Infoseek 楽天

IPAの「年末年始の注意喚起」を深堀り 意外と怠ってしまう重要ポイントとは?

ITmedia エンタープライズ 2024年12月24日 7時15分

 2024年も年の瀬を迎えました。セキュリティにおいて、年の瀬といえば……と思いながらネタを探していたのですが、どうもしっくりくるものが浮かびません。

 例えば、情報処理推進機構(以下、IPA)は、年末年始に限らず夏季休暇やゴールデンウィークに、定期的に注意喚起をしています。つい先日もその案内が公開されました。こちらは皆さんもチェックしているでしょうか。今回はこのIPAの注意喚起を掘り下げていこうと思います。

●IPA恒例、年末年始の注意喚起 スルーされがちだけど実は大事なポイント

 IPAの注意喚起は、年末年始においては「システム管理者が長期間不在になるなど、いつもとは違う状況になりがちです」と述べており、これこそが私たちが気を付けるべきポイントです。

 特に2020年以降はテレワークが当たり前となり、PCを持ち出すことや従業員個人のPCを仕事に使うなどのシーンが増えてきています。忘年会にPCを持ち出すなとしている企業がほとんどですが、従業員目線では「自分だけは大丈夫だ」と思い込んでいるものです。いま一度、しっかりと原則を守ることを(表向きだけでも)考えていただければと思います。

 ただ少し気になるのは、IPAは毎年年末年始にこのような注意喚起を公開していますが、前年との違いはあるのでしょうか。そう思って確認してみたところ、実はほとんど内容は変わっていませんでした。これはIPAに対して何か言いたいというわけではなく、ここ数年のサイバー攻撃手法やセキュリティ対策に(もちろん細かい点はありますが)変化がないと捉えられるでしょう。筆者としてこれは、いい兆候だと思っています。

 もう少し掘り下げて考えてみると、注意喚起で述べられることの多い対策手法に変化がないとなると、それは「対策は進んでいないため、昔ながらの攻撃が今も有効」という捉え方もできるでしょう。同じくIPAの「情報セキュリティ10大脅威」では、その順位もさることながら、登場している脅威が「N年連続X回目」と毎年同じ顔ぶれであることが気になっています。これも、対策が進んだとしたら脅威レベルも変わるはずなのですが、やはり、それは簡単なことではないようです。

 もちろん同じ脅威でも手法に変化があれば、対策もアップデートが必要でしょう。例えばランサムウェア「WannaCry」やマルウェア「Emotet」、OpenSSLで見つかった脆弱(ぜいじゃく)性「Heartbleed」などは短い期間で大きな被害を上げました。

 このような時代においては、個別の名前が付いた攻撃に対する個別のソリューションが登場し、対策が進められることが多いです。しかし、本来であればこれらも、普段の「脆弱性対策」や「マルウェア対策」として、平時にも考えるべき基本的なセキュリティ対策でカバーできるはずです。

 その意味では、もはやセキュリティ対策に季節性はなく、年末年始も連休も基本的なこととして、淡々と対策を実施するというのが、本当は正しいと思っています。恐らくIPAもそう考えているのでしょう。しっかりと「日常における情報セキュリティ対策」も紹介しており、これこそが今回の注意喚起で注目すべき点ではないかと思っています。

●セキュリティ対策は見逃されやすい「基礎」こそ重要

 だいぶ前の話ですが、セキュリティに関するセミナー企画を考えるという宿題に対し「今こそ基礎を固めよう!」という内容を考えたことがあるのですが、「基礎」という言葉では集客が難しいという反応が多かったことが印象に残っています。

 セキュリティ対策を推し進めたいという立場では、地味な対策である「パスワード管理」や「権限管理」、それこそもうほとんど大きく取り上げられることのない「バックアップ」や「迷惑メール対策」こそ、大きな効果を発揮するはずです。しかし、やはりどうしてもこれまであまり耳にしたことはないが「効きそう」な印象のある、各種セキュリティバズワードの方が注目を集められます。

 基礎であればあるほど、「それを今聞いていては恥ずかしいのでは」と思われるかもしれません。しかし攻撃手法にあっと驚く変化がない今こそ、基礎を固め、それによって攻撃を押し返すことが重要であるはずです。

 IPAの「日常における情報セキュリティ対策」では、管理者向けには7項目、個人向けには9項目のセキュリティ対策を挙げています。世の中にはたくさんのセキュリティ対策があふれており、何をすればいいか分からなくなることもあるかもしれませんが、これらの項目をしっかり実施するだけでも多くのインシデントを防げるはずです。

 実際、これらの項目は、全て一度は聞いたことのあるものばかりのはずです。しかし“それができていない”からこそ、10大脅威も年末年始の注意喚起も変わり映えがしないのでしょう。

 年末年始はいろいろなことを見直す良いチャンスだと思います。まずはさまざまなところから来ている年末年始の注意喚起を読みつつ、あらためて基礎的な部分に目を向けてみてください。そして2025年、また新たな目標とともに、セキュリティに関してもほんの少しだけ注意してみていただければ、サイバー世界もきっと明るくなるはずです。それでは、良いお年をお迎えください。

筆者紹介:宮田健(フリーライター)

@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。

この記事の関連ニュース