JCAW Japan Commerce Association of Washington, D.C., Inc. ワシントンDC日本商工会会報 号外 〜 Vol.14〜 冊 別 報 会 ITセキュリティー入門 公認情報システム監査人 佐藤 暢宏 概要:ITセキュリティ対策のまとめ 詳細①:パスワード 詳細②:パスワード管理ツール 詳細③:ウイルス対策 詳細④:データのバックアップ 詳細⑤:公衆無線LAN(Wi-Fi) その他①:スマートフォンのセキュリティ その他②:ウェブサイトの改ざん 佐藤暢宏プロフィール JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 1819 L Street N.W., B2, Washington, D.C. 20036 TEL: 202-463-3947 FAX: 202-463-3948 www.jcaw.org 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 概要 ITセキュリティ対策のまとめ 「ITセキュリティ入門」という連載を始めて一年が経ちました。毎回、異なるテーマでお伝えしてき た分、組織がITセキュリティを確立する上ですべきことがぱっとわからなかったかもしれません。そ こで、この1年間の総括として、組織がITセキュリティを確立し、維持していく上で必要最低限、実施 すべきセキュリティ対策をまとめて一覧化したいと思います。 ご注意いただきたいのですが、前提として、企業や政府関連機関の海外事務所等、ワシントン DCで一般的な、比較的小規模なオフィスを企業の一般的なエンドユーザーと業務上の管理責任者 を対象としています。システム管理を実施するITエンジニアの方を対象にしていませんので、定義 や表現に違和感がある方もいらっしゃるかもしれません。 また、本質的には、ITセキュリティ上の問題から生じ得る損失額を特定した上で、対策を講じるべ きなのだとは思いますが、業務上の管理責任者が以下のような潜在的な損失に対して実践しなけ ればならない必要最低限のセキュリティ対策として考えてください。 ●● 情報漏えい(個人情報や機密情報の価値や補償に応じた費用) ●● データの消失(データの価値や復旧に応じた費用) ●● 業務の一時停止(業務に使用するコンピューターの復旧に要する時間および費用) ●● 風評被害(社内または社外に感染を広めることによって、個人または組織のブランドに傷がつ く) <対策①>セキュリティを高める対象を認識する。 セキュリティ対策を実施するには、対象と なるITシステムを正確に認識しておく必要 があります。以下の図は、一般的に業務に 利用していると考えられるITシステムです が、どんなユーザーでも①または②と④、最 近では多くの方が①~⑤の全てを利用して いるのでないでしょうか。④は、業務に利用 しているメール、Eコマース、バンキング等、 全てのインターネット上のサービスが対象と なりますので、抜け漏れが無いか注意する ことが重要です。 2 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. <対策②>適切なパスワードを使用する。 ITセキュリティ上、最も重要且つ効果的な対策の一つ は、適切なパスワードを使用することです。ここで言う適切 なパスワードとは、少なくとも英文字の大文字、小文字、 数字、記号を含む8桁以上、守りたい情報の重要度によっ ては10桁以上のパスワードのことです。また、二要素認証 とは、通常のパスワードに加えて、ICカードを読み込んだ り、セキュリティートークンとよばれるデバイス、携帯電話 のSMS(ショートメッセージ)、スマートフォンのアプリ等か ら一時的に発行される複数桁の数字を入力したりする手 法を指します。適切なパスワードの使用例として、以下の 検討手順を推奨します。 <対策③>ソフトウェアをインストールする権限を制限す る。 ユーザーのシステムへのアクセスに関して、もう一つ確 認していただきたいことは、ユーザーがソフトウェアをイン ストールする権限を持っているか否かです。一般的にエン ドユーザーは、業務上利用しているシステムにソフトウェア をインストールする権限を持っているべきではありません。 図2:パスワード運用手順 もし仮に業務の性質上、あなたがソフトウェアをインストー ルする権限を持っている場合は、少なくともインストール時 に使用するユーザーIDと、作業をする時のユーザーIDを分けるようにして下さい。 <対策④>ウイルス対策を徹底する。 ウイルス対策を全くされていないということは無いとは思いますが、徹底されていると自信を持っ て言えるでしょうか。システム管理の専門家がいない、どんなに小規模な事務所であっても、少なく とも以下の5つの対策が実施されているべきだと思います。 1. 電子メール配信サーバー(メールサーバー)レベルでウイルススキャンを実行する 2. ユーザーが使用するPCや共有しているファイルサーバーにウイルス対策ソフトウェアを導 入し、常に最新の状態に保ち、その状態を把握しておく 3. ユーザーが使用するPCや共有しているファイルサーバーでソフトウェア・ファイアウォール 機能が常に有効な状態に保ち、その状態を把握しておく 4. 業務に使用しているソフトウェアを全て把握し、常に最新の状態に保ち、その状態を認識し ている 5. 記録メディアやインターネットを利用する際のルールを定めて、ユーザーに周知徹底する ここで最も重要なのは、(3)と(4)において、ソフトウェアを常に最新の状態に保つことと、その状 態を把握しておくことです。また(4)については、以下等が含まれますので、使用しているソフトウェ アに抜け漏れが無いよう注意する必要があります。 3 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 分類 例 オペレーティングシステム Windows、MacOS、AndroidOS、IOS (iPhone)、等 アプリケーションソフト Microsoft Officeに含まれる製品、 各種ブラウザ(Internet Explorer、Chrome、Firefox、等)、 Adobe Acrobat/Reader、等 ソフトウェア実行環境 Adobe Flash、Oracle Java、等 表 1:常に最新の状態に保つべきソフトウェアの例 <対策⑤>無線LAN(Wifi)の利用に注意する。 悪意のある第三者は、アクセスポイントが、脆弱な暗号化通信を行っていたり、推測しやすい接 続のためのパスワードを使っていたりした場合、それを破って接続してきます。また、アクセスポイ ントを、公衆無線LANサービス業者の正規のアクセスポイントであるかのように偽装し、そこに接続 させることで、通信内容を詐取または改ざんする場合もありますので、公衆無線LANや自宅の無線 LANを利用する際には、注意が必要です。 無線LANを利用する場合には、まず以下の2点に注意します。 1) 大事な情報はSSLでやりとりする。 2) ファイル共有機能を解除する。 更に外部に漏れたり改ざんされては困るデータの通信をしている、デバイス上に重要なデータが ある、または可能な限り安心して無線LANを利用したい場合は、以下のいずれかを選択します。 a) 公衆無線LANを使用しない。 b) VPN接続を利用する。 <対策⑥>重要なデータをバックアップする。 いくら上記の対策①~⑤を徹底したとしても、ITセキュリティ上のリスクを発生する可能性は軽減 することはできますが、現在の国家レベルの高度な技術力を擁したサイバー攻撃が蔓延している 状況と、ITシステムの技術の柔軟な性質から、そのリスクが無くなることは残念ながらありません。 そのため、重要な業務上のデータの消失を回避するためには、データのバックアップを取っておくこ とが重要です。どんなIT環境においても必要だと思われるバックアップ運用の手順と実施上の責任 分担は、以下のとおりです。 4 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 実施責任 No. プロセス 業務責任者 IT管理者 1 データの棚卸しと重要度の評価を実施す る。 ○ あくまでも技術的見 地からの支援 2 データを復旧するまでの時間と復旧する 必要のある過去の地点を検討する。 ○ あくまでも技術的見 地からの支援 3 バックアップ対策に使える費用を検討す る。 ○ あくまでも技術的見 地からの支援 4 適切なバックアップ手法を選択し、それに 応じて、適切なバックアップソフトウェアお よびハードウェアまたはサービスを選択 する。 ― ○ 5 選択したバックアップ対策を設定し、デー タのバックアップを開始する。 ― ○ 6 設定したバックアップ対策をモニタリング する。 結果を確認する責 任がある ○ 7 バックアップしたデータが回復可能かどう かを定期的にテストする。 結果を確認する責 任がある ○ いかがでしょうか、ITセキュリティについていろいろと説明させていただきましたが、セキュリティ 対策の基本は、上記の6つに集約されると思います。また、この6つの対策が徹底されていない状 態でそれ以上を実施することは、よほど革新的な技術が市場に出てこないかぎり、無意味に思えま す。たった6つの対策ではありますが、この6つの対策が徹底できている組織は、大手企業の海外 事務所含め、なかなか無いのではないでしょうか。もし自信をもって実践できている組織があれば、 ぜひその手法を共有いただければと思います。 5 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 詳細① パスワード 情報技術(IT)の中でも、特にインターネットを通じたオンラインショッピングやオンラインバンキン グ、電子メール、FacebookやLINE等のソーシャルネットワーキングサービス(SNS)、そしてスマー トフォンの登場は、膨大な情報へのアクセスを容易にし、我々の生活の利便性を格段に向上させま した。しかしながらその一方で、膨大な情報へのアクセスを容易にする技術は、個人情報や企業の 機密情報を狙った、悪意を持つ第三者による犯罪行為をも容易にし、大手企業や官公庁のウェブ サイトの改ざんや、有名なSNSやオンラインサービスへの不正アクセスの件数は増加の一途をた どっています。 日本国内でも毎月多くの不正アクセスやウェブサイトの改ざん事件が発生していますが、例え ば、2014年8月にも、サイバーエージェント社が運営する「Ameba」という人気ブログサービスに、 第三者による不正なログインが発生していたことが確認されました。2013年4月6日(土)~2013年 8月3日(土)の間で、243,266件のIDが不正なアクセスを受け、ニックネーム、メールアドレス、生年 月日、居住地域、性別等の個人情報が閲覧されていた可能性があります1。