必読だけど無料な「セキュリティ教本」、この3冊(2018年版)

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

必読だけど無料な「セキュリティ教本」、この3冊(2018年版)

2018/04/17


 4月になり、多くの学生が新社会人として活動を開始したことだろう。また、人事異動の季節でもあり、新たな職場に配属された社会人も多い。右も左も分からない状況かもしれないが、情報セキュリティの最低限の知識は急いで身に付けておきたい。そこで今回は、「これだけは読んでおきたい」とオススメできる無料のセキュリティ教本を3つ選んだ。

セキュリティ教本

基本中の基本となる1冊目「情報セキュリティ10大脅威 2018」

 まず、目を通しておくべきなのは情報処理推進機構(IPA)が毎年3月に公開する「情報セキュリティ10大脅威」だ。最新版を読むことで、セキュリティ面で気を付けなければならない項目の大枠を把握できる。イラストや図表を用い、セキュリティ初心者でも分かりやすい内容となっている。もちろん、中級者以上であってもセキュリティ知識の棚卸しとして役に立つ。

 「情報セキュリティ10大脅威 2018」は、80ページのPDFだ。情報セキュリティの専門家を中心とした「10大脅威選考会」によって、実際に2017年に発生したセキュリティ事故や攻撃の脅威度をランク付けしている。

図1 情報セキュリティ10大脅威 2018年版
図1 情報セキュリティ10大脅威 2018年版
出典:IPA
https://www.ipa.go.jp/security/vuln/10threats2018.html

 なぜ、最新版を読まなければならないのか。それは、サイバー攻撃の手法や環境が日々変わるものだからだ。

 迷惑メールを例に挙げよう。10年前であれば、その名前が示す通り、不特定多数にばらまかれる迷惑なメールだった。添付された悪意のある実行ファイルをクリックしなければマルウェアに感染する可能性も低かった。それをクリックしたとしても「ウイルス対策ソフト」がそこそこの精度をもってブロックに成功した。万が一、マルウェアに感染してしまったとしても、PCを初期化することで対応できた。

 だが、2018年は違う。10大脅威の1位にもある通り、迷惑メールは企業を狙う「標的型攻撃」の1つの手段にもなった。攻撃者はターゲットとなる企業を狙い撃ちし、社内ネットワークや人事などの情報を収集した上で、従業員の心理的な弱点もフル活用して攻撃を成功させようとする。その結果、被害に遭う企業はなかなか減らない。

 もう1つ、10大脅威を1冊目としてお勧めしたい理由がある。それは、企業などの「組織」だけでなく「個人」を狙ったサイバー脅威についても網羅しているからだ。新社会人であっても会社を出れば1人の人間だ。プライベートで使うPCやスマートフォンを持っているだろうし、自宅にはインターネットにつながるスマート家電もあるだろう。

 2018年版では、恒例の10大脅威の解説に入る前に、冒頭の10ページを「IoT機器(情報家電)編」に割いている。それだけインターネットにつながる機器が家庭に普及したということであり、それを狙う攻撃が増えたということでもある。坂本龍馬がまとめた「船中八策」になぞらえた「情報セキュリティ船中八策ーIoT機器(情報家電)編ー」は、サイバーセキュリティ対策の「基本中の基本」の最たるものとして有益だ。


1

一歩先を見据える2冊目「サイバーセキュリティ経営ガイドライン」

 ITは、さまざまなビジネスの現場において利活用が進む一方だ。そして、企業が保有する個人情報や技術情報といった機密情報を狙う攻撃者は後を絶たない。2冊目の教本としてお勧めしたいのが、経済産業省がまとめた「サイバーセキュリティ経営ガイドライン」だ。

 これは、社長や取締役といった経営者であれば「読んでいない」と言ってはならないものだ。だが、ガイドラインに記載されたサイバーセキュリティに対する考え方や心構えといったものは、新社会人であっても確実に役に立つ知識となり得る。

 2017年11月に改定された箇所については、本連載の前号でも詳しく取り上げたので参照してほしい。ここでは、あらためて「3つの原則」を紹介しよう。

(1)

経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

(2)

自社はもちろんのこと、ビジネスパートナーや委託先を含めたサプライチェーンに対するセキュリティ対策が必要

(3)

平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

 つまり、セキュリティ対策は経営者がリーダーシップを取って、「経営課題」として進めるべしということだ。情報システム部や従業員がどんなにがんばったとしても、経営層の意識が足りなければセキュリティ対策は進まない。もしも社長に気概が感じられなければ、このガイドラインを印刷して机の上にそっと置いておくべきだ。

 では、新社会人をはじめとする従業員は、このガイドラインをどのように読むべきか。PDFはわずか32ページにすぎないが、「重要10項目」それぞれに「対策を怠った場合のシナリオ」と「対策例」がまとめられている。全項目が直接、自分の行動に直結するものではないが、セキュリティインシデントが発生させた場合、自分が所属する会社に対してどのような不利益が生じるのかが感覚的につかめるようになるだろう。

 重要10項目の1つに「指示5 サイバーセキュリティリスクに対応するための仕組みの構築」とある。これは、攻撃を検知するための体制を整えよという指示だが、新社会人であれば「何かがおかしいと思ったら、上司に必ず報告せよ」と読み替えるといいだろう。

 例えば、自分が使っているPCがいつもと違う挙動になっている、普段みかけない人間がオフィス内にいる、見たことがないデバイスがLANにつながっているなど、違和感を抱くことが重要だ。不審なものを発見したら適切なルートで報告することも、立派な「仕事」の1つだ。報告先が分からなければ、先輩社員や上司に相談すればよい。

セキュリティ情報局にご登録頂いた方限定で「必読だけど無料な「セキュリティ教本」、この3冊(2018年版)」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ教本/必読だけど無料な「セキュリティ教本」、この3冊(2018年版)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ教本」関連情報をランダムに表示しています。

セキュリティ教本」関連の特集


ITセキュリティはしっかりと基礎を学んでおかないと、社員が「鎖の一番弱い部分」になる。教本になり得る…



2017年に日本を襲ったサイバー攻撃についてトレンドマイクロが振り返りを実施。「3つのセキュリティ上…



 前回は、ガンブラーを題材に「組織」のビジネスインパクトについて記載した。今回は、「内部犯罪」におけ…


「メールセキュリティ」関連の製品

Barracuda Essentials for Email Security 【バラクーダネットワークスジャパン】 メールセキュリティソリューション Proofpoint 【日商エレクトロニクス】 入口/出口で不正通信を遮断、フィッシング詐欺対策にも有効な簡単セキュリティ 【新日鉄住金ソリューションズ】
メールセキュリティ メールセキュリティ メールセキュリティ
高度な標的型攻撃対策、メールの保管、暗号化と情報漏えい対策、ならびにアーカイブ機能を提供するクラウドベースのメールセキュリティサービス。 クラウド型サンドボックスによりメールを介した未知の標的型サイバー攻撃を検知し、悪意ある添付ファイルやURLをブロックする「Targeted Attack Protection」などを提供。 入口/出口で不正通信を遮断、フィッシング詐欺対策にも有効な簡単セキュリティ

「メールセキュリティ」関連の特集


 独立行政法人情報処理推進機構(IPA)は、2012年10月30日に「標的型攻撃メールの傾向と事例分…



2010年度、金額において34.6%増で7億円となった「メール誤送信防止ツール」市場。同製品のシェア…



 前回の第1回は、今年に入ってから報道されたメール誤送信による個人情報漏洩インシデントと、私自身が経…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30010106


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