<aside> 📢 2021年度の情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックをまとめた資料(全260P)
</aside>
<aside> 📢 キーワードは、「①ランサムウェア」「②サプライチェーン攻撃」「③Emotet」「④Apache Log4jの脆弱性 」「⑤VPN機器の脆弱性」かな。 ※①:「ransom」(身代金)と「software」(ソフトウェア)を組み合わせた造語で、パソコンやネットワーク接続された共有フォルダ等に保管されたファイルを暗号化することや、画面をロックすること等により、パソコンやファイルを使用不可にするウイルスの総称 ※②:標的とする組織に対して直接サイバー攻撃を行うのではなく、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする組織へ不正侵入をするサイバー攻撃の総称 ※③:情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスの一種 ※④:Apache Log4j:Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリ ※⑤:VPN機器:仮想専用線 (Virtual Private Network)を構築するための機器
</aside>
<aside> 📢 2021年度は、重要な組織やインフラに大きな影響を与えたランサムウェアが目立った。 ・2021年10月:徳島県つるぎ町の町立半田病院が攻撃を受けてバックアップデータまで暗号化されて復旧が困難。診療に影響を与えた⇒2022 年 1 月4日の全面再開まで約 2ヵ月間、病院の機能低下を強いられた。 blogでも書きました!→ http://plug-in01.com/topics/archives/152 ・2022年3月:自動車部品会社(小島プレス工業株式会社)がランサムウェア攻撃を受けたことにより、トヨタ自動車株式会社が国内全工場(14工場28ライン)を3 月1日に丸 1日停止させるという被害
</aside>
<aside> 📢 ランサムウエアの感染経路は、「VPN機器からの侵入」が54%! 2位は「リモートデスクトップからの侵入」 20% 3位「不審メールやその添付ファイル」を経由した侵入7% 。 不審なメールからの感染が多いと思っていましたが、意外。 テレワークの急速な拡大等に伴い生じた脆弱性が突かれている傾向。
P14
</aside>
<aside> 📢 2021 年の情報漏えいの概況 2022 年 1 月に株式会社東京商工リサーチ(以下、東京商工リサーチ社)が公開した上場企業の個人情報漏えい・紛失事故の調査結果によると、2021 年に個人情報の漏えい・紛失事故を公表した上場企業は 120社(2020 年は 88 社)、事故件数は 137 件(2020年は 103 件)、漏えいした個人情報は 574 万 9,773 人分(2020 年は 2,515 万 47 人分)に達した。漏えいした個人情報は大幅に減少しているが、公表した社数、事故件数ともに調査を開始した 2012年以降で最多となった。 まぁ年々増加している実感はありますよね。
P49
</aside>
<aside> 📢 不正アクセスによる情報漏えいが「49.6%」! 2021 年の情報漏えい・紛失事故 137 件のうち、原因として最も多かったのは「ウイルス感染・不正アクセス」の68 件、構成比 49.6%(2020 年は 51 件、構成比 49.5%)、次いで「誤表示・誤送信」が 43 件、構成比 31.3%(2020年は 32 件、構成比 31.0%)。 これも、確かにそうだろうなぁ、と思いますが、おそらく、メールの誤送信・誤FAX・誤渡し・紛失・誤廃棄などは報告されていないだけで、実際は相当多いと思います。
P50
</aside>
<aside> 📢 早急な事故の公表が重要! 不正アクセスが検知された段階で公表することにより、類似の攻撃によるインシデントの未然防止や早期検知に貢献できる。また流出が確認された場合は、情報の悪用による二次被害を防げる可能性がある。そのため、企業・組織は早期に公表、あるいは関連機関への報告を行い、調査を継続して経過を伝えることが重要である。 改正個人情報保護法で、報告義務も規定されました!