また私の周辺でも最近 GmailやFacebookのアカウントが乗っ取られてしまったというケースが散発的にではありますが報 告されています。 パスワードはどうやって破られるのでしょうか?悪意のある第三者がユーザーのパスワードをつ きとめる方法は、いろいろあるのですが、最も古くから使われている方法の一つに、「ブルートフォ ースアタック」または「総当たり攻撃」と呼ばれる方法があります。これは、文字通り可能な限りの文 字・数字等の組み合わせを試す方法です。試すといっても毎回、手で入力するわけではなく、ソフト ウェアにより作業は自動化されています。 また、組み合わせを試すことは同じですが、「辞書攻撃」と呼ばれる方法では、文字通り一般的な 辞書に含まれる人名や、「password」や「12345678」等のよく使われるパスワードと知られている単 語2等を使ってパスワードを解読します。最近では、あるウェブサイトからすでに不正に入手している IDとパスワードの組み合わせを辞書として他のウェブサイトのパスワードの解読に利用することもあ ります。これはユーザーが、同じIDとパスワードを使い回していることを前提としているからです。 では、パスワードが破られないために、ユーザーは、どのようなパスワードを設定すれば良いの でしょうか?これには、まずパスワードが、攻撃者のやる気を削ぐほど、解読に十分な時間がかか るだけの「長さ」と「複雑さ」を持つ必要があります。最近の研究によれば、パスワードは、少なくとも 英文字の大文字、小文字、数字、記号を含む8桁以上、守りたい情報の重要度によっては10桁以 上であることが必要との結果が出ています。 1 http://ameblo.jp/staff/entry-11591175203.html 2 「Worst Passwords of 2012」、SplashData社、http://www.prweb.com/releases/2012/10/prweb10046001.htm 6 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 表1:入力桁数によるパスワードの最大解読時間(英大小文字、数字、記号を使用した場合)3 桁数 4桁 6桁 8桁 10桁 ZIPファイル 1秒以下 2分24秒 14日 341年 ZIPファイル(暗号化済み) 1分11秒 7日 169年 1,462千年 6秒 15時間 15年 128千年 55分 326日 7,800年 66,726千年 ワードファイル(DOC) ワードファイル(DOCX) また、よく使われる単語や、すでに不正に入手しているIDとパスワードの組み合わせによる「辞書攻 撃」に備えて、辞書に含まれる人名や、パスワードの使いまわしは避けることが推奨されています4。 しかし、こういったパスワードを設定することには難しい側面もあります。そもそも英文字の大文 字、小文字、数字、記号を含む8桁または10桁以上なんて覚えられないとお怒りになるユーザーも 多いのではないでしょうか。これに対する答えとして、例えばマイクロソフト社は、安全性の高いパ スワードの設定方法の一例として、以下の手順をあげています5。 No. 手順 例 1 1 ~ 2 つの文を考えます。 jcaw is subarashii 2 文を英語もしくはローマ字表記に変換し、文書 の単語間のスペースを削除します。 単語を短縮するか、わざと綴りを間違えたも のにします。 数字を追加して長くします。 文の後に自分に とって意味のある数字を挿入します。 jcawissubarashii 3 4 Jacawissubarashi!(最初を大文字に、最後の iを!に変更) Jcawussubarashi!2013 パスワードの強度をチェックできるウェブサイト6もありますので、皆さんも自分なりに十分に長くて 複雑かつ覚えやすいパスワードを試行錯誤してみて下さい。 ただ、これにも問題があります。仮に長くて複雑かつ覚えやすいパスワードを作ったとしても、いく つも覚えられるものではありません。例えば私の場合、会社のネットワーク、Google Apps、Gmail、 iPhone、Facebook、PayPal、オンラインバンキング、クレジットカード等、ざっと思いつくだけでも最 低8個以上のパスワードを使っています。当然、使い回したくなったり、どこかにメモをしておきたくな ってしまいます。また、今回は説明しませんでしたが、そもそもどんなに長く複雑なパスワードを設 定しても、悪意のあるソフトウェアやウェブサイトにひっかかってしまえば、そっくりそのまま盗まれ てしまいます。 そこで一つの解決策として考えられるのが、最近、比較的に容易に利用できるようになってきた 「2要素認証」と呼ばれる方法を利用することです。これは一つのIDに対して、パスワードというユー ザーしか知りえないはずの要素に、もう1つ要素を追加して計2つの要素で認証する方法です。具 3 「パスワードの最大解読時間測定」、株式会社ディアイティ、http://www.dit.co.jp/service/report/security-threat_v3.html 4 「IDとパスワード」、独立行政法人情報処理推進機構、http://www.ipa.go.jp/security/keihatsu/pr2012/general/01_ password.html 5 「安全性の高いパスワードの作成」、http://www.microsoft.com/ja-jp/security/online-privacy/passwords-create.aspx 6 「パスワードチェッカー」、マイクロソフト社、https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx 7 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 体的には、通常のパスワードに加えて、ICカードを読み込んだり、セキュリティートークンとよばれる 万歩計程度の大きさのデバイスから一時的に発行される複数桁の数字を入力したりします。最近 では、2要素認証用に一時発行される数字が、携帯電話のSMS(ショートメッセージ)として送られる か、スマートフォンのアプリで生成できることも多くなってきました。 図1: Googleが提供している2要素認証用のスマートフォンのアプリの画面7 この方法は、Google Apps8、Gmail9、Facebook10、PayPal11等ですぐにも利用することができま すので、ぜひ設定してみて下さい。もちろん、パスワードを入力する手間に、もうひと手間かかるの で、面倒だと思われる方も多いでしょうが、このひと手間によって情報漏えいや、なりすましの被害 を受ける可能性が低くなることを考えたとき、受け入れてもいい手間だと言えるのではないでしょう か。 7 https://itunes.apple.com/us/app/google-authenticator/id388497605?mt=8 8 http://support.google.com/a/bin/answer.py?hl=ja&answer=184711 9 http://www.google.com/landing/2step/#tab=why-you-need-it 10 https://www.facebook.com/help/www/148233965247823 11 https://www.paypal.com/us/cgi-bin?cmd=xpt/Marketing_CommandDriven/securitycenter/PayPalSecurityKey- outside&bn_r=o 8 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 詳細② パスワード管理ツール 詳細①「パスワード」では、パスワードは、「十分に長くて複雑かつ覚えやすいパスワード」でなけ ればならないことを説明し、「パスワードは、少なくとも英文字の大文字、小文字、数字、記号を含む 8桁以上、守りたい情報の重要度によっては10桁以上」、「人名や、パスワードの使いまわしは避け ることが推奨」等と書いたのですが、私自身、「十分に長くて複雑かつ覚えやすいパスワード」を設 定することに限界を感じています。 というのも、そもそも、多くのサービスがインターネットのウェブサイト経由で提供されるため、管理 しなければならないパスワードが多すぎるからです。 この状況に対する対策の一つとして、全てのパスワードを1箇所にまとめて暗号化し安全に保管 する、「パスワード管理ツール」というものがあることは以前から認識していましたが、1箇所に集約 する分、単純にその1箇所に対するパスワードを破られれば一巻の終わりという漠然とした脅威か ら、敬遠していました。しかしながら、少なくとも数十はある、主に業務やお金に関係するウェブサイ トへのパスワードで、長さや複雑さ、そして何よりも使いまわしを避けることが、非常に難しくなって きたので、再度、検討してみることにしてみました。 試用するパスワード管理ツールは、様々なサービスやソフトウェアがあるのですが、今回は以下 の簡単な基準を満たすものとしてLastPass(https://lastpass.com/)を選択してみました。 ●● 使いやすそう。 ●● データ通信を暗号化している。 ●● 私のIT環境に対応している。(OS:Windows 8.1 Pro、ウェブブラウザ:Chrome、スマートフ ォン:iPhone 5S、メール・グループウェア:Google Apps)※LastPassは、MacやLinux、Androidにも対応しています。 ●● マスターパスワードの2段階認証に対応している。 LastPassは、ユーザーIDとパスワードを、インターネットを通じて同社のサーバー(クラウド)上に 保存して管理できるパスワード管理サービスです。当然、第三者のクラウドサービスに依存するた め、その第三者のサービスそのものに生じ得る脆弱性(ぜいじゃくせい)については回避できませ ん。そのリスクを受け入れるかどうかは判断する必要がありますが、ずさんなパスワード管理のリ スクよりこちらのリスクを受け入れる方がましだと判断しました。機能にはいろいろとありますが、主 な機能は以下の3つです。 1. ウェブサイトへのログインIDとパスワードを自動登録する。 2. 保存したログインIDとパスワードを自動記入する。 3. ランダムなパスワードを自動生成する。 9 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. LastPassの使用方法ですが、PC上でLastPassを使用するには、まずウェブブラウザのアドオン (下記のようにアドレスバーの横にボタンが追加される)としてLastPassをインストールする必要が あります。 