国からの注意喚起を参考に組織のサイバーセキュリティについて振り返る
この記事は2022/09/12に作成されました。
2022年8月、内閣府サイバーセキュリティセンターや一部省庁から、夏季の長期休暇に伴うサイバーセキュリティに関する注意喚起の共同声明が出されました。
私自身、夏期休暇の前には知らなかった内容でした。
今回、発表されていた注意喚起の内容を読んでみたところ、パソコンやインターネット上でのセキュリティ、いわゆるサイバーセキュリティについて、組織として注意しておくべき基本的な内容が多く含まれていました。
長期休暇だけに留まらず、普段からサイバーセキュリティの面で意識しておくべき内容として参考になりそうなため、今回は本記事を通して共同声明で発表されている注意喚起の内容をご紹介していきます。
長期休暇の前後で注意しておくべきことは何か
注意喚起の内容としては、主に長期休暇の前後や期間中、システムの運用や利用者がどういった点を注意するべきかなどがまとめられています。
責任者向けの内容
責任者向けの内容として、問題が発生した時の対応や長期休暇前に組織内で周知しておくべき事柄が挙げられています。
| 責任者向け |
| 予め休暇期間中の監視体制や問題が発生した場合の対応手順を確立しておく |
| 長期休暇中に問題が発生した場合のため、利用中である外部の業者やサービスの連絡先を把握しておく |
| 長期休暇前にシステムの利用者に対して、留意しておくべき内容の注意喚起を行うようにする |
| ソフトウェア、システム関連 |
| 利用機器やソフトウェアのセキュリティアップデートは最新版を適用して脆弱性への対応を行っておく |
| 長期休暇前にはバックアップを取得しておく |
ソフトウェア、システム関連の項目についても責任者向けの内容となっています。
問題が起きたとしても、組織でシステムの運用を継続できるようにするための対応が主に挙げられています。
長期休暇中に問題が起きる可能性を考慮しておき、休暇前に予め対策を行うこと、休暇中に問題が発生した場合に復旧を行うための体制・環境を整えておくべきといった内容になっています。
システム管理者向けの内容
次にシステムの管理者向けの内容が説明されています。
長期休暇の前後で、システム自体の運用に関わる内容についての注意喚起が行われています。
| システム管理者向けの内容 |
| 長期休暇中のログの確認や脆弱性の発覚があったかどうかの確認、発覚していた場合の対策 |
| 外部とのネットワークが確立されている場合、不要なポートやプロトコルを開放したままではないか確認を行う |
| 長期休暇明けに確認するべき内容 |
| システムに使用しているサーバー等のログの確認を行い、不審なログが無いかのチェックを行う |
| 長期休暇中に使用していた機器に異常が無いかを確認する |
| 長期休暇中にソフトウェアのセキュリティアップデートが発生していないかを確かめる |
システム管理者向けの内容は、長期休暇期間の前後に安全な環境を維持できているか、できていたかをチェックして、安全性を保持するための対応が挙げられています。
責任者はシステムの運用体制に関する確認内容であることに対して、システム管理者はシステム自体が安全に稼働できているかを確かめる内容となっています。
システム管理者がシステム内の環境を更新する必要があると判断した場合には、更新後にも問題なく稼働できているかの確認が必要となります。
そのため、長期休暇前に対応すべきかなど、作業タイミングも含めたうえでの検討と運用体制に沿った動きが必要となります。
また、今回の注意喚起には含まれていない内容ですが、長期休暇が日本国内だけで行われている場合もありますので、期間中でも海外から緊急性のあるセキュリティ関連のアップデートが発信されるような事態が考えられます。
期間中もシステムが稼働するような場合においては、責任者を交えて予めインシデントが発生した場合の緊急性に応じたレベル分けを取り決めておくなどして備えておく必要があります。
予め備えておくことで、もしインシデントが期間中に発生して期間中の稼働に対する体制だけでは対応できないような場合でも、取り決めておいた内容に沿って関係者に連絡を行うなど、組織として次段階の対応に移せるような仕組みを確立しておくことで、問題への対応や問題解決後の再発防止対策などを立てやすくすることにも繋がります。
システムの利用者向けの内容
注意喚起では、長期休暇中は業務対応や普段システムを利用している環境での運用が行われなくなるなど、通常とは異なる状況になってくるとされています。
また、長期休暇中に業務へと対応するため、システム利用者が社外へとシステムに関連する機器を持ち出す場合についての内容も含まれていました。
| 利用者向け |
| 外部からの不正アクセス防止のため、長期期間中に使用しない機器の電源を落としておく |
| 持ち出しを行った機器の不正プログラム感染や紛失、盗難などの被害が発生しないように管理を行う |
| 長期休暇期間明け、メールのチェックを行う前に利用機器でのセキュリティアップデートが発生していないかを確認する |
| 長期休暇期間中に受信したメールの中で、不審なメールやファイルが添付されていた場合には、不用意に開かないようにする |
長期休暇中は、システムの利用者も普段の業務とは異なる環境で過ごすことになります。
そのため、不在中の社内にある機器に対する安全対策、社外にシステムと関連する機器を持ち出す場合における、ハードウェア・ソフトウェア両面への安全管理を行っておく必要があります。
また、休暇明けには、休暇中のセキュリティアップデート等が発生していたかの確認・更新を行ってからメールチェックを行うようにするなど、利用者の操作上での利用方法についても挙げられていました。
注意喚起の内容を踏まえた体制となっていた場合、もし利用者側の作業で問題が発生しても、責任者向けの内容で紹介した対応手順に沿って動ける体制があるため、組織として問題解決に向けた動きができるようになっています。
サイバーセキュリティとして、システムだけでなくシステムを運用・利用していく人の動きにおいても安全管理に対するリスクは存在します。
今回ご紹介した注意喚起の内容については、一例のような内容となっています。
組織の体制や人数によってはシステム管理者がいないケースもありますので、外部の保守管理業者や責任者による対応が必要となる場合もあります。
今回ご紹介した注意喚起は基本に近い内容となります。
組織としてサイバーセキュリティについて確認・検討していくような場合には、独立行政法人情報処理推進機構(IPA)が発行している「サイバーセキュリティ経営ガイドライン」などを参考にしますと、経営層から実務の作業者まで、より詳しい内容に触れることができます。
長期休暇は年末年始の冬期休暇や祝日などによって散発的に発生します。組織全体におけるサイバーセキュリティに対する意識や体制について、問題が無いか、安全であるかを今一度確かめてみてはいかがでしょうか。
今回ご紹介した注意喚起・ガイドラインについては、下記URLにて原文等が公開されています。
▼夏季の長期休暇において実施いただきたい対策について(注意喚起)
https://www.nisc.go.jp/pdf/press/20220808NISC_press.pdf
▼内閣サイバーセキュリティセンター
https://www.nisc.go.jp/
▼サイバーセキュリティ経営ガイドライン(IPA)
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
コーディネーター/O.H
