経済産業省における「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について」の注意喚起を受けて
[22/02/25]
提供元:PRTIMES
提供元:PRTIMES
一般社団法人ソフトウェア協会(住所:東京都港区、会長:荻原 紀男、略称:SAJ)のSoftware ISACでは、経済産業省の昨今の情勢を踏まえた、サイバーセキュリティにおける「リスク低減のための措置」、「インシデントの早期検知」、「インシデント発生時の適切な対処・回復」の大きく3つの項目の注意喚起を受け、より多くの皆様にわかりやすく、Webサイトやメール等で周知を行います。
具体的に想定されるサイバー攻撃としては、複数のコンピュータからサーバに大量のリクエストやデータを送り、サーバの機能を停止させる「DDoS(Distributed Denial of Service attack/分散型サービス拒否攻撃)」や、Webサイトを運営者の意図しない内容に改ざん(画像や文章が変更されたり、コンピュータウイルスのダウンロード可能なサイトに変更されたりするなど)、企業の新型コロナウイルス感染症禍において依存度の高いWebサイトなどのサーバなどが狙われる可能性があります。
また送信されてくる電子メールにコンピュータウイルスを添付したり、メールの本文に含まれるURL(http://www.〜や、https://www.〜のWebアドレス)に接続してコンピュータウイルスをダウンロードさせたりする攻撃(大量のメールを送る「マスメール攻撃」や、業界や組織を絞って行う「標的型メール攻撃」、その他にもIDやパスワードの窃取を主目的とした「フィッシング攻撃」)などが予想されます。
そこで、以下の3点について、ぜひ実行することを早急にご検討ください。
1.経済産業省の注意喚起にあるアクセスコントロールとは、機器やネットワーク、データなどにアクセス(触れることが)できる制御を行うことであり、これを実施することや、複数の認証の仕組みを用いる多要素認証などの認証の強化、組織内に存在するセキュリティパッチなどの更新を含め、ソフトウェアを最新版にし、既知の脆弱性によるサイバー攻撃が起きにくい環境を構築することに加え、導入済みのOS(Operating Systemの略であり、Windows 10やMacOSのこと)やセキュリティ製品の設定を見直すようにしましょう。特にセキュリティ製品には多くの種類があり、セキュリティ対策ソフト、様々なセキュリティの統合管理製品のUTM(Unified Threat Managementの略)、サーバであればWAF(Web Application Firewall)などがあります。
例えば、コンピュータにコマンド(命令)を送ることができるPowerShellは、インターネットやメール、オフィス製品が使えれば良い職場環境であれば、通常利用することはありません。不要な機能は無効化する設定の強化を行いましょう。(PowerShellの制御 https://bit.ly/3vnAESS)
また、導入しているソフトウェアを最大限有効活用することによって、組織のセキュリティ対策の強化も可能です。
2.電子メールに添付されるファイルがどのような形式のファイルであるのかを認識できるようにするために、拡張子を表示させ、危険な拡張子ともいえる「.scr」「.exe」「.pif」「.cpl」などは、できる限り利用者に届く前に排除するようにしましょう。(悪意のあるファイルを添付したフィッシングメール https://bit.ly/3heNB9x)
3.組織としてサイバー攻撃のリスクを低減するために、「最低限検討すべき緩和策」を端末(https://bit.ly/3vg5JIr)とWebアプリケーション(https://bit.ly/3IlApvx)などにおいても見直しを行いましょう。特に、経済産業省の注意喚起にも記載されたパスワードについては、デフォルト(初期設定)のパスワードは見直すことは勿論のこと、15文字以上のパスワードで連続した文字や繰り返し、ID情報なども含まないような形で設定しなおしましょう。またより長く設定が可能なパスフレーズの活用も効果的です。さらに、漏洩してしまったパスワードを利用している場合にもサイバー攻撃のリスクは高まります。漏洩パスワード、そして漏洩パスワードの特徴(https://bit.ly/3paGzH1)と類似するパスワードは利用しないようにしましょう。
以上のように、既に導入している製品や機能を使ってセキュリティ対策を強化することが可能です。Software ISACでは既に「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」(https://bit.ly/3BQKhL2)を、独立行政法人情報処理推進機構(IPA)内に設置された「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にてとりまとめています。