ここではインストール方法の詳細については触れませんが、サービスを使用開始するまでの流れ を以下にまとめました。 1) 同社のウェブサイト(https://lastpass.com/misc_download2.php)よりソフトウェアのインス トーラーをダウンロードする。 2) インストーラーを起動する。 3) インストーラーに従いサービス入会手続きをする。 4) マスターパスワードを設定する。 5) ※このパスワードは、多少大げさかもしれませんが、文字通り「最後に覚える唯一のパスワ ード」になるので、これだけは、「十分に長くて複雑かつ覚えやすいパスワード」でなければ なりません。 6) インストーラーの指示に従いインストールを完了する。 インストールが完了したら、以下の手順を実施します。 1) ウェブブラウザにインストールされたLastPassアドオンにログインする。 2) 自分が利用しているウェブサイトにアクセスし、現在のログインIDとパスワードを登録する。 (通常、自動的にログイン時に自動で登録するかどうか聞かれる。) 3) そのウェブサイトのパスワードを、LastPassのランダムパスワード生成機能を利用して、長 く複雑なパスワードに更新する。 ※この作業を実施しないと、全くセキュリティが強化されませんので、ただ単にログインIDと パスワードの入力支援ツールになってしまいます。 4) ログインIDとパスワードを登録したウェブサイトにアクセスした際に、ログインIDとパスワー ドを自動入力させる。または、自動ログインさせる。 10 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 私は、上記の(4)が問題ないことを繰り返し確認した後、マスターパスワードのセキュリティを強化 するために、マスターパスワードに2段階認証を設定しました。これによりLastPassへのログイン時 に、マスターパスワードに加えて、スマートフォンにインストールしたGoogleの2段階認証プロセス のアプリ(Google Authenticator1)が生成する6桁の数字をが要求されるようになります。 ここまで設定して、登録したウェブサイトに十分に長くて複雑なパスワードを設定し一安心していた のですが、ウェブブラウザからLastPassにログインしっぱなしになっていることが多いことに気がつ きました。この状態だと私のPCにログインされてしまった場合、LastPassに登録している情報全て にアクセスできてしまいます。このままでは問題ですので、LastPassの「セキュリティ」設定にある、 以下の2つの設定を有効にしました。 1. すべてのブラウザが閉じられていてChromeが閉じられた後に自動ログオフする 2. アイドル状態になった後、自動的にログオフするまでの時間 また、LastPassのログイン時に「マスターパスワードを記憶する」というオプションもありますが、こ のオプションも使用しないことに決めました。 ここまで設定すれば、とりあえず安心してよいのかもしれませんが、どこか想定していないセキュ リティの問題がないかどうかについては、継続して注意していくことを心掛けたいと思います。 さて、PCで快適に使用できるようになったので、次にモバイル環境(iPhone)の設定をしてみたの ですが、こちらは、結論としてはLastPassを使用する意味があまり無く、LastPassを使用するのであ れば、むしろ注意しなければならないと思いました。また、有料プランに加入すると利用できる専用 アプリを使用しない限り、ログインIDとパスワード入力の使い勝手が非常に悪いと感じました。 まず使用する意味があまり無い理由ですが、私にとってiPhone上からアクセスするウェブサイト のデータの内、特に重要なのは「Gmail」アプリがアクセスするデータなのですが、そもそも「Gmail」 アプリはログインしたままで使用しています。つまり、iPhoneをアンロックできれば、データにアク セスできてしまい、Gmailのパスワードをいくら長く複雑にしても意味がありません。その代わり iPhoneの指紋認証機能により、セキュリティを確保することにしています。もちろん、この指紋認証 技術にも限界はあるのですが、そのリスクについては受け入れることにしています。 注意しなければならない点は、iPhoneからLastPassを利用する方法にあります。iPhoneで LastPassに登録したウェブサイトのログインIDとパスワードを入力する手段には以下の3つがあり ます。 1. ウェブブラウザ(Safari等)からLastPassウェブサイトにログインし、コピー・ペーストする。 2. ブックマークレットと呼ばれるSafariのお気に入りにLastPassが指定するリンクを登録し自 動入力を可能にする。 3. 有料プランに加入すると利用できる「LastPass」アプリを使用し、コピー・ペーストする。 (1)で気づいたのですが、LastPassウェブサイトにアクセスしたままにしてSafariを閉じても、その 1 https://support.google.com/accounts/answer/1066447?hl=ja 11 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. アクセスしたままの状態が続きます。つまり、仮に第三者が私のiPhoneを取得して、ある一定の時 間内にiPhoneをアンロックできた場合、LastPassに登録したウェブサイトのアカウント情報が丸見 えになってしまいます。これを防ぐためには、LastPass使用後、毎回確実にログオフしなければな りません。 (2)については、PCと同期した上で設定しなければならない等、煩雑なので、そもそも設定する 気になれず断念したのですが、そもそもこちらもLastPassへのログインが前提になっているので、 (1)と同様であると判断しました。 (3)についても試してみましたが、LastPassアプリもログインしたままの状態を維持するので、(1) と同様の問題があります。 (1)にしても(3)にしてもアクセスしたままの状態がどのぐらい続くのか、そうならないように設定で きるのか、残念ながら執筆時点ではわかりませんでした。現時点では、結局、iPhoneの指紋認証 機能が最後の砦になっていると判断しています。 今回LastPassを試用してみて認識したポイントを以下にまとめてみました。 ●● パスワードは自動入力されるので、覚える必要が無く、十分に長く複雑なパスワード を設定できる。使いまわすことも無い。 ●● 第三者のクラウドサービスに依存するため、その第三者のサービスそのものに生じ得 る脆弱性(ぜいじゃくせい)のリスクは、受け入れるかどうか判断する必要がある。 ●● 登録するパスワードを十分に長くて複雑なパスワードに変更しなければ、全く意味が 無い。 ●● マスターパスワードが破られてしまったら、やはり一巻の終わりであるが、2段階認証 が設定できることはプラス。 ●● 特に無料版では、モバイル環境での使い勝手が非常に悪い。 ●● モバイル環境で使用する場合は、むしろセキュリティ上のリスクが高まる可能性があ る。 私個人としては、上記を踏まえた結果、モバイル環境での利用に問題があるものの、PCで使用 する場合の利点から、少なくともしばらく使用してみる価値があるツールだと判断しました。私と同 様に、パスワードの使いまわしに苦慮されている方にとっては、パスワード管理ツールは利用を検 討してみる価値があると思います。最後に、今回は選考に漏れた他のパスワード管理ツールを参 考までに記載します。機能はLastPassと似たり寄ったりだと思いますので、好みや条件に合わせて 検討されてみて下さい。 ●● KeePass Password Safe http://keepass.info/ ●● 1Password https://agilebits.com/onepassword ●● Dashlane https://www.dashlane.com/ 12 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 詳細③ ウイルス対策 ウイルスはIT技術の進化とともに、進化しており、下図の通り以前よりも新種の発生スピードを早 めています。ウイルス対策は現在、これまで以上にITセキュリティ上、最も重要な課題の一つとなっ ているのです。その一方で、最も基本的なウイルス対策でさえも、きっちりとできていないことが多 いと認識しています。 新たに検出されたマルウェアの件数 出展:McAfee社「McAfee脅威レポート:2013年第2四半期」 そもそもウイルスに感染するというのはどういうことなのでしょうか。皆さんはウイルスと聞けば、 恐らく、「ウェブサイトやメールからいつの間にか感染してファイルを破壊したり情報が漏えいしたり してしまうもの」と認識されているかと思います。これはいわゆる広義の「ウイルス」に近く、最近で はより技術的な分類に基づく、狭義の「ウイルス」との違いを明確にするために、「マルウェア」と呼 ぶことが多くなっています。マルウェアは、「情報漏えいやデータ破壊、他のコンピューターへの感 染などの有害な活動を行うソフトウェアの総称1」等と定義されています。我々がウイルスに感染し たと言っている状態は、この有害な活動を行うソフトウェアが何らかの経緯で使用しているコンピュ ーター上で実行されている状態を指します。 1 「マルウェア」、独立行政法人情報通信研究機構、http://www.nict.go.jp/glossary/4otfsk000000l6qq.html 13 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. この有害な活動を行うソフトウェアは、その性質や感染方法等から、狭義の「ウイルス」、「ワー ム」、「トロイの木馬」等、様々な分類がされています2が、本連載では、主に小規模事務所のITセキ ュリティ責任者(恐らくは事務所長がそれに該当するかと思います)、およびエンドユーザーを対象 としていますので、ここで解説するのはやめておこうと思います。より詳細な技術的な理解は、ひと まずシステム管理者にまかせておきましょう。また以下では「マルウェア」ではなく、聞きなれた「ウ イルス」を使うこととします。 いずれにしても、企業・組織は、何らかの対策をすることによってウイルスの感染や被害から日々 の業務を守らなければなりません。企業・組織としてのウイルス感染や被害による損失には、状況 に応じて、主に以下等が考えられます。 ●● 情報漏えい(個人情報や機密情報の価値や補償に応じた費用) ●● データの消失(データの価値や復旧に応じた費用) ●● 業務の一時停止(業務に使用するコンピューターの復旧に要する時間および費用) ●● 風評被害(社内または社外に感染を広めることによって、個人または組織のブランドに傷が つく) こういった損失を避けるためにはどのような対策を実施すればよいのでしょうか。