９月１日は防災の日でした。
皆様、防災グッズの確認や、避難場所・避難経路の確認はしましたか？
防災グッズは定期的に確認しないと、本当に使いたいときに、電気がつかなかったり、賞味期限が切れていたり…
定期的に見直しをしておかないと、いざというとき役に立たない！なんてことになってしまいますね。

ITのセキュリティーも同様です。
定期的に見直しを行うことが重要です。
2023年８月、政策研究大学院大学が、情報セキュリティーインシデントの発生を発表しました。
発表によると同大学は、2015年に初回の攻撃があったもののそれに気づかず、攻撃は2022年まで継続していたということです。
要因は様々ありますが、包括すると「正しいセキュリティーの見直しをしていなかったこと」が、長期にわたって攻撃に気づかなかったことの重大な原因であることは間違いないと思います。
今回は、同大学のセキュリティーインシデントを参考にしつつ、定期的に行うべきセキュリティーチェックについて、初級、中級、上級に分けてご説明してまいります。
まずは初級編です！

パスワードの定期的な変更

パスワードが流出してしまっている場合、攻撃者は継続して組織にアクセスをすることが可能です。
仮に攻撃者が、パスワードが不明な状況でログインを試みた場合は、ログイン失敗の記録が大量に残るので、攻撃されている事実を検知することが容易です。しかし、パスワードが流出してしまっている場合、攻撃者のログインは、システムからすると「正しいログイン」と言えますので、監視をすり抜けてしまうのです。
重要度の高い管理者アカウントはもちろん、個々のユーザーのパスワードも、定期的に変更しておくことが無難でしょう。

同大学では、インシデントが発覚した後、パスワードの変更を行いました。
しかし、このリセット対象から一部の管理者用アカウントが抜けていたため、依然として、攻撃者はこのアカウントを利用して、内部のサーバーに不正にアクセスすることが可能な状況が継続しました。
システム・サービスによっては、定期的なパスワードの変更を自動的に強制するように設定しておくことが可能な場合もあります。一度システム・サービスの仕様を確認してみると良いでしょう。

アカウントの棚卸

定期的にアカウントの棚卸を行い、すでに退職している方、不用になったアカウントは削除しましょう。
すでに退職した方が、継続して情報資産にアクセスしたり、機密が存在する所内に出入りできてしまうことは、情報の不正持ち出しにつながります。
また、休眠状態になっているアカウントを外部の攻撃者に乗っ取られてしまった場合、利用者がいないことから、発覚が遅れることが見込まれます。
退職後は速やかにアカウントを削除することが大切ですし、できることなら、定期的に消し忘れのチェックをしておくことがベストです。

同大学の報告でも、休眠アカウントが数多く存在していたことが報告されています。

情報の公開設定、閲覧権限を確認する

システム・サービスの設定を誤ると、閲覧権限がない人が、情報に触れてしまいます。
例えば、2023年７月には、山口県が主催しているイベントの参加者フォームの設定を誤っていたせいで、申込者が他の申込者の情報を閲覧できるようになっていた、という事故が発生しています。この件は、外部の利用者の指摘により、発覚しました。
警戒しなければならないのは、対外部の設定だけではありません。
組織の内部の人間であっても、必要のない情報には触れられないように制御しておくことが大切です。
そうした設定が、前項でも触れた「悪意のある内部の人間の攻撃」や「アカウントの乗っ取り」が発生した際に、被害を最小限にとどめることにつながります。

さいごに

今回は、「オペレーターの方でもできるセキュリティの見直し」について、ピックアップしてまいりました。
ここで上げた確認は簡易なものばかりですので、年に１回とは言わず、定期的に行うことができれば、組織のセキュリティレベルが高まります。
次の記事では、「情報セキュリティ担当者が行うべき対応」について触れていきます。