既存のセキュリティ製品の設定を見直す(高くする)だけでも、組織内のセキュリティレベルを向上できる効果があります。これを機に既に導入している製品そのものの有効活用をご検討ください。詳細は以下のページをご参照ください。
●経済産業省「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について」(令和4年2月23日)
https://www.meti.go.jp/press/2021/02/20220221003/20220221003-1.pdf
●独立行政法人情報処理推進機構「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」
1. Guideline – SoftwareISAC
https://softwareisac.jp/wp/?page_id=20073
2. 情報システム開発契約のセキュリティ仕様作成のためのガイドライン
https://bit.ly/3BQKhL2
3. 詳細設定対策に必要な措置
https://bit.ly/3shP9pr
4. MITRE ATT&CKに基づく詳細設定対策
https://bit.ly/33MR2ky
5. 最低限検討すべきデフォルト緩和策 端末編
https://bit.ly/3vg5JIr
6. 最低限検討すべきデフォルト緩和策 Webアプリケーション編
https://bit.ly/3IlApvx
7. 漏洩パスワード TOP200の特徴
https://bit.ly/3paGzH1
■一般社団法人ソフトウェア協会(略称「SAJ」)について
Software Everywhere 〜すべてはソフトウェアで動く、これからのデジタル社会へ〜
われわれSAJは、すべてのソフトウェアを対象とし、デジタル社会を推進するために、「ソフトウェア( 国) の未来を創る」をビジョンに見据え、ソフトウェアに関わるすべての組織(チーム)・人をサポートすることをミッションとし、活動しています。
https://www.saj.or.jp/
■Software ISACについて
IoTデバイスの普及に伴い、サイバー空間の脅威は非常に高まっています。また、OSSの活用が進む上で、脆弱性ハンドリングはますます難しくなっています。開発者は安全で安心なソフトウェアの提供をするために、脅威の手法や脆弱性情報を素早く入手する必要があります。そこで、セキュア開発や脆弱性管理の工数最適化や、ソフトウェアサプライチェーンの強靭化の研究を行い、安心・安全な日本への貢献を行う開発者のための情報交換基盤を提供することを目的に発足しました。
以下、Software ISAC公式Webサイトでは、組織概要の詳細や規則についてもご覧いただけます。
https://softwareisac.jp/
具体的に想定されるサイバー攻撃としては、複数のコンピュータからサーバに大量のリクエストやデータを送り、サーバの機能を停止させる「DDoS(Distributed Denial of Service attack/分散型サービス拒否攻撃)」や、Webサイトを運営者の意図しない内容に改ざん(画像や文章が変更されたり、コンピュータウイルスのダウンロード可能なサイトに変更されたりするなど)、企業の新型コロナウイルス感染症禍において依存度の高いWebサイトなどのサーバなどが狙われる可能性があります。
また送信されてくる電子メールにコンピュータウイルスを添付したり、メールの本文に含まれるURL(http://www.〜や、https://www.〜のWebアドレス)に接続してコンピュータウイルスをダウンロードさせたりする攻撃(大量のメールを送る「マスメール攻撃」や、業界や組織を絞って行う「標的型メール攻撃」、その他にもIDやパスワードの窃取を主目的とした「フィッシング攻撃」)などが予想されます。
そこで、以下の3点について、ぜひ実行することを早急にご検討ください。
1.経済産業省の注意喚起にあるアクセスコントロールとは、機器やネットワーク、データなどにアクセス(触れることが)できる制御を行うことであり、これを実施することや、複数の認証の仕組みを用いる多要素認証などの認証の強化、組織内に存在するセキュリティパッチなどの更新を含め、ソフトウェアを最新版にし、既知の脆弱性によるサイバー攻撃が起きにくい環境を構築することに加え、導入済みのOS(Operating Systemの略であり、Windows 10やMacOSのこと)やセキュリティ製品の設定を見直すようにしましょう。特にセキュリティ製品には多くの種類があり、セキュリティ対策ソフト、様々なセキュリティの統合管理製品のUTM(Unified Threat Managementの略)、サーバであればWAF(Web Application Firewall)などがあります。
