皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週末、内閣サイバーセキュリティセンター（NISC/National center of Incident readiness and Strategy for Cybersecurity）よりサイバー攻撃に関する注意喚起が発出されています。

今日はそれについてお伝えします。

NISCによるサイバー攻撃の注意喚起

以下、外務報道官談話です。

中国を拠点とするAPT10といわれるグループによるサイバー攻撃について（外務報道官談話）

１．サイバー空間の安全は、我が国を含む国際社会の平和と繁栄を確保する上で極めて重要です。

２．こうした中、12月20日から21日（現地時間）にかけて、英国及び米国等は、中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても、サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており、サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。

３．我が国においても，APT10といわれるグループからの民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認しており、かかる攻撃を断固非難します。

４．中国を含むG20メンバー国は、サイバー空間を通じた知的財産の窃取等の禁止に合意しており、国際社会の一員として責任ある対応が求められています。

５．今後とも、政府として国内のサイバーセキュリティ対策の徹底に関する注意喚起を実施する予定です。

６．我が国としては、今後も、国際社会と緊密に連携して、自由、公正かつ安全なサイバー空間の創出・発展のための取組を進めていきます。

また、IPA（独立行政法人情報処理推進機構）では『日常における情報セキュリティ対策』を紹介しています。

＜組織のシステム管理者向け＞

１．情報持ち出しルールの徹底

２．社内ネットワークへの機器接続ルールの徹底

３．修正プログラムの適用

４．セキュリティソフトの導入および定義ファイルの最新化

５．定期的なバックアップの実施

６．パスワードの適切な設定と管理

７．不要なサービスやアカウントの停止または削除

＜組織の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．パスワードの適切な設定と管理

４．不審なメールに注意

５．USBメモリ等の取り扱いの注意

６．社内ネットワークへの機器接続ルールの遵守

７．ソフトウェアをインストールする際の注意

８．パソコン等の画面ロック機能の設定

＜家庭の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．定期的なバックアップの実施

４．パスワードの適切な設定と管理

５．メールやショートメッセージ（SMS）、SNSでの不審なファイルやURLに注意

６．偽のセキュリティ警告に注意

７．スマートデバイスのアプリ導入時の注意

８．スマートフォン等の画面ロック機能の設定

まずは不審なメールや添付ファイルを開かず、WindowsなどのOSやプログラムのパッチ（修正プログラム）やアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策の一層の強化を行うよう注意喚起が発出されています。

参考１：APT10といわれるグループによるサイバー攻撃について（注意喚起）

参考２：日常における情報セキュリティ対策

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨今のIT（情報通信技術）の発展に伴い、その恩恵を受けている分サイバー攻撃などのリスクも増大しました。

しかし、各企業においてサイバーセキュリティに対する認識はやむを得ない『費用』と見る傾向にあります。

これに対して内閣サイバーセキュリティセンターは『企業経営のためのサイバーセキュリティの考え方（案）』の中で、

サイバーセキュリティはより積極的な経営への『投資』と位置付けるべきで、言い換えれば、企業としての『挑戦』と、それに付随する『責任』として、サイバーセキュリティに取り組むことが期待される。

としています。

基本的な考え方

＜2つの基本的な認識＞
サイバー空間における脅威の深刻化への対応として、事後追跡・再発防止及び今後生じ得る犯罪・脅威への対策を講じていく一方で、各企業においても、自ら進んで、意識・リテラシーを高め、主体的に取り組むことが必要である。特に、今後のビジネス環境の変化とサイバーセキュリティの関係を考慮すると、次のことを認識して、企業経営の中でサイバーセキュリティに取り組むことが重要である。

① サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新する、新しいものづくり戦略の一環として考えていく必要がある。
② 全てがつながる社会においては、サイバーセキュリティに取り組むことはいわば社会的なルールであり、自社のみならず社会全体の発展にも寄与することとなる。

＜3つの留意事項＞
IT が社会の基盤となる中、コーポレートガバナンスの一環としてセキュリティ対策を行うことは社会的な発展に寄与するとともに、自らの新しい企業戦略を担うものでもある。このため、社会の変化に合わせて、リスク分析、方針の策定、実施、評価、そして情報の開示という一連の仕組みを確立していくことが重要となる。その際、特に次のことに留意すべきである。

① リスクの一項目としてのサイバーセキュリティ
② サプライチェーン全体でのサイバーセキュリティの確保
③ 情報発信による社会的評価の向上

このように、サイバーセキュリティへの取り組みは社会的なルール、社会全体への発展として認識し、戦略の一環として考えていく必要性がある。

つまり、『挑戦』・『責任』としての『投資』と認識すべきものであるということです。