すぐやろう!対サイバー攻撃アクション(2)
株式会社ハッピーコンビの中村です。
<脆弱性情報はどこで入手すればよいか?>
JPCERTコーディネーションセンターが運営・提携している脆弱性に関するメーリングリストやJVN(脆弱性対策情報ポータルサイト)などから自分が使っているソフトウェアに関する脆弱性情報が入手できます。
JVNとは?(https://jvn.jp/index.htmlから引用)
JVNは"Japan Vulnerability Notes"の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。
脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERTコーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。
すぐやろう!対サイバー攻撃アクション(1)
株式会社ハッピーコンビの中村です。
サイバー攻撃の手口についていろいろご紹介してきました。
ここからは同じく『中小企業向け サイバーセキュリティ対策の極意』(東京都産業労働局商工部 編)からサイバー攻撃の対策について紹介したいと思います。
<OSのアップデート>
パソコンのOSは可能な限り最新状態を保つようにする。自動更新が利用できる場合は自動更新機能を有効にする。サポートが終了した古いOSは使わない。
※2020年1月14日にはWindows7のサポート終了が予定されています。
業務に利用するスマートフォンのOSは機種ごとに情報を常に調べて手動で更新する。
<ソフトウェアのアップデート>
全てのソフトウェアを最新版にする。自動更新機能がある場合は必ず設定し、自動更新が設定できないものについては、定期的に脆弱性情報をチェック。
Internet ExplorerやOffice製品、Java、Adobe Flash Player、Adobe Readerといった多くの人が使う製品のセキュリティホールが攻撃対象となっていますので、特に対策が必要といえます。
サイバー攻撃の知識(5)
株式会社ハッピーコンビの中村です。
攻撃者が行うWebサイトの改ざんは、いたずらや主義主張を表示する目的で行われ、国際テロ組織の主義主張などが掲載されることもあります。
Webサイトを閲覧しただけでウイルスに感染するように改ざんされるケースでは、改ざんされた被害企業が感染に加担した加害者になってしまいます。
手口は脆弱性攻撃と管理用アカウントの乗っ取り
Webサーバーに存在する脆弱性を攻撃することにより、改ざんを行います。
直接コンテンツの改ざんを行う方法と、秘密の出入り口をつくるなどして遠隔操作できるようにしてから改ざんを行う方法の2つがあります。
管理用アカウントの乗っ取りによる改ざんでは、管理者のID・パスワードが盗まれ、攻撃者が管理者としてWebサイトを操作して改ざんしてしまうやり方です。
正規のWebサイト操作により改ざんされるので、被害にあったことに気付きません。
理論が実践に先行することはない
こんにちは。
株式会社ハッピーコンビの荒井幸之助です。
今回はドラッカーさんのお言葉シリーズ、「理論が実践に先行することはない」についてご紹介します。
私たちは、普段こうしたドラッカーさんのような先人たちのつくった理論を道具として、経営のご支援をしています。
経営支援を実践する上では、その時々の条件によって、最善と思われる行動は異なります。理論という道具を使って道しるべを作りながらも、実際どうなるか、結果はやってみないとわかりません。試行錯誤を繰り返す日々ですが、それが経営の、仕事の面白いところなのかもしれません。
以下、ドラッカーさんのお言葉です。
政府、大学、ビジネス、労組、教会のリーダーたる者が意思決定の 前提とすべきものが、「すでに起こった未来」である。
「すでに起こった未来」を知るには、今日当然としているものに反し、したがって新しい現実をもたらしつつあるものは何かを知らなけれ ばならない。
学者や知識人は、はじめに理論があり、政治、社会、経済、心理の 現実はそれに従って形成されると考える。そういうこともある。だが滅多にない。
理論が実践に先行することはない。
理論の役割は、すでに有効性を確認された実体を体系化することに ある。
個を一般化し、教え学ぶことのできるもの、一般に適用できるものにすることにある。
本年もよろしくお願いいたします!
ハッピーコンビの荒井幸之助です。
本年もよろしくお願いいたします。
2019年がスタートしました。
今年は新しい元号になったり、来年は東京オリンピックが控えていたりして、なんだかいつもの年よりもワクワクした感じがするのは私だけでしょうか。
知り合いの経営者の方々も、飛躍の年にする!という言葉を口々に話されていて、そんなこともワクワク感を高めているのかもしれません。
ところで、下町ロケット2が放映されたのに合わせて、「下町ロケット(最初の)」をようやく観ることができました。人間臭いドラマと逆転劇の痛快なストーリーに、何度も目頭が熱くなりました。
色々とツッコミどころはありますが、共感することも多く、とても楽しく最後まで観る事ができました。下町ロケット2も録画したので、観るのが楽しみです。
この主人公の持つ仕事への夢と情熱。アイドリングしていた心の炎を再び燃え上がらせる時を得たように思いました。
今年が皆様にとって、社会にとって、日本にとって、世界にとって、より良い年になりますように!
サイバー攻撃の知識(4)
こんにちは。株式会社ハッピーコンビの中村です。
サイバー攻撃の種類と内容について、サイバーセキュリティ対策向け冊子を参考にお伝えしようと思います。
内部不正による情報漏えい
ここまで、外部からのサイバー攻撃を紹介してきましたが、内部から攻撃されることもあります。内部の関係者が行う意図的な攻撃として、個人情報を売買するために、職務で知りえた情報を故意に持ち出すケースが挙げられます。これは漏えいというよりも情報窃取といえます。
うっかりミスや不注意による情報漏えいのリスクも存在します。
自宅で業務を行うために社内規則を守らずに内部情報を持ち出し、紛失してしまったなどほとんどの者が持出禁止のルールを知りつつ違反するケースです。
この時の持ち出し手段は、USBメモリーが一番多く、そのほかではメール、パソコンとなっています。
意図的であれ、うっかりであれ、個人情報の漏えいは企業に重大な打撃を与えます。
2016年に起きた情報漏洩事件の1件あたりの平均想定損害賠償額は6億円を超えています。信用は失墜し、巨額の賠償負担とあいまって業務停止に陥る事態につながります。
サイバー攻撃の知識(3)
こんにちは。株式会社ハッピーコンビの中村です。
サイバー攻撃の種類と内容について、サイバーセキュリティ対策向け冊子を参考にお伝えしようと思います。
集中アクセスによるサービス停止
サーバーに処理速度をはるかに上回る大量の要求が集中すると、利用者はそのサーバーにアクセスできない状態になり、最終的にはサーバーがダウンしてしまいます。インターネット回線の容量がオーバーして、接続不能に陥ることもあります。
サイバー攻撃の知識(1)で紹介した乗っ取られたパソコンから一斉に攻撃を仕掛けてきます。数万台から数十万台のパソコンを利用した攻撃の事例もあります。
さらに最近ではパソコンだけではなく、テレビやネットワークカメラなどインターネットに接続できるデジタル情報家電なども利用されているのが特徴です。
被害を受けた組織の事例として、2005年2~9月にかけ日本政府がこの攻撃の被害を受けました。中国における反日デモに呼応した集中攻撃と言われています。
また、某金融機関がインターネット画面に接続できない状態となり、攻撃停止と引き換えにビットコインによる支払いを要求されるという被害も報告されています。