具体的な対策 について説明する前に、まず、ウイルスが、どこから社内ネットワーク内にあるコンピューターに感 染してしまうのかについて考えてみましょう。 まず最も古くからある感染経路は、データの持ち運びを可能にするCD-RやDVD-R、SDカード、 またはUSBドライブといったデータの記録メディアです。これはインターネットが開始される以前か らある感染経路です。フロッピーディスクやMDディスクでデータをやりとりしていたことを覚えている 方もいらっしゃるかと思います。 最近では少なくなったかもしれませんが、例えば、社内で既にウイルスに感染していることを知 らずに、データをメディアに記録してやりとりしたり、会議や見本市ブース等で配布されているDVD からウイルスに感染してしまうことがあります。また、携帯型音楽プレイヤーやスマートフォンのよう に、充電するためにコンピューターに接続すると、データ記録メディアとして認識されるデバイスも注 意が必要です。 そして、最大の感染経路がインターネットです。インターネット経由の感染は、主に電子メールとウ ェブサイトの閲覧が原因となります。電子メールから感染する場合は、ウイルスを含んだ添付ファイ ルを開くか、メール本文に組み込んだソフトウェアにより悪意あるサイトにアクセスさせられたり、添 付ファイルを強制的に開いて、さらに別のソフトウェアを実行されてしまうこと等が原因となります。 ウェブサイトの閲覧によって感染する場合は、ダウンロードしたファイルがそもそもウイルスに感 染していたり、ユーザーがウェブサイトを閲覧しただけでウイルスが勝手にダウンロードされ、実行 されたりします。電子メールとウェブサイトから以外でも、P2P(ピー・トゥー・ピー)ソフトウェアと呼ば 2 「マルウェアによるインシデントの防止と対応のためのガイド」、米国国立標準技術研究所、2005年11月、http://www.ipa.go.jp/ files/000025349.pdf 14 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. れるファイル共有ソフトウェアや、チャットやビデオ会議システムのファイル共有機能を通じて、ウイ ルスに感染していると知らずにファイルをダウンロードして、実行してしまう場合もあります。 社内ネットワーク内にあるコンピューターがウイルスに感染した場合、それに対する対策が十分 でなければ、ウイルスの性質に応じて、社内でファイル共有に使っているファイルサーバーや電子 メールを通じて、場合によっては、P2Pソフトウェアや、チャットやビデオ会議システムのファイル共 有機能を通じて、社内の他のユーザーのPCまたは社外へと、その感染または被害を拡大させるこ とになります。 では、そもそもウイルスに感染する可能性を低くするにはどうすればよいのでしょうか。対策方法 は千差万別ですが、システム管理の専門家がいない、どんなに小規模な事務所であっても、少なく とも以下の5つの対策を実施しているべきだと思います。 1. 電子メール配信サーバー(メールサーバー)レベルでウイルススキャンを実行する 2. ユーザーが使用するPCや共有しているファイルサーバーにウイルス対策ソフトウェアを導 入し、管理する 3. ユーザーが使用するPCや共有しているファイルサーバーでソフトウェア・ファイアウォール機 能を有効し、管理する 4. 業務に使用しているソフトウェアが最新の状態であるかどうかを管理する 5. 記録メディアやインターネットを利用する際のルールを定めて、ユーザーに周知徹底する それでは、それぞれの対策について具体的な実践方法について、説明していきます。 (1)メールサーバーレベルでウイルススキャンを実行する 最近ではこの対策に関しては、メールサーバーの運用上、サーバー側でウイルススキャンを実 施することが一般的になっているので、皆さんのほぼ全ての環境で実現できていることかと思いま す。例えば、Google社が企業向けにメールサーバー機能を提供するサービスでも、以下のような ウイルススキャン機能が提供されています。 内蔵のウイルスチェック機能により、ユーザーがメールをダウンロードする前にドキュメントのチェ ックを実行しています。コンピューター ウイルスは実行ファイルに含まれていることが多いため、標 準的なウイルス検出プログラムでは、メールに不明な実行ファイルが添付されていないかどうかが スキャンされます。Googleでは最も直接的なウイルス対策として、.zip、.tar、.tgz、.taz、.z、.gz な どの形式に圧縮されている場合でも、危険な実行コードを含む可能性のある実行ファイル(拡張子 が .exe のファイル)を受信できないようになっています。3 ただし、組織の本社等とは別に、事務所単独で、独自のメールアドレスを運用するために、インタ ーネットサービスプロバイダーから簡易的なメールサーバーのホスティングサービスを利用してい 3 「セキュリティとプライバシーの概要」、https://support.google.com/a/answer/60762?hl=ja 15 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. るような場合は、ウイルススキャン機能がサービスに含まれていないような場合がありますので、も し機能の有無を認識していない場合は、プロバイダーに問い合わせて確認するようにしてください。 (2)ユーザーが使用するPCや共有しているファイルサーバーにウイルス対策ソフトウェアを導入 し、管理する 皆さんの使用しているコンピューターには既にウイルス対策ソフトウェアがインストールされてい ないということは無いと思いますが、この対策の重要なポイントは、ウイルス対策ソフトウェアの状 態を管理することにあります。ウイルス対策ソフトウェアは、一般的にはウイルス定義ファイルと呼 ばれる日々増え続ける新たなウイルスを検出するために必要なファイルを、インターネットを通じて 1日に数回、自動更新しています。 このファイルの更新が滞っていると、ウイルスによる感染と被害の可能性が、その分、高くなるわ けですが、自動更新される設定であるために、このファイルが更新されているかどうかを確認され ていない方を多く見かけます。実際に、使用しているウイルス対策ソフトウェアに不具合が生じたこ とによって、知らずにウイルス定義ファイルの更新が停止していて、その間にウイルスに感染しまう ことがあります。 また訪問者用や出張用にインターネットに接続していなかったPCは、使用再開直後にうまく更新 されないこともありますので、注意が必要です。ウイルス対策ソフトウェアの定義ファイルの更新状 況をソフトウェアによって監視していない場合は、ユーザーに毎日1回は確認してもらい、その日時 を記録するようにしましょう。 (3)ユーザーが使用するPCや共有しているファイルサーバーでソフトウェア・ファイアウォール機 能を有効し、管理する 皆さんが使っているPCのオペレーティングシステムは、WindowsかMacのいずれかだと思いま すが、そのどちらにもファイアウォールと呼ばれる、悪意のあるソフトウェアがネットワークやインタ ーネットを経由してコンピューターにアクセスすることを防ぐための基本的な機能を備えています45 ので、使用しているウイルス対策ソフトウェア機能に同様の機能が備わっていない場合は、この機 能を有効にしましょう。この機能もソフトウェアの更新時等に無効になってしまう場合がありますの で、ウイルス対策ソフトウェアと同様に、更新状況をソフトウェアによって監視していない場合は、ユ ーザーに毎日1回は確認してもらい、その日時を記録するようにしましょう。 (4)業務に使用しているソフトウェアが最新の状態であるかどうかを管理する そもそもウイルスは、一般的なユーザーが多く使っているソフトウェアの、脆弱性(ぜいじゃくせ い)と呼ばれる、セキュリティ上の欠陥を利用して、感染や被害を及ぼします。最も脆弱性が狙われ るのは、最も利用されているWindowsそのものですが、その他に狙われる代表的なソフトウェアに は以下等があります。 4 「Windowsファイアウォールの設定について」、Microsoft、http://windows.microsoft.com/ja-jp/windows7/understandingwindows-firewall-settings 5 Mac OS X v10.5, 10.6:アプリケーションファイアウォールについて」Apple、http://support.apple.com/kb/HT1810?viewlocale=ja_JP 16 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. ●● Microsoft Office ●● Microsoft Internet Explorer ●● Adobe Acrobat/Reader ●● Adobe Flash ●● Oracle Java ソフトウェアメーカーは、脆弱性を発見すれば、その脆弱性を回避するための更新ソフトウェア を、主にインターネットを通じて配布します。ウイルスの感染や被害の可能性を低くするためには、 業務に使用しているソフトウェアを常に最新の状態に保たなければなりません。特に上記のソフト ウェアは、常に脆弱性が狙われている6ので、更新状況に細心の注意払わなければなりません。 また、使用しているソフトウェアが多くなれば、その分、ユーザーの更新作業や確認の負担が大 きくなるので、まず業務上、絶対に必要なソフトウェアが何であるのかをリストアップする必要があり ます。その上で、業務上使用しているコンピューターには、リストアップしたソフトウェアだけをインス トールし、確実に更新を実行する必要があります。 欲を言えば、システム管理者しかソフトウェアをインストールできないようにコンピューターを設定 し、リストアップしたソフトウェア以外を一般のユーザーがインストールできないように運用したいと ころですが、そうすることによって自動更新がうまく適用されないケースもでてきますので、取れるリ スクとリソースとを秤にかけながら検討する必要があります。 業務に使用しているソフトウェアの更新状況についても、ウイルス対策ソフトウェアと同様に、更 新状況をソフトウェアによって監視していない場合は、ユーザーまたは管理担当者に定期的に認し てもらい、その日時を記録するようにしましょう。 (5)記録メディアやインターネットを利用する際のルールを定めて、ユーザーに周知徹底する この対策については、何も新しくルールを定める必要はなく、恐らくこれを読んでいる皆さんが所 属している企業・組織には、本社等で既に定められている「情報システムセキュリティ管理規程」ま たは、それに順ずる規程類があると思いますので、そこから必要な部分だけを抜粋したものを、定 期的に職員に配布し、確認をしてもらい、署名と日付を記録してもらうというのが、実践しやすい方 法だと思います。 注意していただきたいのですが、「情報システムセキュリティ管理規程」がイントラネット等に掲示 してあるだけ、というのでは実際に読む人は皆無に等しいので、周知徹底されているとは言えませ ん。また、説明責任を果たせないという意味においても、ITセキュリティ責任者の責務を果たしてい ないということになります。正直なところ、配布して署名するということも単なる証拠作りとなってして しまいがちなので、ITセキュリティ責任者が積極的に職員に注意喚起する必要があります。 6 「X-Forceセキュリティー・アラート&アドバイザリー」、IBM、http://www-06.ibm.com/software/jp/tivoli/solution/security/isssecurity-alert-and-advisery-00.html 17 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 上記の5つの対策は、システム管理者を設置していない場合においても、最低限、実行すべきで すが、これ以上については、より技術的な理解が必要になってきますので、必ずシステム管理の専 門家に相談した上で、適切な対策を導入してください。 例え、この5つの対策を確実に実行したとしても、ウイルスの感染や被害を受けることが完全に無 くなるわけではありません。最近で5つに加えてユーザー権限の管理やファイアウォールハードウェ アを設置・管理を実施しているような状況でも、ウイルスの感染や被害を受けるといた事例が、私 の周辺でも確認されるようになってきます。そしてこの傾向は、スマートフォンの活用等により、我々 の業務が、よりITに依存することによって、より悪い方向へと進むと予想しています。しかしながら、 ウイルスの感染や被害を受ける可能性を確実に軽減することに違いはありません。どんな小規模 な事務所においても、なんとか最低でも、上記の5つの対策を実践していただき、皆さんのITセキュ リティのレベルを底上げしていだければと思います。ウイルスによる被害にわずらうことなくITの利 便性のみを享受することを目指しましょう。 18 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 詳細④ データのバックアップ データをバックアップする理由は、データの改ざんや修正ミスに備えること等もありますが、最大 の理由は、やはり業務上のデータの消失を回避することだと思います。 最近のデータ消失の事例として有名なのは、2012年6月20日にヤフー子会社でサーバーホステ ィング事業(例:ウェブサイト用サーバーのレンタル)を手がけている、ファーストサーバ社で発生し た大規模障害1ではないかと思います。影響を受けたのは、5万契約のうち約5700契約が対象で、 バックアップのデータも消失しました。ユーザーの8割はネット通販事業者も含む企業で、ウェブサ イトがしばらく復旧できなかった企業もありました。さらに、ファーストサーバ社はサイボウズ社の代 理店として、Webグループウエアを提供しており、利用企業のうち149社がデータ消失などの影響 を受けたそうです1。 この障害では、サービスを提供するファーストサーバー社の運用担当者のうっかりミスが原因で 発生しましたが、そもそもサーバーホスティングサービスの場合、利用規約上、ユーザーのデータ の消失に関しては責任を負わないことがほとんどです。この事例ほどの障害は非常に少ないとは 思いますが、ユーザー側がサービスの性質を正しく理解して、データの適切なバックアップを実施し ていれば、この事例においても、損失を軽減することは十分にできたはずです。 この事例では、運用担当者のうっかりミスがデータを消失する原因となりましたが、その他にはど んな原因が考えられるでしょうか。データの消失につながる可能性のある事象は、主に以下の6つ の事象に分類することができるかと思います。 原因 例 ハードウェアの障害 ハードドライブの故障 ヒューマンエラー うっかりファイルを削除してしまう ソフトウェアの障害 文書作成ソフトウェアがエラーを起こす ウイルスへの感染 メールの添付ファイルを開き、全てのファイルが削除されてしまう 盗難・紛失 ノートPCやスマートフォンを紛失または盗難される 自然災害、テロ 竜巻によりデータセンターが破壊される 残念ながら統計データが見つからなかったので、主観的になってしまうのですが、やはりヒュー マンエラーが最も多いのではないでしょうか。それと同様に多い原因が、ハードウェアの障害、そし て、その次に多いのが、ソフトウェアの障害でしょうか。最近では、ウイルスに感染したり、スマート フォンを紛失されたりした方もいらっしゃるかと思います。自然災害やテロもワシントンDC界隈では 1 http://itpro.nikkeibp.co.jp/article/COLUMN/20120702/406758/?ST=cloud 19 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 全く無縁とは言えないと思いますが、これに関しては、バックアップ以前に、まず事業の継続性につ いての計画を策定していないと意味が無いので、ここでは切り離して考えてください。 では、データのバックアップはどのように実施すればよいのでしょうか。皆さんがご利用になって いるIT環境は様々だと思いますが、どんなに単純な環境であっても、バックアップを実施する手順 には少なくとも以下のプロセスが必要だと思います。 1. データの棚卸しと重要度の評価を実施する。 2. データを復旧するまでの時間と復旧する必要のある過去の地点を検討する。 3. バックアップ対策に使える費用を検討する。 4. 適切なバックアップ手法を選択し、それに応じて、適切なバックアップソフトウェアおよびハ ードウェアまたはサービスを選択する。 5. 選択したバックアップ対策を設定し、データのバックアップを開始する。 6. 設定したバックアップ対策をモニタリングする。 7. バックアップしたデータが回復可能かどうかを定期的にテストする。 それでは、それぞれのプロセスについて、説明していきます。 (1)データの棚卸しと重要度の評価を実施する。 このプロセスでは、バックアップを考える以前に、まず、そもそも日々業務で使用しているデータ はどこにあるのかについて検討します。私の身の回りをざっと考えてみても、少なくともクラウドサー ビス、PC、ノートPC、ファイルサーバー、リムーバブルハードドライブ、スマートフォン上にデータが 保存されてます。 一旦、データの保存場所を特定したら、そこに保存されているデータを分類します。例えば、ファ イルサーバー上には、会計データ、顧客関連データ、共有している業務データ、共有していない業 務データ等に分類できますが、更に、より細かく、使用中のデータ、過去のデータをただ保管してい るもの、法律上保管義務のあるデータ、機密データ等、管理が可能だと思われる範囲で分類してみ ます。 分類ができたら、今度はそれぞれの分類について、重要度を評価します。重要度を評価するとい うと難しく思われるかもしれませんが、評価する対象のデータを消失した場合の業務上の損失額を 想像すれば、そんなに難しいことでは無いかと思います。顧客のデータを預かっているような場合 であれば、損害の賠償や、現在の取引総額、取引停止による将来的な利益の逸失分、場合によっ ては風評被害によるブランド価値の低下ということもあるでしょう。また、直接的に損失が発生しな い場合でも、表計算ソフトで作成しているデータベースを再作成しなければならないような場合は、 再作成に要する時間と作業者の時間単価を検討すれば、データの重要性のイメージがつかめると 思います。 20 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. (2)データを復旧するまでの時間と復旧する必要のある過去の地点を検討する。 データ重要度が評価できたら、今度はそのデータをどの程度早く回復する必要があるかを検討し ます。非常に重要なデータだとしても、データが回復できることを前提にすると、使用頻度が非常に 低い場合等、必ずしも回復までの時間が短くなければならないわけではありません。逆に重要度が 低くても、使用頻度が高いデータは、回復までの時間が短いと業務に影響する可能性が高くなりま す。 また、データによって、復旧する際に、過去のどの地点のバックアップ必要があるかが異なります ので、データの性質を踏まえて検討します。例えば、ある一定の期間で変更状態を把握しておく必 要があるようなデータであれば、バックアップの頻度(毎日、毎時等)を検討する必要がありますし、 法律上、保管期間等の要件が定められているデータであれば、その要件に応じて、バックアップデ ータの頻度や期間(1年、10年等)等を検討する必要があります。 いずれも一見、複雑なプロセスに感じられるかもしれませんが、要は、データを消失した際に、過 去のどの時点のデータをどのぐらい早く回復できればよいのか、想像してみればよいのです。 (3)バックアップ対策に使える費用を検討する。 ここまでくれば、バックアップ対策に費やしてもよいコストも自然とイメージできるのではないでしょ うか。(2)のプロセスも関連しますが、これは、(4)以降のプロセスを実施するにあたって必要とする 費用を想定する上で、主にシステム管理者が必要とする情報です。ITセキュリティ責任者(事務所 長や経営側)は、(1)のプロセスがしっかりと実施できていれば、バックアップ対策に使える費用の 上限を設定することは難しくないはずです。逆に、バックアップ対策に使える費用がわからないとい うことは、(1)のプロセスが十分にできていないということになります。 (4)~(7)の部分については、原則、システム管理者が実施すべきことなので、本連載での解説 は省略します。ただし、ITセキュリティ責任者は、「(6)設定したバックアップ対策をモニタリングす る」プロセスに関しては、実際にバックアップが実行され、且つ成功していることを、システム管理者 が確認しているかどうかを、定期的に確認することが必要です。また、「(7)バックアップしたデータ が回復可能かどうかを定期的にテストする」プロセスに関しては、バックアップしているデータから 実際にデータを回復することが可能であるかどうかを、システム管理者が確認しているかどうかを、 定期的に確認することが必要です。 (1)~(3)までのプロセスはシステム管理者の手助けを必要とする作業かもしれませんが、原 則、その責任は、データを所有する側の責任者にあります。しかしながら、これらのプロセスを経ず になんとなくデータをバックアップしている、または、していない、しているかどうか知らない、といっ たことも多いのではないでしょうか。皆さんの大切なデータのバックアップが適切に実施されている のか、今一度、確認されてみてはいかがでしょうか。 21 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 詳細⑤ 公衆無線LAN(Wi-F i) 皆さんは出張時に空港やホテル、スターバックスで、または自宅で、ラップトップPCやスマートフ ォンを無線LANに接続して、仕事をすることは無いでしょうか。ちなみに私はまさに今、ラップトップ PCを自宅の無線LANに接続しながら、この原稿を執筆しています。しかし、セキュリティを意識し、 適切に管理されている(はず)の企業内の無線LANのアクセスポイントとは違って、ラップトップPC やスマートフォンを公衆無線LANや自宅の無線LANに接続して、業務に使用する場合は特に注意 を払う必要があります。セキュリティを意識して適切に管理されていない無線LANのアクセスポイン トに接続する場合、主に以下の3つのリスクが高まると言えます。 1. 悪意のある第三者が、通信内容を窃取または改ざんするリスク 2. 悪意のある第三者が、データを、窃取、改ざん、破壊するリスク 3. 悪意のある第三者が、あなたになりすまして外部のネットワークに接続するリスク 悪意のある第三者は、例えば「ウォードライビング」といって、無線LANの電波を検知する機器を 自動車に積み込み、不正利用可能な無線LANのアクセスポイントを求めてオフィス街を走り回り、 アクセスポイントが、脆弱な暗号化通信を行っていたり、推測しやすい接続のためのパスワードを 使っていたりした場合、それを破って接続してきます1。 また、悪意のある第三者は、アクセスポイントを、公衆無線LANサービス業者の正規のアクセス ポイントであるかのように偽装し、そこに接続させることで、通信内容を詐取または改ざんする場合 もあります。匿名により政府、企業、宗教などに関する機密情報を公開するウェブサイトとして悪名 の高いウィキリークスによれば、「FinIntrusion Kit」という製品は、無線LANの暗号化技術の一つで あるWEPのパスワードを約2~5分で解読し、TLS/SSLで暗号化された通信を監視してユーザー名 とパスワードを傍受するセットが、政府・警察・軍隊・情報機関向けに、いろいろな人々を監視・盗聴 するシステムの一つとして販売されているそうです2。実際の使用方法を紹介するプロモーションビ デオ3も公開されているので、興味のある方は一度ご覧になってみて下さい。 2013年10月にイギリスのBBCが伝えた内容によれば、ロシアで、中国から輸入された電気式ア イロンや、携帯電話、自動車、カメラに、半径200m以内の暗号キーなしで接続できる無線LANを利 用しているPCに侵入し、ウイルスをまき散らすように設計された小さなチップが隠されていたことが 発見されました。4 1 「無線LAN<危険回避>対策のしおり」、独立行政法人情報処理推進機構、2014年3月20日 第1版 http://www.ipa.go.jp/security/antivirus/documents/11_wireless_lan.pdf 2 http://wikileaks.org/spyfiles/docs/gamma/288_tactical-it-intrusion-portfolio-finintrusion-kit.html 3 https://www.youtube.com/watch?v=oNsXKPHBR3s 4 http://www.bbc.com/news/blogs-news-from-elsewhere-24707337 22 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. イギリスにあるリバプール大学の研究者らが開発した「カメレオン」ウイルスは、実証実験におい て、無線LANの対策が甘いアクセスポイントを見つけ、ウイルス検出機能をすり抜けながら感染を 広げ、感染したネットワークに接続されているすべてのマシンからデータを収集することに成功して います5。 無線LANにおいて、こういった悪意のある第三者からの攻撃を防ぐには、アクセスポイントが適切 に設定されていることが重要です。ここではあるべき無線LANアクセスポイントの設定の詳細につ いて解説することはしませんが、一般的に、設定要素の内、WPA2と呼ばれる無線LAN通信の暗 号化規格を設定しておくことが、重要であるとされていて、その他の暗号化規格・技術は、脆弱であ ると認識されています。 ところが残念なことに、多くの無線LANにおいてWPA2が設定されていないというのが、実態のよ うです。無線LANのセキュリティシステムベンダーであるソフォス社が、実際に街中でウォードライビ ングを実施収集したデータ6によれば、例えば公衆・企業の社内を問わずスキャンすることできたサ ンフランシスコ市内の無線LAN、約7万ネットワークの内、アクセスポイントにWPA2が設定されてい たのは、全体のわずか13.5%でした。 また、FreePublicWifi、Free Internet、またはDO NOT CONNECTという名前の偽のアクセスポ イントを作成してみたところ、あっという間に1,000名以上が、なんの疑いもなく接続しきたそうです。 それでは、ユーザー側でアクセスポイントの設定を選択することができない公衆無線LANを利用 する上で、上述したようなリスクが発生する可能性を限りなく低くするにはどうすればよいのでしょう か。これは、定性的ではありますが、どの程度のリスクを許すのかによって対策を考える必要があ ります。 まず、外部に漏れたり改ざんされてもそれほど困らないデータの通信のみをしている、またはデ バイス上に特に重要なデータがない場合ですが、総務省が発行している「一般利用者が安心して 5 http://news.liv.ac.uk/2014/02/25/wifi-virus-latest-threat-to-future-it-security/ 6 The World of WarBiking”, Sophos, April 2014, http://www.sophos.com/en-us/medialibrary/Gated%20Assets/white%20papers/sophos-the-world-of-warbiking-wpna.pdf 23 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 無線LANを利用するために」(平成24年11月2日)等に書かれている以下の一般的な対策が参考 になります。 (1) (2) (3) (4) (5) (6) 大事な情報はSSLでやりとりする。 ファイル共有機能を解除する。 知らないアクセスポイントには接続しない。 公衆無線LANサービスのログイン画面に電子証明書エラーが表示されたら接続しない。 接続しているアクセスポイントを確認する。 アクセスポイントが暗号化に対応していることを確認する。 (1)は、IEやChrome、Safariといったインターネットブラウザで、「https://」で始まるアドレスで表 示するウェブサイトで、下記の画面のように鍵アイコンが表示されていれば、通信が暗号化されて いるので比較的安全だということです。 (2)は、不正にアクセスされてデータを、窃取、改ざん、破壊されることを防ぐためですので、設定 の仕方がわからない人は、一度わかる人にお願いして、Windows等のOSの設定を変更し、常にフ ァイル共有を無効した状態で使用するのが良いのではないでしょうか。自分で問題なく設定できる ユーザーであれば、必要に応じてファイル共有機能を有効・無効にするのでもかまいませんが、恐 らく切り替えるのを忘れてしまったり、面倒だったりすると思いますので、よほど必要でないかぎり、 常にファイル共有は無効にしてしまうのが良いかもしれません。 (3)、(5)は、そのとおりですが、正規のアクセスポイントを偽装することが考えられるので必ずし も有効ではない可能性があります。また、(6)については、常に意識しているのが難しいようにも思 えますし、都度設定を確認するのが面倒で、ついついおろそかにしてしまうのが現実ではないでし ょうか。 (4)は、使用しているブラウザによって、メッセージの表示され方が異なると思いますが、「この Webサイトのセキュリティ証明書は」等のメッセージが表示される 7ので、頭の片隅にいれておけ ば、自然と対処できるかと思います。 ということで、最低限(1)と(2)を意識して確実に実行するというのが、現実的な対応になると思い ます。 一方、外部に漏れたり改ざんされては困るデータの通信のみをしている、デバイス上に重要なデ ータがある、または可能な限り安心して公衆無線LANを利用したい場合は、以下の二者択一で良 いと思います。 7 http://windows.microsoft.com/ja-jp/windows/certificate-errors#1TC=windows-7 24 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. (1) 公衆無線LANを使用しない。 (2) VPN接続を利用する。 (1)は、あまりにも不便であるため選択できない場合、通信全体をまるまる暗号化するVPN接 続を利用します。VPN接続を利用するためには、以前は企業で構築したインフラまたは高額な サービスを利用する必要がありましたが、最近ではずいぶんと敷居が下がってきていて個人でも 利用できるものも出てきていますので検討されてみてはいかがでしょうか。一例ですが、Hotspot Shield(http://www.hotspotshield.com/jp)というサービスは、Windows等のデスクトップOS用であ れば、下記のように設定変更画面には広告が付くものの(設定変更時以外は、システムトレイに収 めることが可能)無料で使用することが可能です。 最後に、自宅のアクセスポイントや、スマートフォン等のテザリングと呼ばれるインターネット接続 共有機能、そしてモバイルルーターの利用についてですが、これらも上記の公衆無線LANを利用 する場合と基本的には同様であると考えて下さい。ただ、幸いなことに自分で設定を変更できるの で、それら機器のマニュアルを見てWPA2を設定し、パスワードはもちろん十分に長く複雑なものを 設定するようにして下さい。 無線LANは非常に便利であるため、利用しないという選択肢はなかなか難しいのだと思います。 しっかりと対策を講じて利便性を享受するようにして下さい。 25 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. その他① スマートフォンのセキュリティ 一般的には、iPhoneのOS(IOS)の方がGoogle社のAndroid OS(Android)よりも、比較的、セキュ リティが高いと認識されています。 