組織のサイバー攻撃耐性を強化し、闘いに備えるための 7 つのベストプラクティスをご紹介します。
Blog Feature Image:
「敵を知り己(おのれ)を知れば百戦殆(あや)うからず。彼を知らずして己を知るは一勝一負す。敵を知らず己を知らざれば戦う毎に殆うし」―孫子
孫子の言葉は、現代でもそのまま当てはまります。敵を知ったうえで、おのれの強みと弱点を自覚できる組織こそが、これからのサイバーセキュリティ戦争を高い確率で勝ち抜くことになります。攻撃されるのを座して待つことなくセキュリティ体制を強化し、攻撃者に対して先手を取りましょう。
組織のサイバー攻撃耐性を強化し、闘いに備えるには、どんな対策があるのでしょうか。シマンテックは、2016 年版『インターネットセキュリティ脅威レポート』(ISTR)に掲載されたベストプラクティスに基づいて、サイバーセキュリティ戦術のチェックリストを作成しました。ISTR は、世界的なマルウェアの活動について概要と解析をご報告している年次レポートです。
- 社内ネットワークで許可されるデバイスすべてについて、適切なセキュリティ保護を確保する。
アクティブな監視と設定管理で、企業ネットワークに接続されるデバイスのインベントリを常に最新に保ちます。該当するのは、サーバー、ワークステーション、ラップトップ、リモートデバイスなどです。
- リムーバブルメディアに関するポリシーを導入する。
現実的であれば、外付けのポータブルハードディスクその他のリムーバブルメディアなど、許可されていないデバイスを制限します。こうしたデバイスは、故意か不慮かにかかわらず、マルウェアの侵入や知的財産の漏えいの原因になるからです。外部メディアデバイスを許可する場合は、ネットワークに接続する際に自動的にウイルススキャンを実行してください。また、暗号化されていない外部ストレージデバイスに機密データがコピーされないように、データ漏えい防止(DLP)のソリューションを使った監視と制限を行いましょう。
- アップデートとパッチの適用を積極的に行う。
安全でなくなった古いバージョンのブラウザやそのプラグイン、アプリケーションをアップデートし、パッチを適用します。これはオペレーティングシステム(OS)についても当てはまりますが、コンピュータの OS だけではなくモバイル、ICS、IoT デバイスの OS でも同様です。ウイルス定義と侵入防止定義も、ベンダーの自動アップデート機能を使って、常に最新の状態に保ちます。ソフトウェアベンダーの多くは、悪用されるソフトウェア脆弱性に対してこまめにパッチを開発していますが、せっかくのパッチも現場で採用されなければ意味がありません。可能であれば、組織全体で脆弱性に備えるために、パッチの配備を自動化しましょう。
- 実効的なパスワードポリシーを実施する。
8 ~ 10 文字以上の英字と数字を組み合わせた強力なパスワードを使いましょう。複数の Web サイトで同じパスワードを使い回さないようユーザーに注意を喚起し、他のユーザーとパスワードを共有することは禁止します。パスワードは定期的に(少なくとも 90 日ごとに)変更すべきです。
- 定期的なバックアップを利用できるようにする。
エンドポイントなど重要なシステムについては、定期的にバックアップを作成し管理します。セキュリティあるいはデータに緊急事態が発生したとき、サービスが停止したり従業員の生産性が低下したりする時間を最小限に抑えるために、バックアップはすぐに利用できる必要があります。
- メール添付を制限する。
ウイルスの拡散に利用されやすいファイルが添付されているメールを遮断または削除するように、メールサーバーを設定します。たとえば、.VBS、.BAT、.EXE、.PIF、.SCR などのファイルです。メールに添付を許可される PDF については、ポリシーを徹底的に吟味する必要があります。メールサーバーがセキュリティソフトウェアによって適切に保護され、メールが完全にスキャンされることを確認してください。
- 感染とインシデントに対する対応措置を確実に実施する。
- セキュリティベンダーの連絡先情報は常に手元に置き、担当者は誰か、万一システムが感染した場合にはどんな手順をとるか把握しておきます。
- 実際に攻撃が確認された場合や、壊滅的なデータの損失が発生した場合に、失われた、または危殆化したデータを復元できるように、バックアップと復元のソリューションを必ず導入します。
- Web ゲートウェイによる感染後の検出機能、エンドポイントのセキュリティソリューション、およびファイアウォールを利用して、感染したシステムを特定します。
- 感染したコンピュータを隔離して、社内で感染が広がるリスクを防ぐとともに、信頼できるバックアップメディアを使って復元します。
- ネットワークサービスが悪質なコードその他の脅威によって悪用された場合は、パッチを適用するまでそのサービスへのアクセスを無効化するか、遮断します。
以上のベストプラクティスを 1 つずつチェックしたら、あとはひたすらテストを繰り返します。セキュリティソリューションは常に更新されていますか。データ侵害が発生した場合に、チームがとるべき対応はわかっていますか。脅威の先手を取るには、セキュリティのテクノロジだけでなく、ソリューションを運用するチームについても常に確認を怠らないことが重要です。
【参考訳】