今回の解説ニュース

ニュース概要

今回のインシデントは、攻撃者がサーバに不正アクセスした後、企業の公式サイトを改ざんしたというものです。原因として、旧バージョンのWordPressシステムの脆弱性が利用されたことが挙げられています。なお、同システムは同社の管理範囲外のものであったということです。

対策として、攻撃発覚後に、Webサーバ上に存在した不正プログラムを除去し、外部からのさらなる影響を防ぐために、利用しているサーバの移管とセキュリティ対策の強化を行っています。再発防止策として、今後、移管先のサーバ上で不審な挙動がないかを引き続き監視し、セキュリティ対策をさらに強化するということです。

組織が管理するシステム以外で発生するインシデントの対策

組織が管理するシステム以外で発生するインシデントの対策として、従業員に組織が認可したシステムのみを利用させることが必要です。また、組織が正式に認可していない、あるいは管理していないにもかかわらず、従業員が利用しているシステムをシャドーITと言います。

シャドーITは、組織が管理していないシステムやサービスが従業員によって私的に利用されることで、セキュリティリスクや情報漏洩に繋がる可能性のある問題です。シャドーITによるインシデントを防ぐためには、正しく現状を把握した上で、従業員に組織が認可したシステムのみを利用させ、定期的な見直しを行うことが必要です。

具体的には、現状把握の一環として、アンケートやインタビューを通じて、従業員がどのようなツールやサービスを利用しているのか、その理由などを把握します。そして、シャドーITの利用禁止や、利用する場合のルールを明確に定め、全従業員に周知徹底します。そして、現状把握から従業員が業務で必要とするツールを厳選し、機能や使い勝手の向上を図ります。その後、定期的な見直しを行い、IT環境の変化や従業員のニーズに合わせて、セキュリティポリシーや対策を改善しましょう。

ちなみに、クラウドサービスへのアクセスを監視し、不正な利用を検知し防止するCASBや、スマートフォンやタブレットなどのモバイル端末の利用状況を管理するMDMも、シャドーITの対策としては有効です。

システムの脆弱性を管理する方法

システムの脆弱性を管理する方法として、公開されている脆弱性情報を収集する方法と、独自に脆弱性を洗い出す方法が挙げられます。脆弱性管理は、組織のセキュリティを確保するために不可欠な作業です。しかし、日々新たな脆弱性が発見されるため、効率的な管理方法が求められます。

まず、業界団体やセキュリティコミュニティの情報共有の場に参加し、最新の脆弱性情報を収集します。JVNやNVDなど、脆弱性データベースを活用して、組織で利用しているシステムに関する脆弱性情報は直ちに漏れなく把握するようにしましょう。

一般には公開されていない、自社のシステムのみに存在する独自の脆弱性は自発的に洗い出す取り組みを行いましょう。具体的には、定期的に脆弱性スキャンを実施し、システムに存在する脆弱性を洗い出します。ツールを使いこなせなかったり、専門知識が不足している場合は、脆弱性診断をセキュリティベンダーに依頼して、定期的に脆弱性を洗い出すことも有効です。

今回は、組織が管理するシステム以外で発生するインシデントの対策や、システムの脆弱性を管理する方法についてお届けしました。脆弱性管理は情報資産の把握から始まりますので、ご利用中のシステムについては、バージョンを含めた管理をもれなく行うようにしましょう。