例えば、コンピューターセキュリティベンダーのシマンテック社は、IOSとAndroidは、それぞれ異 なる設計思想に基づいてセキュリティを達成しようとしており、それぞれ技術的に長短があるもの の、脆弱性に関して総合的に、以下のような見解を示しています。1 IOS Android IOSのセキュリティモデルは適切に設計され ており、概ね攻撃に耐えられると実証されてい る。 Android のセキュリティモデルは全体として、 従来のデスクトップやサーバーベースのオペ レーティングシステムで用いられているモデル より大幅に改善されていますが、攻撃者は匿 名でマルウェアを作成し、配布できる点、セキ ュリティに関する重要な意思決定は最終的に ユーザーに依存している点が、重大な問題で ある。 IOSのセキュリティには、アプリケーションをダウンロードできるマーケット(Apple社で言うところ のApp Store)を一元化していることが、大きく寄与しています。Apple社は、公開前にアプリケーシ ョンをテスト・審査してから、ユーザーがダウンロードできるようにしています。一方で、Google社も Google Playと言う集中管理のマーケットを用意していますが、それ以外のマーケット(ウェブサイト 等)からもアプリをインストールできるため、このマーケットは、それほど役に立ってはいません。2 Androidに関して、もう一つ注目すべき点は、悪意ある攻撃の一番のターゲットとなっているのが Androidだということです。コンピューターセキュリティ企業のカスペルスキーラボ社によれば、2013 年に全世界で検知されたマルウェアの約98.1%がAndroidを対象としていた3そうです。ちなみに IOSに対する攻撃は、下記のグラフの中の「その他」に含まれている程度です。 1 「人気モバイルデバイスのセキュリティ比較」、 シマンテック、2011年8月、http://www.symantec.com/content/ja/jp/enterprise/white_papers/b-mobile_device_security.pdf 2 「マルウェアによるモバイルデバイスへの侵入:原因、結果、対策」、ソフォス、2012年10月、http://www.sophos.com/ja-jp/ medialibrary/Gated%20Assets/white%20papers/Sophos_Malware_Goes_Mobile.pdf 3 https://blog.kaspersky.co.jp/mobile-malware-evolution-2013/ 26 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 図表 1:標的となったOS 出典:カスペルスキーラボ社 この結果は、ただ単に、Androidのアプリのマーケットが一元化されていないことだけが理由とな っているだけでなく、そもそもAndroidの市場シェアがIOSより大きいことが、攻撃者を必然的に引 き付けているとも考えられます。IDC社による2013年第3四半期の全世界のスマートフォンのOSの シェアを見ると、IOSが12.9%であるのに対して、Androidは、81%と、圧倒的なシェアを持っている ことがわかります4。上記のマルウェアの検知数と一致するとは言わないまでも、PC市場における Windowsと同様に、技術的な問題以上に、市場でのシェアが、攻撃者をAndroidをターゲットとして 選択させているのではないでしょうか。 図表 2:2013年第3四半期の全世界のスマートフォンのOSのシェア 出典:IDG社 4 http://www.idc.com/getdoc.jsp?containerId=prUS24442013 27 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 一方、Apple社のApp Storeのその信頼性を脅かす事案も発生するようになってきました。例え ば、2012年7月にApp Storeからダウンロード可能になっていた「Find and Call」というアプリが、実 は、ユーザーのアドレス帳をリモートのサーバに送信し、アドレス帳に登録された全連絡先にSMS スパムを送信するマルウェアであることが発見されました5。また、2013年7月には、起動すると特 定のウェブサイトにアクセスし、そこにあるコンテンツをアプリ内で表示する巧妙なアプリが発見され ました。6 いずれの場合も、危険なアプリは、Apple社によりApp Storeから削除されましたが、例えApple社が テスト・審査しているからといって、必ずしもApp Storeからダウンロードできるアプリが安全であるとは 言えないということは、認識しておくべきでしょう。 さて、ここまででIOSはAndroidより少しセキュリティ上のリスクが低いかもしれないという程度の スマートフォンのOSの違いがお分かりいただけたかと思いますが、いずれもセキュリティ上のリス クがあることには変わりはありません。では、そもそもスマートフォンのセキュリティ対策はどのよう にすればよいのでしょうか。 まず、スマートフォン上にある重要な情報とは何かを考えてみましょう。これはユーザーによって 大きく異なりますが、以下が挙げられます。 ●● 機密情報(企業秘密、顧客情報等が含まれるメールのデータ) ●● 個人情報(メールのデータ、連絡先情報) ●● プライバシーに関する情報(メール、連絡先、アプリのデータ、写真、アプリ・写真に含まれる 位置情報等) いずれにしても、以前はラップトップPCやUSBドライブ等でしか持ち歩かなかった情報を、スマー トフォンで気軽に持ち歩いているという方も多いのではないでしょうか。そういった意味で、もし業務 上のデータがスマートフォンに含まれる場合は、少なくとも、従来のラップトップPCやUSBドライブ 等に対するセキュリティ対策の方針は、そのまま適用されると考えて下さい。それに加え、これま で、いわゆるガラパゴス携帯に対して定められていたセキュリティ対策方針も適用されます。通常、 ある程度の規模の企業であれば、情報セキュリティ基本方針に、それらの対策として、以下等が定 められていると思います。 ●● ●● ●● ●● ●● ●● ●● パスワードによるアクセス管理 ウイルス対策(ウイルス対策ソフトウェア、OS、使用アプリケーションの更新) データのバックアップ 必要に応じたデータの暗号化 公衆無線LANの使用禁止 拡張メモリの持ち出し台帳管理 SIMカードのPINコードによるロック 5 http://www.securelist.com/en/blog/208193641/Find_and_Call_Leak_and_Spam 6 http://www.symantec.com/connect/ja/blogs/apple-app-store 28 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. ●● リモート(遠隔)からの強制ロックやデータの強制消去サービスへの加入 ●● 位置情報の確認サービスへの加入 もし業務上のデータがスマートフォン上にあるにも関わらず、上記の方針が適用されていないよう であれば、なぜなのか検討し妥当であるかを判断しておく必要があります。 また、上記に加えスマートフォン特有の定めるべき方針として、今回ご説明したIOSおよび Androidの特徴を考慮して、以下が考えられます。 1) 2) 3) アプリは特定の信頼できる場所からインストールする。 Androidでは、「提供元不明のアプリ」はインストールしない設定にする。 Androidでは、アプリをインストールする際にアクセス許可を確認する。 (1)については、既にご説明したとおりです。(2)については、端末によっては微妙に手順が異な るかもしれませんが、以下Google社のサイトを参照して下さい。 「不正なアプリから保護する」 https://support.google.com/accounts/answer/2812853?hl=ja (3)については、これもまた端末によっては微妙に異なる可能性がありますが、情報処理推進機 構の以下のサイトを参照していただくのが良いかと思います。 「公式マーケット上の不正なアプリに注意!」 http://www.ipa.go.jp/security/txt/2013/03outline.html スマートフォンは、非常に便利なツールですが、要は携帯であり、ストレージであり且つ、小さなラ ップトップPCなわけですから、もし業務で利用するのであれば、どのようにセキュリティ対策を講じ るべきか、基本的な対策は、むしろ非常に明快であるかと思います。皆さんには、適切なセキュリテ ィ対策を講じることで、そのメリットを最大限に生かしていただければと思います。 29 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. その他② ウェブサイトの改ざん これまで企業や組織内部のセキュリティのポイントについて解説してきましたが、一歩外に出て、 年々発生頻度が多くなってきている企業や組織が運営しているウェブサイトの改ざんについて、皆 さんと一緒に考えてみたいと思います。ウェブサイトの改ざんとは、ここでは、ウェブサイトの内容が 書き換えられた、または、ウェブサイトにマルウェアを埋め込まれた場合と定義して話を進めたいと 思います。 【ウェブサイトの改ざん発生状況等】 ウェブサイトの改ざんは、ITセキュリティ上の問題としては、他の問題よりも発生件数が多くなって います。例えば、日本の一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、国 内外で発生するコンピュータセキュリティインシデントの報告を受け付けて定期的にレポートを発行 していますが、JPCERT/CCが、2014年4月1日から2014年6月30日までの間に受け付けた報告の 統計によれば、ウェブサイト改ざんの件数がカテゴリの中で2番目に多く報告されています。1 ちなみに、報告が一番多い、「スキャン」とは、「サーバやPC等の攻撃対象となるシステムの存在 確認やシステムに不正に侵入するための弱点(セキュリティホール等)探索を行うために、攻撃者 によって行われるアクセス(システムへの影響がないもの)」を指し、「マルウェア等による感染活動 も含まれます」。 なぜこのようにウェブサイトの改ざんが多発しているのでしょうか。一昔前であれば、ある種の愉 1 「JPCERT/CC インシデント報告対応レポート[2014年4月1日~2014 年6月30日]」、JPCERT/CC、2014年7月10日、 https://www.jpcert.or.jp/pr/2014/IR_Report20140710.pdf 30 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 快犯として、攻撃対象組織の事業を阻害したり、世間に主義主張を発信するということもありました が、最近では、利用者のPCにマルウェアを感染させ、クレジットカード情報や個人情報、機密情報 を入手し、換金することが目的であると言われています。 