</aside>
<aside> 📢 個人情報を必要以上に保有しないこと! 株式会社ネットマーケティングの事例(恋活・婚活マッチングアプリ「Omiai」から171 万 1,756 件の年齢確認書類画像データが流出)では、会員情報の保管期間を一律で退会後 10 年間としていたが、被害後、年齢確認書類画像データは提出後 72 時間で自動削除、その他の個人データは退会後90日間と変更し、他の安全対策とともに運用を開始した。 過去blogでも書きました!→ http://plug-in01.com/topics/archives/102
</aside>
<aside> 📢 情報システムの脆弱性の動向 脆弱性対策情報データベース「JVNiPedia」 国内外のソフトウェア製品の脆弱性対策情報を収集し、蓄積している。
</aside>
<aside> 📢 国内の情報セキュリティ政策の状況 2021 年 9 月に改訂・閣議決定された「サイバーセキュリティ戦略」で挙げられている四つの施策項目 ①経済社会の活力の向上及び持続的発展~DX with Cybersecurity の推進~ ②国民が安全で安心して暮らせるデジタル社会の実現 ③国際社会の平和・安定及び我が国の安全保障への寄与 ④横断的施策
</aside>
P72
<aside> 📢 地方自治体の情報セキュリティ 総務省は**「地方公共団体における情報セキュリティポリシーに関するガイドライン」について、2022 年 3 月25日に改定版を公開した。 <主な変更点> ①業務委託・外部サービス利用時の情報資産の取り扱いについて • 外部サービスを「業務委託」と「外部サービス」**に再定義した上で、「機密性 2 以上の情報を取り扱う場合」と「機密性 2 以上の情報を取り扱わない場合」に区分し、取り扱う情報に応じたセキュリティ対策を追記 • 機密性 2 以上の情報を取り扱う外部サービスの利用ライフサイクルに渡るセキュリティ要件の追加、及びシャドー IT 対策となる組織内のサービス利用規定整備の要請を追記 • クラウドサービス選定の指標・基準等として ISMAPや ISO/IEC 27017 等の第三者認証の活用を推奨 ②未知の不正プログラム対策製品やソフトウェア等の導入に加え、監視体制や CSIRTとの連携を留意点として追記 ③多様な働き方を前提としたセキュリティ対策として • テレワークで職員が確認すべきチェック項目やショルダーハッキング防止等のテレワークの運用面に関するセキュリティ対策を追記 • BYOD(Bring Your Own Device)利用時のセキュリティ対策として IPアドレス、MACアドレス等による端末認証や端末利用申請手続きの遵守、端末に情報を保存できないようにする機能を設ける等の対策を追記 • Web 会議サービス利用時のセキュリティ対策としてWeb 会議に無関係な者が参加できないようにする対策等を追記 ④マイナンバー利用事務系から外部接続先(eLTAX、ぴったりサービス)へのデータのアップロードについて、 地方公共団体に対してリスク分析と情報セキュリティ対策の徹底を条件に認めることを追記
</aside>
<aside> 📢 サプライチェーンのセキュリティ対策状況の把握 NRI セキュア社調査(図 2-4-2)によると、企業が国内関連子会社のセキュリティ対策状況を把握している割合は、日本では 66.3% で、米国とオーストラリアでは 80%以上。
また、自社の水準を満たすために関連子会社へ改善要求まで実施している割合は、日本では約44.3% で、米国とオーストラリアでは 65% 以上。
**国内パートナー/委託先のセキュリティ対策状況を把握している割合は、日本では 46.9% で、米国とオーストラリアでは 85% 以上であった。**また、自社の水準を満たすためにパートナー/委託先へ改善要求まで実施している割合は、日本では 33.3%で、米国とオーストラリアでは 60% 前後であった。
**業種・業態・事業規模に関係なく、サプライチェーンを構成するすべての事業者が対策を検討し、協力することが重要!
⇒日本のセキュリティ対策が海外に比べて遅れているということ。やはり日本の良さでもある性善説の問題もあるのかな。昔と違って、転職も多いし、会社に対する帰属意識や愛社精神みたいなものも弱くなっているので、もっとリスク管理は必要ですよね。**
</aside>
<aside> 📢 経営層の意識改革が大事! 経済産業省は IPAを通じ、2021 年 8 月に**「サイバーセキュリティ経営可視化ツール」を公開した。 また、2022 年 3 月に「サイバーセキュリティ 経営ガイドラインVer2.0 実践のためのプラクティス集 第 3 版」**を公開した。
CISOを設置している企業の割合は、米国とオーストラリアが 90% 以上であるのに対し、日本は 46.1% にとどまっている
</aside>
<aside> 📢 政府情報システムのためのセキュリティ評価制度(ISMAP) 政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要件を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度。
</aside>