特定製品のみではマルウェア被害防げない - 感染想定した多層防御を
日本年金機構の複数端末にマルウェアが感染し、個人情報約125万件の漏洩が判明したが、こうした状況を受け、情報処理推進機構(IPA)では企業や組織に対し、マルウェアの感染を前提とした多層的なセキュリティ対策を実施するよう呼びかけた。
同機構は、年々巧妙化するサイバー攻撃に対し、特定のセキュリティ対策製品を導入しただけではマルウェアによる被害を防ぐのは難しいと指摘。個人情報や機密情報を扱う業務においては、感染予防だけでなく、感染することを想定し、多層的な防御策を講じるよう求めている。
多層防御のポイントとしては、マルウェアの感染や内部不正行為が発生しても、被害を防いだり、緩和するようシステムを設計したり、運用のルールを構築することを挙げた。また、こうしたルールが徹底されていることをPDCAサイクルを通じて見直していくことが重要だとしている。
具体的には、脆弱性の修正やマルウェア対策、アクセス制御などを実施し、感染リスクを抑えた上で、感染しても被害が最小限に抑えられるように、重要業務を行う端末やネットワークは一般の端末から分離することや、重要情報を保存した共有フォルダに対するアクセス制限の実施、パスワードや暗号化によるデータの保護が重要と説明。またインシデント発生時に備えた対応体制や対応手順書などを整備することを推奨している。
(Security NEXT - 2015/06/03 )
ツイート
関連リンク
PR
関連記事
ZACROSのランサム被害 - 個人情報約15万人分が流出か
RDP経由でサーバ侵入、従業員情報流出の可能性 - ジャパンガス
RDP接続で侵入、サーバがランサム被害 - 巴商会
1月のランサム被害に関するあらたな情報流出を確認 - 綜研化学
介護保険の高額合算療養費申請書約2500件を紛失 - 横浜市
神戸市、個人情報の不正操作で職員処分 - 保険料増額の通知から発覚
年金事務所を装う電話に警戒を - 偽マイナポータルに誘導
廃止したFAXを使用、番号も誤りマイナンバーなど個人情報が流出 - 沖縄労働局
借り受けた国民年金納付者リストを紛失 - 可児市
同意得てない個人情報を別団体へ誤提供 - 奈良県市町村職員共済組合