サイバーセキュリティ対策9か条:OSやソフトウェアは常に最新の状態にしておこう
2月はサイバーセキュリティ月間です。サイバー攻撃に休みはなく、年間を通して対応が必要ですが、従業員にサイバーセキュリティの関心を高め、理解を深めてもらう良い機会です。
本サイトでは、サイバーセキュリティ月間中に「サイバーセキュリティ対策9か条」について1条ずつ取り上げて解説します。
今回は「OSやソフトウェアは常に最新の状態にしておこう」を取り上げます。
目次
サイバーセキュリティ月間とサイバーセキュリティ対策9か条
サイバーセキュリティ月間とは
サイバーセキュリティ月間は「誰もが安心してITの恩恵を享受するためには、国民一人ひとりが情報セキュリティについての関心を高め、これらの問題に対応していく必要がある」という政府の情報セキュリティに関する普及啓発強化のため2010年から始まりました。
期間は2月1日~3月18日までです。「月間」なのに2月だけでなく3月18日まで実施しているのは、3・1・8で「サ・イ・バー」の語呂合わせとしています。
https://security-portal.nisc.go.jp/cybersecuritymonth/h22/
サイバーセキュリティ対策9か条
サイバーセキュリティ対策9か条は、最低限実施すべき基本的なサイバーセキュリティ対策として内閣サイバーセキュリティセンター(NISC)と独立行政法人情報処理推進機構(IPA)がまとめています。
1.OSやソフトウェアは常に最新の状態にしておこう
2.パスワードは長く複雑にして、他と使い回さないようにしよう
3.多要素認証を利用しよう
4.偽メールや偽サイトに騙されないように用心しよう
5.メールの添付ファイルや本文中のリンクに注意しよう
6.スマホやPCの画面ロックを利用しよう
7.大切な情報は失う前にバックアップ(複製)しよう
8.外出先では紛失・盗難・覗き見に注意しよう
9.困った時はひとりで悩まず、まず相談しよう
OSやソフトウェアを最新の状態にすることの重要性
OSやソフトウェアのアップデートというと機能追加を思い浮かべますが、それ以外にも、以下のようなメリットがあります。
セキュリティの向上
DXの進展に伴い、システム開発やソフトウェア開発は規模が大きくなったり複雑化していることから、人員不足、スキル不足、設計ミスなどの要因に繋がり、脆弱性を発生させる原因となっています。
米国の非営利団体MITRE Corporation(マイター)が管理する脆弱性のデータベースCVEの件数は右肩上がりになっています。
※CVE:発見された脆弱性に識別子(ID)を付与したもの。それまでは脆弱性に対して名称がつけられていたが、情報共有を行う中で管理のしやすさからつけられるようになった。
また、IPAが毎年発表する「情報セキュリティ10大脅威」でも、「修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)」や「脆弱性対策の公開に伴う悪用増加」など、脆弱性を起因とする脅威がランキングされていることからも、脆弱性対策のためのアップデートが重要なことがわかります。
以外に見落としがちなネットワーク機器、セキュリティ機器のパッチ適用
近年のネットワーク機器やセキュリティ機器はOSが組み込まれているものがあります。PCのOSやソフトウェアの管理はしっかり行っているものの、OSが組み込まれているという認識が低いIT機器の管理は、疎かになりがちです。
被害が絶えないランサムウェアの侵入経路はVPN機器が最も多く71%にもなることから、PCだけでなく、機器のセキュリティアップデートが重要なことがわかります。
バグの修正
ソフトウェアの不具合は脆弱性だけでなく、「バグ」もあります。
バグは前述の脆弱性と比べると軽視されがちですが、システム停止や誤ったデータを作成するなど深刻な事態を引き起こすこともあり、情報セキュリティ3要素のうち、特に「可用性」と「完全性」を失うことになりかねません。
メーカーサポートの確保(互換性の確保)
IT機器やソフトウェアは、動作要件として特定のOSのバージョンを指定することが多くあります。これは機器やソフトウェアの仕様が変更になった際に、過去のOSの動作テストを削減することが主な目的です。
古いOS上で動作するソフトウェアがアップデートする際に、古いOSでの動作を打ち切り、サポートが切れてしまうことがあります。サポートが切れたIT機器やソフトウェアを使用すると、システム障害で業務が停止しても対処してもらえなかったり、不具合で大きな損害を受けても、損害の保障を拒否される可能性があります。
OSやソフトウェアのアップデートはそのようなメーカーのサポートを確保する上でも重要です。
対策
自社システムの構成把握
OSやソフトウェアを最新の状態に保つことは、自社システムの構成把握が第一歩です。
後述する脆弱性情報を収集しても、自社のシステムが脆弱性の対象かどうかを判断できなければ対処できません。
機器を把握する上で重要な点は構成を把握するとともに、そのシステムが担う業務の重要性も一覧化することです。
・重要性が低いのに重大な脆弱性があるため、対応を優先させてしまう
・重要性が高いのに軽微な脆弱性であるため、対応を後回しにしてしまう
こういったことがないように、重要性を含めた構成管理と、対応のルール(優先順位)を定めておくことが重要です。
脆弱性情報の収集
脆弱性情報の収集には、情報をデータベース化しているサイトが便利です。
代表的なものとしてはJVN(Japan Vulnerability Notes)があります。
脆弱性情報は毎日のように発信されますので、RSSリーダー等で定期的に情報を得ると便利です。
責任分界点の明確化
IT機器には、ベンダのサポートを受けられるものがあり、契約内容によっては脆弱性情報を能動的に提供したり、パッチ適用を代行するサービスもあります。
その場合であっても
・ベンダが管理してくれているものと思っていた
・保守契約に入っていると思っていたけど、期限が切れていた
などが起こることがないよう、責任分界点や期間など契約の内容は常に把握しておくことが重要です。
まとめ
サイバーセキュリティ対策9か条の第1条目「OSやソフトウェアは常に最新の状態にしておこう」は、第1条目に来ていることからもわかるように、サイバーセキュリティの基本で重要な項目です。
しかし、重要性はわかっているものの、対応工数が多く、しっかり管理できていない実情があると思います。
陥りがちな
・脆弱性対応のルールが定まっておらず、優先順位が不明確
・サポート契約の確認が不十分で、責任分界点が不明確であったり契約期間が切れていた
とならないよう気を付けましょう。