#ゼロトラスト
第74話 「はずトラスト」 〜情報漏洩を防ぐ3つの法則
今回から数回にわたり「はずトラストの法則」について解説する。
はずトラストとは「多分大丈夫なはずだ」という暗黙の思い込みによる信頼を指す。私の造語である。
なぜこの言葉を作ったかというと、この概念が情報漏洩の原因および対策を効果的に実施するために有用であることがわかったからです。
特にこのはずトラストという概念は次の3つの法則から成る。
第1法則:情報漏洩は「はずトラスト」から発生する。情報
第75話 思い込みが情報漏洩を発生させる5つの事例
今回は、ハズトラストの事例5つと対策2つについて解説する。
実はセキュリティパッチが当たっていないハズトラストとは「大丈夫なハズ」という思い込みのことであり、「情報漏洩はハズトラストから発生する」というのが「ハズトラストの法則」と私が呼ぶものである。
たとえばグローバルIP機器に適切なセキュリティパッチとポート閉鎖をすることで、実にランサムウェアの7割が防げるデータがある。
そこで弊社が多く
第64話 セキュリティパッチが未適用になるケース
電子書籍「ゼロトラストFTA」ゼロトラストFTAの2022年度版を電子書籍で発表した。
Amazon KindleとRakuten koboで価格0円で配布しているので、興味がある方は是非ご覧頂きたい。
本書の構成は以下となっている。
セキュリティパッチ適用が最優先の対策この書籍で読者の方に最も読んで頂きたいのは第6章だ。
今回はその中でも「セキュリティパッチ対策」について解説する。
どの企
第62話 マルウェア感染と脆弱性攻撃に多層防御
マルウェアも脆弱性も本質は同じもの従来のゼロトラストFTAでは「クライアント端末マルウェア感染」と「サーバ機器脆弱性攻撃」を別の事象として分類していた。
しかし昨今の攻撃者の手口を調査していくと、この2つには実は敷居がないのではないのではないように思える。
たとえば昨年に警察庁から発表されたランサムウェアの経路についての調査だ。
我々の多くはランサムウェアとは「悪意のある添付ファイルをうっかり
第59話 うっかり漏洩を元から断つ
うっかり漏洩はデータが端末に保存されているから起きる情報漏洩のケースは下記2つに大別される。
ケース1:悪意ある情報窃取(攻撃窃取)
ケース2:悪意ない紛失漏洩(うっかり漏洩)
今回はケース2についての情報漏洩について考察する。悪意のないうっかりミスから生じる漏洩なので「うっかり漏洩」と名付ける。
ゼロトラストFTAから「悪意のある攻撃窃取」と「うっかり漏洩」の発生率はほぼ同じであることがわ
第58話 内部不正漏洩の半数はシステム管理者による
システム管理者による内部不正情報漏洩IPA発行「内部不正による情報セキュリティインシデント実態調査(2016年3月)」によると、内部不正情報漏洩実行者の半数以上がシステム管理者である。
内部不正の被害額はサイバー攻撃より大きいこのIPAの報告書では、実際に内部不正をした事例10件について直接インタビューも行っている。そのインタビューの内容を専門家がまとめた考察が非常に示唆深い。
アンケートやイ
第57話 CIS Controlsを採用する時に
脆弱性対策と運用ルールCIS Controlsを18回に渡って考察してきた。この18回のテーマは大きく分けると「脆弱性対策」と「運用維持」2つのトピックスに分けられることがわかる。
脆弱性対策
CC01組織の資産のインベントリと管理
CC02ソフトウェア資産のインベントリと管理
CC06アクセス制御管理
CC09電子メールとWebブラウザの保護
CC10マルウェア防御
CC12ネットワークインフ
第56話 ペネトレーション・テストで想定外を洗い出す
ゼロトラストFTAの総仕上げCIS Contrlols 最後のテーマ第18章はペネトレーションテストについての考察だ。
ペネトレーションテストは、CISコントロール7で説明されている脆弱性テストとは異なります。脆弱性テストは、既知の安全でない企業資産の存在をチェックするだけで、そこで終わりです。
ペネトレーションテストは、さらにその弱点を突くことで、攻撃者がどこまで攻撃できるか、またその脆弱性を
第61話 ゼロトラストFTA2022年版
悪意ある窃取と悪意なきうっかり漏洩を大別ゼロトラストFTAの発生率算出のデータを最新版への更新を行う。
今回データを更新するにあたり、FTAの樹形図も変更した。
情報漏洩には、悪意ある窃取と悪意なきミスによる2つの大別される。セキュリティ対策を立案する時には、それぞれ別なインシデントとして把握することが必要だからだ。
米国企業は「悪意ある攻撃窃取対策」がメインCIS Controls全18章
第55話 会社がマルウェアに感染したら?
今回は、CIS Controls 17セキュリティ事故対応について考察する。
本来セキュリティ対策とは、保護、検出、対応、回復の機能までが含まれます。よくあるパターンは「保護と検出」だけの対応であったり、あるいは単純に復元するだけで終了とすることです。
しかし本来のセキュリティ対策は、事故の原因がどこにあったのかを解析して、被害が発生する前に対策しておくことです。事故の把握、原因解析、再発防止が
第54話 攻撃者が標的とするアプリケーションの共通点
CIS Controls 16ではアプリケーションのセキュリティについて考察する。
少ない開発で大きな効果があげられる標的アプリ攻撃者の立場では、出来るだけ効率良く情報窃取を行いたいと考える。脆弱性を見つけてマルウェアコード(スクリプト)を組み合わせるという手間暇に合う対象がの杣しい。
それは出来るだけ多くのユーザが使っているグローバルなアプリケーションやWebアプリケーションである。
ユー
第53話 サービスプロバイダーのセキュリティ管理をチェックする
CIS Conrols 15はサービスプロバイダーのセキュリティ運用について考察している。
セキュリティ管理もアウトソースにクラウド利用の拡大などもそうであるが、多くの企業は自前のITシステムからサービスプロバイダーのサービスに移管している動きが広がっている。
これに伴い、各企業がそれまで自社で抱えていたセキュリティを守る役割も、サービスプロバイダーに移管しつつある。
標的型攻撃やランサムウ
第52話 社員へのセキュリティトレーングを有効にするために
トレーニングを繰り返しても効果がない場合情報漏洩防止に効果的な社員へのセキュリティトレーニングはどういうものであろうか。
教育の回数を重ねることで、情報漏洩リスクが下がるケースもあるし、
残念ながら教育回数を重ねても、情報漏洩リスク低減という点に関しては効果がないケースもある。
効果があがらないケースの1つが、標的型攻撃などだ。たとえ100人の従業員99人が守れても1人のパソコンが感染するこ