攻撃者がより多くの金銭的価値を得るには、より多くのクレジットカード情報や個人情報、機密情 報が必要となりますので、ウェブサイトの閲覧者のPCをマルウェアに感染させることが可能なウェ ブサイトの改ざんは、情報入手経路となるPCを一網打尽にする手段として人気を得ているというの が実態のようです。 その一方で、ウェブサイトを改ざんされた側の企業・組織は、ただウェブサイトの内容を改ざんさ れた場合であれば被害者として扱ってもらえるかもしれませんが、ウェブサイトの利用者にマルウェ アを感染させてしまえば、ウェブサイトの管理責任を問われることとなり、風評被害も決して小さいと は言えなくなります。 【ウェブサイトの管理・運営者とシステム】 それでは、企業や組織はウェブサイトの改ざんに、どの様に備えていれば良いのでしょうか。ウェ ブサイトの改ざんへの対策について触れる前にまず、基本となる、ウェブサイトを管理・運営するの は誰なのか、ウェブサイトを運営するシステムはどの様なものなのかについて、共有したいと思い ます。 以下の図は、企業・組織の海外事務所が比較的小規模なウェブサイトを運営する場合に多く見ら れる体制とシステム構成を簡略化したものです。ウェブサイトを運営するシステムは、自前ではなく 外部のウェブホスティングと呼ばれるサービスを利用しており、システムの管理やウェブサイトの制 作も、外部に委託しているケースを想定しています。また、より複雑な処理のための開発は実施し ていない場合を想定しました。 31 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. ウェブサイトが特定のURL(例:http://support.iacdc.com/)により表示されるためには、まずドメイ ン名(例:iacdc.com)を所有し、そのドメイン名と付随する設定が、ドメイン名管理システムにより、 設定・管理されていなければなりません。ウェブホスティング・サービスが、ドメイン名管理システム を同時に提供していることもあります。ここでどのドメイン名のウェブサーバーがどこにあるかを設 定します。 そのウェブサーバーとその他ウェブサイトのコンテンツの管理・運営に必要な、物理的または論理 的なシステムは、ウェブホスティング・サービスが提供します。ウェブサイト制作者が作成したウェブ サイトのコンテンツ(ファイルやデータ)は、ここに保管されています。 ウェブホスティング・サービスが提供するシステムは主に、LinuxやWindows等のOS、ウェブサー バー、PHP等のウェブサーバー上で動作して動的なウェブページを実現することを主な目的とした プログラミング言語、データを効率的に格納しておくためのデータベース、ウェブサイトのコンテンツ の管理と変更を用意にするCMS(コンテント・マネジメント・システム)等から構成されます。 【ウェブサイトの改ざん対策】 さて、上記を踏まえた上で、攻撃者がウェブサイトを改ざんする手口について考えてみましょう。も ちろん技術的には多種多様の手口がありますが、ウェブサイト改ざんの主な手口は、大まかに以 下の2種類に分けることができると思います。 1) システムの脆弱性を悪用する。 2) システムへのアクセス権を利用する。 攻撃者は、前述したシステムのいずれかに存在する脆弱性(セキュリティ上の弱点)を利用する か、管理運営者のシステムへのアクセス権を利用することで、ウェブサイトに表示される内容を書き 換えるか、マルウェアを設置してウェブサイトの閲覧者への感染を試みるわけです。前述の図に、 この2点を反映したものが以下の図です。オレンジ色にハイライトした部分が、システムの脆弱性の リスクについて検討しなければならない部分、管理運営者から延びる矢印が、アクセス権に関する リスクが生じる部分を示しています。 32 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. では、この2点に関して、ウェブサイト改ざんのリスクを最小限にするにはどうすればよいのでしょ うか。まず、システム脆弱性のリスクを可能な限り最小限にするためには、システムを常に可能な 限り最新の状態(バージョン)に更新しておく必要があります。そのためにはまず、誰が責任を持っ て更新しているのかを把握しましょう。ウェブホスティング・サービスの標準的なサービスには、通 常、システムを最新の状態に保つため作業が含まれていません。 上記のケースの場合、外部にシステム管理を委託していますので、システムを最新の状態に保 つため作業が契約に含まれているかどうかを確認する必要があります。もし更新作業が契約に含 まれているのであれば、定期的に報告してもらい確認するようにしましょう。確認作業をするわけで すから、組織内での責任者を決めておく必要もあります。 次に、管理運営者のアクセス権が悪用されるリスクを最小限にするには、まずアクセス権を持つ 組織内のユーザーを全て特定しましょう。その上で、不要な権限またはユーザーがあれば、直ちに アクセス権から削除する必要があります。その上で、アクセス権を持つ全てのユーザーに対して、 本連載の第1回でご説明したように、少なくとも十分に長くて複雑なパスワードを、可能であれば、 二要素認証を徹底してもらう必要があります。 また、組織内で定めた責任者は、この2つの作業を定期的に実施して記録しておく必要がありま す。委託先とは、同様の作業を実施することについて合意し、これについても定期的に報告しても らい、組織内の責任者が確認する必要があります。 【ウェブサイトが改ざんされた場合に備えて】 上記のような対策を適切に実施したとしても、残念ながら、ウェブサイトが改ざんされる可能性が ゼロになるわけではありません。そのため、ウェブサイトの改ざんが発生した場合に備えて、どの様 な対応をするのかを事前に決めておくことも重要です。 ウェブサイトが改ざんされたことが確認された場合、まず何はともあれ、そのウェブサイトを一時 的に閉鎖することが大切です。そうすることで、全ての責任は免れられないとしても、迅速な対応を 示すことで風評被害を最小限にすることが可能です。また、マルウェアに感染している可能性があ る場合は、感染被害を最小限にする上で、最も重要な手続きとなります。 次に、ウェブサイトが改ざんされた場合に誰にどの順番で連絡するのかを定めて、周知徹底して おく必要があります。改ざんが発見された場合に、ウェブサイトを一時的に閉鎖する判断をする責 任者に、いち早く連絡することが可能な連絡体制を構築しておくことが重要です。また、その後なる べく早く復旧するために、誰に連絡しておかなければならないのかを整理しておく必要があります。 状況によっては、高度なセキュリティの知識が必要となる場合もありますので、そういった場合に連 絡ができる専門家を特定しておく必要もあります。 一般的に復旧作業は、過去に保存したバックアップデータを利用することになりますので、ウェブ サイトを運営するためのシステムに関して、確実にデータのバックアップが取得されていることを確 認しておく必要があります。上記のケースであれば、システム管理またはウェブ制作の委託先、お よびウェブホスティング・サービス等が、各種のデータ・設定等をバックアップしておかなければなら 33 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. ないのですが、これについても契約に含まれているかについて確認しておく必要があります。また、 バックアップの実施状況についても、定期的に報告してもらい確認しておく必要があります。 一旦、ウェブサイトが復旧したら、ウェブサイトの改ざんについて、発生日時、原因、影響の有無・ 範囲、復旧日時、等について、正確にウェブサイトの利用者に対して報告する必要があります。も ちろん、そうすることで全ての責任から免れることはできませんが、迅速な対応を示すことで風評被 害を最小限にすることは可能です。 【最後に】 あくまでも参考ですが、SecureBrainという企業が提供している以下のサイトで、現在ご利用され ているウェブサイトが安全であるかどうかを、無料診断することができます。もちろん結果により、そ のウェブサイトが安全であることが保証されるわけではありませんが、少なくとも多くの既知の問題 の有無を特定することが可能です。ご興味がある方は、確認されてみてはいかがでしょうか。 http://check.gred.jp/ ウェブサイトは、特に小規模であると、委託先との契約が曖昧であったり、そもそも組織内での責 任者が曖昧になりがちですので、これを機会に今一度、見直していただければ幸いです。 34 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。 号外 〜Vol.14〜 Japan Commerce Association of Washington, D.C., Inc. 佐藤暢宏プロフィール ITのヘルプデスク、ネットワークエンジニアを経て、監査法人で、公認情報システム監査人とし て、主に製造業や金融・保険業の内部統制監査やシステム監査、情報セキュリティ監査をしていま した。現在は、インターナショナルアクセスコーポレーション(IAC)で、各種ITサポートとサイバーセ キュリティ対策サービス、委託調査等を提供しています。 ご感想、ご指摘、ご質問、ご希望されるテーマ等、お気軽に[email protected]までご連 絡ください。少しでも多くのフィードバックがいただければ幸いです。 ーーーーーー インターナショナルアクセスコーポレーションについて インターナショナルアクセスコーポレーション(IAC)は、1991年に設立して以来、戦略的に米国 ワシントンD.C.に拠点を置き、グローバルな視点で、主に原子力を中心としたエネルギー分野と道 路分野のシンクタンクとして、また政策および技術のリサーチ・コンサルティング企業として、顧客の 課題の発見と問題解決のための具体的な提案および、その実行を支援しています。小規模ながら も、原子力、機械工学、貿易、経営管理、法律、経済、情報技術などの専門家のネットワークを有 し、コンサルタント陣は、日本をはじめ東南アジア、中南米、アメリカ合衆国、ヨーロッパなど世界各 地で活躍するエキスパート集団です。ITサポートに関しては、support.iacdc.comを、その他につ いては、www.iacdc.comを、ご訪問下さい。 35 JCAW Copyright © 2015 All Rights Reserved. 会報内すべてのコンテンツの無断転用を禁じます。
© Copyright 2024 ExpyDoc