Yahoo!ニュース

狙われやすい長期休暇。夏季休暇前にセキュリテイ担当者が実施すべきこと

大元隆志CISOアドバイザー
(写真:アフロ)

 2022年も昨年までと同様にランサムウェアやEmotet等サイバー攻撃に関する報道が絶えません。サイバー攻撃者にとってはセキュリテイ対応が手薄となる長期休暇は狙い目です。

 来月からの長期休暇に備えてシステム担当者、セキュリテイ担当者として、実施しておくべきタスクをまとめてみました。

■長期休暇前の対応

■全般

 システムの種別に関らず以下の点については、長期休暇に入る前に総点検しておきましょう。

・セキュリティインシデント発生時の連絡網の確認

 セキュリティインシデントが発生した場合の緊急連絡網を整理しておきましょう。

・脆弱性対応

 認証に係わる重要なサーバーやリモートアクセス装置等に脆弱性がないか確認し、パッチ等が適用されているのであれば最新の状態を保つようにしましょう。

・バックアップの取得及び、オフラインでの保管

 ランサムウェアに感染した場合を想定し、重要なサーバーのバックアップを取得し、オフラインで保管しておきましょう。

・特権IDのパスワードを変更する

 事業継続に重要なシステムの特権IDを棚卸しし、それらの特権IDのパスワードを変更しておきましょう。もし、多要素認証が有効化出来るなら、多要素認証を有効化しておきましょう。

・アクセスログの取得状況を確認する

 外部からのリモートアクセス用装置等でアクセスログが正しく取得出来ていることを確認しておきましょう。また、シスログサーバー等にアクセスログを保存している場合はディスク容量等に問題がないかも確認しておきましょう。

■オンプレミス環境の注意点

 オンプレミス環境で特に注意すべき点について記載します。休暇中にマルウェアの感染が広まると対応が遅れ被害が拡大する恐れがあります。以下のような点に注意しましょう。

・不要なパソコンの電源を停止する

 休暇中にマルウェアに感染したパソコンが発生すると、マルウェアが社内で他に感染可能なパソコンを探します(ラテラルムーブメント)。そのため起動しているパソコンに感染被害が発生する可能性があるので、不要なパソコンやサーバーの電源は停止しておきましょう。

・サーバーの監視サービスの稼働状況を監視する

 最近のマルウェアは外部から遠隔操作され、サーバーの監視機能や保護機能を停止するものが存在します。こういった監視用に起動させているサービス等が停止したことを監視出来るようにしておきましょう。

・サーバーの再起動を監視する

 特定の脆弱性が悪用された場合にはサーバーが再起動することがあります。予定外の再起動は検知、調査するようにしておきましょう。

■IaaS環境における注意点

 IaaSを利用している場合の注意点を記載します。IaaSは見方を変えると誰でも簡単にデータセンタを所有するようなものです。サーバーを追加するなど簡単に出来てしまいます。以下のような点に特に注意しましょう。

・不要なインスタンスの停止

 インスタンスの棚卸しを行い、不要なインスタンは停止しておきましょう。

・不要なRDPの停止

 リモートワーク用にIaaSインスタンス上に勝手にRDPが有効化されていないかを確認し、無許可で動作しているRDPがあれば停止しましょう。

・従量課金制限の実施

 IaaSの不正アクセスでは不正に暗号資産のマイニングを実行される等のリスクがあります。このような不正利用に対して従量課金に制限を設けておきましょう。

■SaaS環境における注意点

 SaaSの特徴は「休暇中だからといって電源を停止することは出来ない」点にあります。正規ユーザーがSaaSを利用していなくても、不正アクセスを仕掛けられる可能性は否定出来ません。最低限以下のようなタスクは実施しておくべきでしょう。

・ログイン失敗の監視

 特定ユーザーのログイン失敗が急増しないか監視しましょう。また日本以外からのアクセス試行などを監視するようにしましょう。

・SaaSに接続されるアプリケーションの監視

 ユーザーがMS365やGsuiteにサードパーティ製のアプリを追加する可能性があります。こういったサードパーティ製のアプリはOAuth認証が用いられるので通常のユーザ認証とは異なります。監視の抜け穴となりがちなためこういった点も監視しておくようにしましょう。

■自社/自分は大丈夫という油断が事故に繋がる

 長期休暇中は社内のシステム担当者やセキュリティ担当者が不在となるため、休暇中に発見された脆弱性等に対する対応が遅れがちになります。一方でサイバー攻撃者に「長期休暇は関係ありません」。セキュリティ担当者不在の状況は、サイバー攻撃者にとっては活動のチャンスとなります。

 サイバー攻撃は国内でも企業の規模の大小を問わず被害に合う傾向に有ります。また、大企業のサプライチェーンの中に、セキュリティの甘い企業が有ればそこを狙って本丸へ忍び込もうとする攻撃も確認されています。自社のセキュリテイに不備があったために取引先に被害を及ぼす影響も考慮しなければなりません。

 「自社/自分は大丈夫」といった根拠の無い自信は持たず、しっかり対策を行うようにしましょう。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事