SecurityInsight | セキュリティインサイト

内閣サイバーセキュリティセンター、年末年始休暇等に伴うセキュリティ上の留意点について注意喚起

内閣サイバーセキュリティセンター(NISC)は12月22日、重要インフラ事業者等に向けて年末年始休暇等に伴うセキュリティ上の留意点について注意喚起を行なった。その概要は以下のとおり。

●特に留意すべきセキュリティリスクについて
1.テレワークに関するセキュリティリスク
インターネット等の外部ネットワークからアクセス可能な機器については、セキュリティパッチを迅速に適用する、不要なポートやプロトコルを外部に開放しない等の対策を講じているか改めて確認することが必要。クラウドサービスを利用している場合、設定ミスや不十分なアクセス制御、多要素認証不採用などによる脆弱な認証、クラウドサービスの管理者権限の認証情報の管理などについて再確認することが必要。テレワークや年末年始休暇等に関連して、たとえば、職場から持ち出したPCを職場のLANに接続する前に、自職場のIT環境に応じたリスクを的確に評価し、その結果を踏まえ、検疫を行なうなどの対処が必要となる。

2.最近のマルウエアに関するセキュリティリスク
ランサムウエアによるサイバー攻撃については、重要インフラ事業者等があらかじめ予防策、感染した場合の緩和策、対応策などを検討しておくための注意喚起をNISCから公開しているため、活用すること。メール経由で感染を試みるマルウエアについても、注意が必要。攻撃に用いられるメールとして、請求書を騙ったもの、システム管理者を装ったもの、「新型コロナウイルス感染症」等の時事や季節に関する事柄を題材にしたもの、マルウエア「Emotet」や「IcedID」のように感染したPCから窃取したメールの件名等を引用したなりすましメール等、さまざまなパターンがあることに留意することが必要。

3.最近の脆弱性に関するセキュリティリスク
インターネットに接続している機器はもちろんのこと、インターネットに接続していない機器についても、パッチ適用の必要性やパッチが適用できない場合の管理策などを十分検討し、システムの状況を踏まえた適切な管理を実施することが必要。

4.システム更改時等の作業誤り等に関するセキュリティリスク
一般に、システムの更改は、年末年始や大型連休等長期休暇のタイミングに実施することが多く、これらの作業に起因したシステム障害が発生し、長期休暇後にサービスに支障が生じることがある。最近、システムの重要機器故障時の自動切り替え機能が、サプライヤーの仕様変更の連絡不徹底により設計どおりに動作しない事例、クラウドサービス上に構築したシステムを更改した際、クラウド事業者側の仕様変更の連絡不徹底により、クラウドに保存した機密情報が外部に公開される状態となる事例など、不十分なサプライチェーン管理によってもたらされるトラブルが散見されている。
 

関連リンク

プレスリリース(PDF)