情報処理安全確保支援士の視点で考える 中小企業におけるセキュリティ対策 2024/01/10 松田 康宏

仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア（イースト株式会社） 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級（AFP） 中小企業診断士 主な活動 ▮ JAWS-UG 金沢支部コアメンバー JAWS-UG 事務局長 AWS Community Builder 中学校のPTA会長 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ

本日持ち帰っていただきたいこと ・中小企業の現状を把握できるようになる ・中小企業に対してできるセキュリティ対策とBCP対 策について理解できるようになる ・インシデントハンドリングについての考慮事項を理解 できるようになる

・企業数の99.7%は中小企業・小規模事業者 ・従業員数の約70%は中小企業に雇用されている 出所：中小企業白書2021年 なぜ中小企業の話をしようとしているのか 中小企業の特徴として、ヒト、モノ、カネが限られる ヒト・・・情報システム担当者不在 モノ・・・データは各コンピュータにある カネ・・・古いOSが未だに動いている

サプライチェーンの弱点を悪用した攻撃が順位を上げており、中小企 業も攻撃対象になりうる 中小企業にはセキュリティ対策は関係ない？ 昨年 順位 個人 組織 昨年 順位 ー フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 ー ー ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 ↑ ー メールやSMS等を使った脅迫･詐欺の手口による 金銭要求 3位 標的型攻撃による機密情報の窃取 ↓ ー クレジットカード情報の不正利用 4位 内部不正による情報漏えい ↑ ー スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 ↓ 情報セキュリティ10大脅威 2023

・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか？ でも、システムがお金をうまない２大要素のうちの一つ

優先順位の付け方 リスクマネジメント 情報資産に関するリスク源（脅威･脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染 感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE（年間損失見込み額）＝ SLE（単一損失予想）× ARO（年間発生率）

影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 （共有） リスク回避 リスク保有 リスク低減 （最適化） 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす（影響度･確率共に） リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容･許容するか何らかのリスク 対応を適用するのかを決定する。

・事業所拠点とは別の場所でバックアップが取得されている （BCP対策） ・バージョニング設定によって、ランサムウェアによる感染が発生して も元に戻せる リスク対応で考えるならばクラウドへのバックアップは有用

中小企業でも簡単にできるセキュリティ対策 ・リモートワーク時の留意点 ・パソコンの盗難防止 ・記憶媒体の取扱

リモートワークにおける留意点について （自宅や公共スペースのWi-Fiを使用しての業務等） ▋プライバシーフィルターをつけること ▋パスワードを必要としないアクセスポイントには接続しな いこと ▋店内にパスワードが貼りだされているアクセスポイントや、 客室共通パスワードとなっているアクセスポイントには接続 しないこと ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと ▋操作ログが取得されていることを従業員へ通知するこ と 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある

パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい（機器がなくなることへの対策ではなく、データが持ち出されることへの対 策） ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、（Windows 10 Professional 以降の場合には）BitLocker 暗号化を有効にすることを検討

記憶媒体（USB等）の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSB や他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する

インシデント発生に備えて MicroHardeningにチャレンジしてみよう！ 仮想のショッピングサイトの運営管理者となり、クローラーによるネッ トショッピングの可用性を保証するゲームイベント。 45分×3セットで行われた。 タイムテーブル イベント 13:00～14:00 事前説明 14:00～14:45 1セット目 14:45～15:15 振り返り・休憩・準備 15:15～16:00 2セット目 16:00～16:30 振り返り・休憩・準備 16:30～17:15 3セット目

オンラインとオフラインの違い オンライン（２０２２） オフライン（２０２３） 参加メンバー セキュリティに精通した方1名 企業在籍者２名 情シスの方1名 金沢工大の方2名 参加した場所 自宅 金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を 変化させることが重要

参加して重要だと感じたこと • コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと • 恒久対策と暫定対策を分ける • 作業プロセスの記録、共有に心がける • 元に戻すことができる準備を意識する バックアップは取れているか？ • サービス稼働状況の調査を素早くできるようにする • 不審ログに関する調査

さいごに #サイバーセキュリティは全員参加