例えば、コンピュータにコマンド(命令)を送ることができるPowerShellは、インターネットやメール、オフィス製品が使えれば良い職場環境であれば、通常利用することはありません。不要な機能は無効化する設定の強化を行いましょう。(PowerShellの制御 https://bit.ly/3vnAESS)
また、導入しているソフトウェアを最大限有効活用することによって、組織のセキュリティ対策の強化も可能です。
2.電子メールに添付されるファイルがどのような形式のファイルであるのかを認識できるようにするために、拡張子を表示させ、危険な拡張子ともいえる「.scr」「.exe」「.pif」「.cpl」などは、できる限り利用者に届く前に排除するようにしましょう。(悪意のあるファイルを添付したフィッシングメール https://bit.ly/3heNB9x)
3.組織としてサイバー攻撃のリスクを低減するために、「最低限検討すべき緩和策」を端末(https://bit.ly/3vg5JIr)とWebアプリケーション(https://bit.ly/3IlApvx)などにおいても見直しを行いましょう。特に、経済産業省の注意喚起にも記載されたパスワードについては、デフォルト(初期設定)のパスワードは見直すことは勿論のこと、15文字以上のパスワードで連続した文字や繰り返し、ID情報なども含まないような形で設定しなおしましょう。またより長く設定が可能なパスフレーズの活用も効果的です。さらに、漏洩してしまったパスワードを利用している場合にもサイバー攻撃のリスクは高まります。漏洩パスワード、そして漏洩パスワードの特徴(https://bit.ly/3paGzH1)と類似するパスワードは利用しないようにしましょう。
以上のように、既に導入している製品や機能を使ってセキュリティ対策を強化することが可能です。Software ISACでは既に「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」(https://bit.ly/3BQKhL2)を、独立行政法人情報処理推進機構(IPA)内に設置された「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にてとりまとめています。
既存のセキュリティ製品の設定を見直す(高くする)だけでも、組織内のセキュリティレベルを向上できる効果があります。これを機に既に導入している製品そのものの有効活用をご検討ください。詳細は以下のページをご参照ください。
●経済産業省「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について」(令和4年2月23日)
https://www.meti.go.jp/press/2021/02/20220221003/20220221003-1.pdf
●独立行政法人情報処理推進機構「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」
1. Guideline – SoftwareISAC
https://softwareisac.jp/wp/?page_id=20073
2. 情報システム開発契約のセキュリティ仕様作成のためのガイドライン
https://bit.ly/3BQKhL2
3. 詳細設定対策に必要な措置
https://bit.ly/3shP9pr
4. MITRE ATT&CKに基づく詳細設定対策
https://bit.ly/33MR2ky
5. 最低限検討すべきデフォルト緩和策 端末編
https://bit.ly/3vg5JIr
6. 最低限検討すべきデフォルト緩和策 Webアプリケーション編
https://bit.ly/3IlApvx
7. 漏洩パスワード TOP200の特徴
https://bit.ly/3paGzH1
■一般社団法人ソフトウェア協会(略称「SAJ」)について
Software Everywhere 〜すべてはソフトウェアで動く、これからのデジタル社会へ〜
われわれSAJは、すべてのソフトウェアを対象とし、デジタル社会を推進するために、「ソフトウェア( 国) の未来を創る」をビジョンに見据え、ソフトウェアに関わるすべての組織(チーム)・人をサポートすることをミッションとし、活動しています。
https://www.saj.or.jp/
■Software ISACについて
IoTデバイスの普及に伴い、サイバー空間の脅威は非常に高まっています。また、OSSの活用が進む上で、脆弱性ハンドリングはますます難しくなっています。開発者は安全で安心なソフトウェアの提供をするために、脅威の手法や脆弱性情報を素早く入手する必要があります。そこで、セキュア開発や脆弱性管理の工数最適化や、ソフトウェアサプライチェーンの強靭化の研究を行い、安心・安全な日本への貢献を行う開発者のための情報交換基盤を提供することを目的に発足しました。
以下、Software ISAC公式Webサイトでは、組織概要の詳細や規則についてもご覧いただけます。
https://softwareisac.jp/