Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

データ侵害を防止する4つの方法

つぶやいてみた。

個人情報を始めとするデータ侵害は、侵害時の影響や(GDPR等の罰則)を考慮すると企業が真剣に取り組むべき課題となりつつあります。HelpNetSecurityで関連記事が出ていました。

www.helpnetsecurity.com

 

 

キタきつねの所感

IBMの調査ではデータ漏えいコストが過去5年間で12%増加し、対策等も含む諸々のコストは平均で392万ドル(約4.2億円)かかるとされています。データ侵害の発生する原因は様々で、銀の弾丸(万能な対策)は存在せず、多層防御のアプローチが重要になってきます。

参考:

www.helpnetsecurity.com

 

組織がデータ侵害を防ぐ4つの効果的な方法は以下の通りです。

1.従業員のトレーニン
すべての新入社員にデータセキュリティトレーニングを実施し、毎年の初めにすべての従業員が復習コースを受講するように要求するため、最新のセキュリティガイドラインが新鮮になります。

(中略)

すべてのデバイス(デスクトップ、ラップトップ、タブレット、電話など)を組織のシステムにアクセスできるものとして扱います
・パスワードを書き留めたり、他人が簡単に見つけられるようなパスワードの記録を残したりしないでください。
・パスワードやその他の機密情報を要求する未確認の人々からの電子メールや電話に特に疑いを持たないでください。


最新の侵害統計を組み込んで、脅威の深刻さと蔓延、および起こり得る経済的影響を伝えるのに役立ちます。

(HelpNetSecurity記事より引用)

 

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

当たり前の事が一番重要なのだと思います。書かれている事は普通な気がしますが、新型コロナ対応でのテレワーク環境、TV会議ソフト等、会社システムへの接続が多様化していますので、特に新たに登場してきた技術に対してよく考えた教育コンテンツにすべきかも知れません。

 

2.フィッシング攻撃をシミュレートする
多くのセキュリティ問題は、悪意のある電子メールのリンクをクリックするなどの人為的エラーの結果です。

スピアフィッシングの試み(つまり、高度にターゲットを絞ったカスタマイズされたフィッシング攻撃)は、特定の担当者を標的にするため、より多くの侵害につながる傾向があります。メッセージは、部門または通常の職務を参照している場合があり、特定の日のターゲットの受信ボックス内の他の関連メッセージと同様に表示される場合があります。

 

(HelpNetSecurity記事より引用)

 

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

人の脆弱性を狙った攻撃の中で、未だに猛威を振るっているのがフィッシング(BEC含)攻撃です。以前のフィッシングメールは日本語に怪しさがあったり、メールアドレスに違和感があるものが多かったのですが、最近は改善され始めており、実在の得意先アカウント等が侵害されて送付されてくるフィッシング(APT)攻撃も出てきています。そうした意味で、メール訓練も繰り返し行う事が重要です。

 

3.アカウントを評価する
ITチームはどのくらいの頻度で既存のアカウントを評価しますか?間違いなく複雑なプロセスになる可能性がありますが、組織内でアクティブ化されたすべてのアカウントを評価することは、セキュリティを強化し、デジタルブロートを最小限に抑えるのに大いに役立ちます

元従業員が引き続きアクセスできる、孤立したアカウントが組織内に浮かんでいますか?組織内の位置が変わったときに、さまざまなユーザーがアクセスできる必要があるものを決定および更新するためのレビュープロセスはありますか?

(HelpNetSecurity記事より引用)

 

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

アカウントの評価=棚卸ですが、「Need To Know」あるいは「最小権限付与」の考えに従って定期的に見直すべきです。特に退職者の権限削除は、最近でも事件が少し出ていますので留意すべき点かも知れません。

 

4.ユーザーアカウントのライフサイクルプロセスを確認する
従業員が退職したり、外部のコンサルタントがサービスを提供しなくなったりした場合に、アカウントを非アクティブにするための標準的なプロセスは何ですか?この種の離脱は、差し迫ったセキュリティの懸念を伴うかどうかにかかわらず、システムで悩まされている孤立したアカウントの最も重要な原因です。

アカウントの無効化を手動で管理または自動化することが重要です。組織の非アクティブ化プロセスを確認および最適化して、アカウントを迅速に制限することに関して、プロセスがどの程度迅速かつ包括的であるかを判断します。

(HelpNetSecurity記事より引用)

 

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

権限付与したらそれっきり、という企業は案外多いのではないでしょうか。退職者や異動者、あるいはプロジェクトで一定期間作業をしていたサードパーティのアカウントが全て適切な権限を持っているかどうか、定期的なチェックのみならず、例えば定期人事異動で異動に伴うプロセスに付随して、アカウントを見直す(権限削除する)様な運用になっているかどうかを見直す事も必要かと思います。

 

 

余談です。アクセス管理については、上記事項に併せて、社外からリモート(シンクラ)端末のアクセスには多要素認証を課す事で、外部からの意図しない不正アクセスや、退職者の不正アクセス管理も(やり方によって)容易になるかと思います。

IDとパスワードのみで管理する場合は、社員教育をよほどしっかり行わないと、不正侵害の潜在リスクは高いままとなる可能性が高い事には留意が必要です。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 機動隊のイラスト

 

更新履歴

  • 2020年4月4日 AM(予約投稿)