2022 年 03 月 22 日
【2022 年決定版】必要な対策してますか? IPA 「情報セキュリティ 10 大脅威」
こんにちは。サイバートラスト カスタマーサービス部です。
今年も情報処理推進機構(IPA)より、「情報セキュリティ 10 大脅威 2022」が発表されました。 組織部門で初めて「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がランクインしました。2021 年 12 月に発生した「Apache Log4j」の脆弱性が話題になったので、記憶に新しい方も多いのではないでしょうか。
今回は、10 大脅威対策の 2022 年決定版としてゼロデイ攻撃も含めた 10 大脅威に、どんな製品を使用すれば対策ができるかをご案内します。
■「情報セキュリティ 10 大脅威 2022」 ~対策できる脅威とサイバートラストで提供できる対策~
※ 各対策名をクリックすると商品説明にジャンプします。(商品名下の数字は 10 大脅威の順位です)
※ 認証局:電子認証局サービス / 脆弱性:脆弱性対策サービス / システム:システム対策サービス / コンサル:コンサルティングサービス
組織 | 提供できる対策 | 順位 | 個人 | 提供できる対策 |
---|---|---|---|---|
ランサムウェアによる被害 | 脆弱性 システム | 1 | フィッシングによる個人情報等の詐取 | 認証局 |
標的型攻撃による機密情報の窃取 | 脆弱性 コンサル | 2 | ネット上の誹謗・中傷・デマ | |
サプライチェーンの弱点を悪用した攻撃 | 認証局 脆弱性 | 3 | メールや SMS 等を使った脅迫・詐欺の手口による金銭要求 | |
テレワーク等のニューノーマルな働き方を狙った攻撃 | 認証局 脆弱性 コンサル | 4 | クレジットカード情報の不正利用 | 脆弱性 |
内部不正による情報漏えい | コンサル | 5 | スマホ決済の不正利用 | 脆弱性 |
脆弱性対策情報の公開に伴う悪用増加 | 脆弱性 システム | 6 | 偽警告によるインターネット詐欺 | |
NEW! 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 脆弱性 システム | 7 | 不正アプリによるスマートフォン利用者への被害 | |
ビジネスメール詐欺による金銭被害 | 認証局 コンサル | 8 | インターネット上のサービスからの個人情報の窃取 | 脆弱性 |
予期せぬ IT 基盤の障害に伴う業務停止 | 脆弱性 システム コンサル | 9 | インターネットバンキングの不正利用 | 脆弱性 |
不注意による情報漏えい等の被害 | コンサル | 10 | インターネット上のサービスへの不正ログイン |
(出典)情報処理推進機構「情報セキュリティ10 大脅威 2022」を基に作成しています
電子認証局サービス
① SSL/TLS サーバー証明書 SureServer
※ 個人 1
サイバートラストのサーバー証明書は、通信の暗号化ができるのはもちろん、企業の実在性を認証しているため、真正なサイトであることをアピールできます。フィッシングサイト(偽サイト)と区別することができ、お客様を守ることにつながります。
商品詳細:SSL/TLS サーバー証明書 SureServer
② S/MIME 証明書 SureMail
※ 個人 1、組織 8
企業・組織の実在性をサイバートラストが認証した上で発行する電子メールに電子署名を行うための証明書です。
企業の実在性が証明できるため、電子メールの差出人が本物かどうかを受信者が一目で確認することができます。また、電子署名された電子メールは、内容が書き換えられていないことも容易に確かめることができます。
企業にとっては、自社が送付したメールであること、改ざんされていないことを証明することで安心・安全なコミュニケーションができ、お客様を守ることにつながります。
商品詳細:S/MIME 証明書 SureMail
③ サイバートラスト デバイス ID
※ 組織 3、4
会社が許可した端末を厳格に認証し、安全なネットワークアクセスを実現します。
証明書を使って特定のデバイス(端末)からのみアクセスできるように管理できるので、不正端末からのアクセスを防止し、安全に情報資産を活用できます。
④ サイバートラスト パーソナル ID
※ 組織 4
会社が承認したユーザーを厳格に認証し、安全なネットワークアクセスを実現します。
会社が承認して証明書を発行したユーザーのみアクセスできるように管理できるので、不正ユーザーからのアクセスを防止し、安全に情報資産を活用できます。
商品詳細:サイバートラスト パーソナル ID
⑤ iTrust リモート署名サービス
※ 組織 3
電子化された文書に電子証明書とタイムスタンプを組み合わせた「電子署名」を行うものです。
「電子署名」を行うことで、「いつ」「誰が」「何に」合意したかを担保して法的効力を持たせることが可能になり、署名することで、その文書が改ざん、変更されていないことを担保することができます。
また、サイバー攻撃などで電子署名された文書が改ざんされた場合には、署名データも改変されるため改ざんを検知することができます。
商品詳細:iTrust リモート署名サービス
脆弱性対策サービス
⑥ Web アプリケーション診断
※ 個人 4、8、9、組織 1、2、3、6
お客様の Web アプリケーションのセキュリティ上の脆弱性の有無を調べます。
脆弱性を放置すると情報窃取、情報漏洩につながるため、事前に脆弱性の有無を確認し、対策することができます。
サイバートラストの Web アプリケーション診断は、専門の技術者による調査を行います。
⑦ ネットワーク診断
※ 個人 4、8、9、組織 1、2、3、4、6
お客様のネットワーク機器、OS、Web サーバー、データベースなど、Web アプリケーションを稼働している環境の脆弱性を調べます。Webアプリに脆弱性が無くても、OS や機器に脆弱性があると攻撃されるおそれがあるため、合わせて脆弱性を調べて対策することができます。
サイバートラストのネットワーク診断は、専門の技術者による調査を行います。
商品詳細:脆弱性診断サービス ネットワーク診断
⑧ スマートフォンアプリケーション診断
※ 個人 5、組織 6
スマートフォン端末内で動作するアプリケーションを実際に操作することにより、生成されたファイルや通信などに対して調査します。
マルウェアや不適切なセキュリティ設定などによって、個人情報や機密情報の漏洩、スマートフォンが乗っ取られたりする脅威への適切な対策を行います。
サイバートラストのスマートフォンアプリケーション診断は、専門の技術者による調査を行います。
商品詳細:脆弱性診断サービス スマートフォンアプリケーション診断
⑨ MIRACLE Vul Hammer(ミラクル バル ハンマー)
※ 組織 2、6、7、9
定期的にシステム内の脆弱性スキャンを実行し、日々発見されていくソフトウェアの脆弱性が自分のシステムの中にどれだけ含まれているかを調べて可視化できます。
脆弱なソフトウェア対策のタイムリーな対応を可能にします。
商品詳細:Zabbix 連携の脆弱性管理ソリューション MIRACLE Vul Hammer
⑩ マルウェア・改ざん検知サービス Kenchi
※ 個人 8
Web サイトの改ざんの有無を定期的に自動で監視し、改ざん形跡をいち早く見つけアラートを送信します。 ウェブサイトの脆弱性を悪用してウェブサイトを改ざんし、利用者が改ざんに気付かずウェブサイト上に入力した情報を窃取する手口への対策として有効です。
システム対策サービス
⑪ MIRACLE ZBX(ミラクル ゼット ビー エックス)
※ 組織 7、9
社内にあるサーバーやネットワーク機器の稼働状況、死活監視などの状態を総合的に監視することができます。
システムで障害が起きたことをいち早く検知できるため、初動と問題の気切り分けを素早く行うことができます。
商品詳細:Zabbix ベースのシステム統合監視 MIRACLE ZBX
⑫ MIRACLE System Savior(ミラクル・システムセイバー)
※ 組織 1、9
システム環境、ユーザー環境、ユーザーデータを丸ごとバックアップし、簡単に復旧できるため、障害が起きた際の早期の復旧を手助けします。
ハードウェア障害や OS が起動できないような重要な障害が起こった際に OS の再インストールをすることがなく復旧できます。
システムが起動できなくなるランサムウェアへの対策にも有効です。
⑬ MIRACLE CLUSTERPRO X(ミラクル・クラスタープロ・エックス)
※ 組織 9
複数台の同じサーバー環境(クラスター)を用意することで、障害が起きた際に業務を待機系に引きついで継続させることができます。
業務停止時間を最小限に抑えて重要な業務を守ることができます。
商品詳細:MIRACLE CLUSTERPRO X
⑭ WAF Plus
※ 組織 6
ウェブサイト・ウェブアプリケーションの脆弱性を悪用した攻撃から守るセキュリティ対策の一つです。
主な攻撃手段である「SQLインジェクション」「クロスサイトスクリプティング」などによる攻撃を防ぐことができます。
商品詳細:WAF Plus
コンサルティングサービス
⑮ 情報セキュリティコンサルティングサービス
※ 組織 2、4、5、8、9、10
お客様の業務フローや従業員のリテラシーに合わせて、情報セキュリティ対策の「現状把握」「ルール作り」「改善支援」「PDCA運用支援」など情報セキュリティ対策のルール作りを支援します。
教育ツールやセミナーへの講師派遣などの教育プランもご用意していますので、従業員の情報リテラシーや情報モラルを向上することで防げる脅威への対策もできます。
商品詳細:情報セキュリティコンサルティングサービス
「脆弱性対策」が有効な脅威が多く、日ごろから脆弱性対策を行っておくことがとても大切だと感じました。
また、組織向けの対策は1つの脅威に対して複数の対策を講じることができるものが多数あり、組み合わせて対策することで安全性が高まると思います。
今回ご紹介した製品についてのお問合せ等がありましたら、各担当よりご連絡いたしますので「お問い合わせフォーム」よりお気軽にご連絡ください。