているWebサービスの重要性に応じて複雑なパスワードを設定したり、サービスごとに異なるパスワードを設定したりするなどの対応を呼びかける。
こうした準備と併せて、IT管理者と社員や職員が休暇前にチェックしておくべき内容は次の通りだ。
システム管理者
1.インシデント発生時の連絡網が整備、周知されていることを確認する
2.サーバのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する。Webサーバ上で動作するWebアプリケーションの更新も忘れずに行う
3.重要なデータのバックアップを行う
4.ベンダーのサポートが切れているOSやソフトウェアを使用し続けていないか確認する
5.不要なサービスを無効にしているかどうか確認する
6.各種サービスへのアクセス権限を必要最低限に設定する
7.休暇中の業務遂行のために特別にシステムなどへのアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、およびそれに合わせた監視体制が整備されているか確認する
8.休暇中に使用しない機器の電源を切る
9.社員、職員が業務で使用しているPCやスマートフォンのOSやソフトウェアのセキュリティ更新プログラムの適用漏れが無いか、社員、職員向けに再度周知する
社員や職員
1.インシデント発生時の連絡先を確認する。
2.業務で使用している PC やスマートフォンのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する
3.パスワードに容易に推測できる文字列(名前や生年月日、電話番号、アカウントと同一のものなど)や安易な文字列(12345、abcde、qwert、passwordなど)を設定していないか確認し、他のサービスで使用していない文字列を設定する
4.業務遂行のためにデータを持ち出す際には、自組織のポリシーに従い、その取り扱いや情報漏えいに細心の注意を払う
5.業務で使用しているPCやスマートフォンなどを休暇期間中に自宅で使用する場合は、業務で認められた用途以外に使用しない
次に、休暇明けには以下の対応を行うべきとしている。
システム管理者
1.導入している機器やソフトウェアについて、休暇中にセキュリティ更新プログラムが公開されていないか確認し、セキュリティ更新プログラムが公開されていた場合は、セキュリティ更新プログラムを適用し、社員、職員向けに周知する
2.社員、職員に対して、休暇中に持ち出していたPCなどを組織内のネットワークに接続する前に、ウイルスチェックするように周知する(確認用のネットワークを別途用意するなど)
3.休暇期間中にサーバへの不審なアクセスが無いか確認する(サーバへのログイン認証エラーの多発や利用者がいない深夜時間帯などのログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など)
4.Webサーバで公開しているコンテンツが改ざんされていないか確認する(コンテンツが別のものに書き変わっていないか、マルウェア設置サイトに誘導する不審なscriptが埋め込まれていないかなど)
社員や職員
1.休暇中にセキュリティ更新プログラムが公開されていた場合はシステム管理者の指示に従いセキュリティ更新プログラムを適用する
2.社内ネットワーク経由でマルウェア感染が拡大する場合を考慮し、出社後すぐにウイルス対策ソフトの定義ファイルを最新の状態に更新する
3.休暇中に持ち出していたPCやUSBメモリなどは、事前にウイルスチェックを行った上で使用する
4.長期休暇中に溜った多数の未読メールが一度に受信されるため、多数のメールを処理する際には、誤って不審なメールの添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないよう注意する
なお、JPCERT/CCではセキュリティインデントの対応に必要な関係機関との調整活動を行っている。こうした対応に関する情報をWebサイトやメール(info@jpcert.or.jp)で受け付けているので、ぜひ活用してほしいとしている。
(www.itmedia.co.jp)
- 関連記事
≪ 絶好調JINSメガネ、次の一手!! | HOME | 東電、家庭向け新料金は“批判かわし”か!! ≫
コメントの投稿
トラックバック
検索フォーム
スポンサードリンク
人気記事
カテゴリーメニュー
月別アーカイブ
リンク
RSSリンクの表示
韓国芸能 人気カテゴリー&ページ