脅威や攻撃の手口を知り、対策に活かす
- 舩生 好幸
- 5月16日
- 読了時間: 3分
~セキュリティ専門機関が公開する情報を活用しよう
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2025.5.16
取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。
また、コンピュータウイルスやサイバー攻撃の手法も、毎日新たなものが登場しています。
脅威や攻撃に関する情報を積極的に収集し、対策に活かしましょう。
〇どうやって知るか
以下、独立行政法人 情報処理推進機構(IPA)が公開する「情報セキュリティ5か条」そして、「中小企業の情報セキュリティ対策ガイドライン」第3.1版、これら2つの情報に基づきご紹介しましょう。
*「情報セキュリティ5か条」第5項「脅威や攻撃の手口を知ろう!」
脅威や攻撃の手口を知るための対策として、「情報セキュリティ5か条」中で次の2点を挙げています。
・IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る。
・利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する。
特にお勧めは、上記1点目、セキュリティ専門機関のウェブサイトから情報を得て、最新の脅威や攻撃の手口を知ることです。
〇専門機関のウェブサイト・例
IPAが公開する「中小企業の情報セキュリティ対策ガイドライン」第3.1版では、IT製品やサービスに関わる重要なセキュリティ情報、緊急情報などを公開する専門機関のサイトが掲載されています。
情報源として押さえておくと便利ですのでこちらにも掲載しておきます。
・ここからセキュリティ!
・ IPA セキュリティセンター
・ IPA サイバーセキュリティ注意喚起サービス「icat for JSON」
・一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)
・警察庁 @police
・内閣サイバーセキュリティセンター
・JVN (脆弱性対策情報ポータルサイト)
〇組織的に情報を収集し周知・対応できる仕組みを作りたいなら
事業者様が情報セキュリティに関する脅威や攻撃の情報を定期的に収集し、その情報を組織内に周知し、きちんと対応するところまで確実にしたいなら、以下のような仕組み・流れを組織内に作っておくことをお勧めします。
(以下は、「中小企業の情報セキュリティ対策ガイドライン」の付録「情報セキュリティハンドブック」(ひな形)の記述に基づいてご紹介します。)
・情報セキュリティを担当する部署や担当者が、週1回など定期的に上記のサイトを巡回・参照し、組織内で利用するIT製品やサービスに関わる重要なセキュリティ情報、緊急情報などが公表されていないか、確認する。
・上記のサイトに、自組織にとって重要なセキュリティ情報や緊急情報などが公表された場合は、速やかに経営者及び組織内に報告する。
・必要な対策を速やかに組織内に周知する。周知を受けた組織・メンバーは必要な対策を実行する。(周知を受けた組織・メンバーは対策の実施報告まで行うことをセットにできれば確実です。)
出典:
・IPA「中小企業の情報セキュリティ対策ガイドライン」第3.1版 P.33
・同上・付録4:「情報セキュリティハンドブック」(ひな形)
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments