近年、AI技術の急速な進化に伴い、サイバーセキュリティや情報技術に関連する潜在的な脅威の話題が一層強調されるようになっています。
2023年7月18日は、AIの安全性に関する国連会議が初めて開催されました。サイバー犯罪の増加や、AIの戦争兵器としての利用などが挙げられていました。
独立行政法人情報処理推進機構(IPA)セキュリティセンターは2006年から毎年「情報セキュリティ10大脅威」というレポートを発行しています。セキュリティ専門家や企業のシステム担当等から構成される「10大脅威選考会」の投票から「個人」と「組織」の2つの立場に分けたTOP10入りした脅威を「10大脅威」が選択されます。
AIソリューションの発展に関しては、発表された2023年の組織向けた「情報セキュリティ10大脅威」の中から、
2位 サプライチェーンの弱点を悪用した攻撃、
5位 テレワーク等のニューノーマルな働き方を狙った攻撃 と
10位 犯罪のビジネス化(アンダーグラウンドサービス)に
特に注意すべきポイントです(全体のリポートこちら)。
日本の中小企業は、情報セキュリティ対策がほとんど進んでいないので、今回はAIの発展に繋がる可能な脅威に向けて、
以下にIPAのリポートから「20つのサイバーセキュリティ対策」を選びました。
コンテンツ
⇒規則・管理システムの設定対策
従業員に対するセキュリティ教育の実施
セキュリティ対策ツールの利用や設定見直し
サイバーセキュリティ、情報取扱とテレワークポリシーの作成
セキュリティ診断やペネトレーションテストを行う
アプリケーション許可リストの整備 & アクセス権の最小化と管理の強化
CISO/CIO など専門知識を持つ責任者を配置
機器の脆弱性対策を迅速に行う
迅速、継続的に対応できる体制(CSIRT等)の構築
⇒サービスを使う際には対策
ログインセキュリティ
-利用しているサービスのログイン通知を設定と履歴の確認
-パスワードは長く、複雑にする
-パスワードを使い回さない
-パスワード管理ソフトの利用
3Dセキュアを利用 & 多要素認証の設定を有効にする
クレジットカードなど利用のセキュリティ
-プリペイドカードの利用を検討
-クレジットカードやインターネットバンキングの利用明細を確認
DLP(情報漏えい対策)製品と情報の保護(暗号化、認証)の導入
⇒システム・ツール導入対策
情報セキュリティの認証(ISMS、Pマーク、SOC2、ISMAP等)で定めている対策
適切なバックアップの運用を行う
セキュリティサポートが充実しているソフトウェアを使う
ネットワークセキュリティ
-ネットワークレベル認証(NLA)の実施
-EDR,NDR等を用いたエンドポイントやネットワークの監視、防御
シンクライアント、VDI、VPN、ZTNA/SDP等のセキュリティに強いテレワーク環境の採用
パッチ利用対策
-UTM、IDS/IPS、WAF、仮想パッチ等の導入
-セキュリティパッチの適用(VPN装置、ネットワーク機器、PC、スマートフォン等)
DDoSの攻撃の影響を緩和するISPやCDN等のサービス利用
メール利用セキュリティ
-メールに電子証明を付与(S/MIMEやPGP)
-DMARCを導入する
サイバーと情報セキュリティに関して悩んでいる企業が少なくありません。特に近年のテレワークの発展の中で、新しいサイバー脅威が常に増加しています。この悩みに、適切な指導とプロフェッショナル戦略計画は非常に効率的な解決策です。
この企業のニーズに合わせた特別なサイバーセキュリティのサポートを弊社で提供してます。随時、ご気楽にお問い合わせください。