SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2019レポート

Society 5.0のサイバーセキュリティ政策 経済産業省 奥家敏和氏が解説

 経済産業省は近年の高度化したサイバーセキュリティに対して、多角的に政策を進めている。同省 奥家敏和氏が2019年4月に発表された「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を中心に、現在進められている経済産業省の政策を直々に解説した。

そんなところから攻撃が? 一体どう守ればいいのか

経済産業省 商務情報政策局 サイバーセキュリティ課 課長 奥家 敏和氏
経済産業省 商務情報政策局 サイバーセキュリティ課 課長 奥家敏和氏

 近年のサイバー攻撃はサプライチェーンの隙をつくなど「どう回避すればいいのか?」と思えるものが出てきている。

 例えば台湾積体電路製造(TSMC)では、新しく追加する機器がWannaCry亜種に感染していて、工場内ネットワーク内に感染が拡大した。本来は新品でもウィルススキャンするはずだったが、ミスで実施されず、工場内ネットワークには古い端末が多いなどの悪条件が重なり被害が拡大した。生産停止による損害額は最大190億円。

 正規のアップデートを提供するサーバーが攻撃を受け、マルウェアが配信されたケースもある。2018年6月以降にASUSのソフトウェアアップデートサーバーが攻撃されたケースでは、特定のMACアドレスに対してのみマルウェアが発動するようなプログラムになっていた。攻撃者はMACアドレスの情報を保有し、標的を絞り込んだと推測される。

 OSSを悪用したものもある。仮想通貨のウォレットアプリ「Copay」では、参照しているOSS外部ライブラリに悪意あるコードが仕込まれ、アプリにバックドアが仕掛けられた状態になったことがある。

 被害者としては「想定外」だ。新品の機器、正規のアップデート経路、参照している外部ライブラリなど、自分の守備範囲を超えたところから攻撃されたら防御するのはかなり難しい。近年では情報系から制御系へサイバー攻撃が到達するケースもあり(これまではネットワークやプロトコルが壁になっていたが)、制御系でも警戒が必要だ。

 クラウドサービスでは設定の甘さから攻撃されるケースもある。二段階認証を設定していない、またはパスワードが単純だと狙われやすい。ほかにもAWS(Amazon Web Services)のS3(クラウドストレージ)を外部から直接参照できるようになっているなど、初期設定をそのまま放置してしまうなど、設定の対応が甘ければ攻撃されてしまう。不用心は禁物だ。

次のページ
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)で全体像をつかめ

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2019レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12477 2019/10/22 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング