IPA GWのサイバーセキュリティ対策
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策が案内された。
長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがち。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性がある。
これらのような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、のそれぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しているので、是非確認いただきたい。
上記リンク先において、対象者毎に参照すべき範囲は以下のとおり。
(1)個人の利用者:個人向けの対策(3.)
(2)企業や組織の利用者:個人及び企業・組織のシステム利用者向けの対策(2-2. / 3.)
(3)企業や組織の管理者:個人、企業・組織のシステム利用者及び管理者向けの対策(2-1. / 2-2. / 3.)
被害に遭わないためにもこれらの対策の実施してほしいとしている。
【企業や組織の方々へ】
インターネットに接続された機器・装置類の脆弱性を悪用するネットワーク貫通型攻撃が相次いでいる。昨年の8月及び今月には、同攻撃に関する注意喚起を行っている。
攻撃を受けた場合、保有情報の漏えいや改ざんに加え、不正な通信の中継点とされてしまう、いわゆるOperational Relay Box(ORB)化などの被害が予想される。 特に、ORB化された場合、意図せずに他組織等への攻撃に加担することに繋がるため、脆弱性対策と日頃のログ監視が重要である。
今一度、自組織のインターネットに接続された機器・装置類の確認をしてほしい。
