NISC – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 サイバー攻撃に関する注意喚起 https://www.trilogyforce.com/blog/attention-to-cyber-attack/ https://www.trilogyforce.com/blog/attention-to-cyber-attack/#respond Wed, 26 Dec 2018 10:16:12 +0900 https://www.trilogyforce.com/blog/?p=6882 2018年12月21日、内閣サイバーセキュリティセンター(NISC/National center of Incident readiness and Strategy for Cybersecurity)からサイバー攻撃に関する注意喚起が発出されました。

情報セキュリティ(サイバーセキュリティ)普及啓発ロゴマーク

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週末、内閣サイバーセキュリティセンター(NISC/National center of Incident readiness and Strategy for Cybersecurity)よりサイバー攻撃に関する注意喚起が発出されています。

今日はそれについてお伝えします。

NISCによるサイバー攻撃の注意喚起

以下、外務報道官談話です。

中国を拠点とするAPT10といわれるグループによるサイバー攻撃について(外務報道官談話)

1.サイバー空間の安全は、我が国を含む国際社会の平和と繁栄を確保する上で極めて重要です。

2.こうした中、12月20日から21日(現地時間)にかけて、英国及び米国等は、中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても、サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており、サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。

3.我が国においても,APT10といわれるグループからの民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認しており、かかる攻撃を断固非難します。

4.中国を含むG20メンバー国は、サイバー空間を通じた知的財産の窃取等の禁止に合意しており、国際社会の一員として責任ある対応が求められています。

5.今後とも、政府として国内のサイバーセキュリティ対策の徹底に関する注意喚起を実施する予定です。

6.我が国としては、今後も、国際社会と緊密に連携して、自由、公正かつ安全なサイバー空間の創出・発展のための取組を進めていきます。

また、IPA(独立行政法人情報処理推進機構)では『日常における情報セキュリティ対策』を紹介しています。

<組織のシステム管理者向け>

1.情報持ち出しルールの徹底

2.社内ネットワークへの機器接続ルールの徹底

3.修正プログラムの適用

4.セキュリティソフトの導入および定義ファイルの最新化

5.定期的なバックアップの実施

6.パスワードの適切な設定と管理

7.不要なサービスやアカウントの停止または削除

<組織の利用者向け>

1.修正プログラムの適用

2.セキュリティソフトの導入および定義ファイルの最新化

3.パスワードの適切な設定と管理

4.不審なメールに注意

5.USBメモリ等の取り扱いの注意

6.社内ネットワークへの機器接続ルールの遵守

7.ソフトウェアをインストールする際の注意

8.パソコン等の画面ロック機能の設定

<家庭の利用者向け>

1.修正プログラムの適用

2.セキュリティソフトの導入および定義ファイルの最新化

3.定期的なバックアップの実施

4.パスワードの適切な設定と管理

5.メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意

6.偽のセキュリティ警告に注意

7.スマートデバイスのアプリ導入時の注意

8.スマートフォン等の画面ロック機能の設定

まずは不審なメールや添付ファイルを開かず、WindowsなどのOSやプログラムのパッチ(修正プログラム)やアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策の一層の強化を行うよう注意喚起が発出されています。

参考1:APT10といわれるグループによるサイバー攻撃について(注意喚起)

参考2:日常における情報セキュリティ対策

]]> https://www.trilogyforce.com/blog/attention-to-cyber-attack/feed/ 0 パスワードの定期的変更不要論 https://www.trilogyforce.com/blog/regular-change-of-password-is-unnecessary/ https://www.trilogyforce.com/blog/regular-change-of-password-is-unnecessary/#respond Wed, 28 Mar 2018 10:44:07 +0900 https://www.trilogyforce.com/blog/?p=5705 さまざまなところでログイン認証などに必要となるパスワード、従来の考え方では『パスワードの定期的変更』が推奨されてきました。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

パスワード

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード 設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない(定期的な変更は不要)』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか?

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC(内閣サイバーセキュリティセンター)の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか?

約1年程前、米政府機関である『NIST(National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

(参考:電子的認証に関するガイドライン by NIST

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか?

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

(参考:パスワードジェネレータ/Norton by Symantec

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。

]]> https://www.trilogyforce.com/blog/regular-change-of-password-is-unnecessary/feed/ 0