システム管理者の5月の連休
システムメンテナンスする者にとって正月と5月の連休はいわゆる「繁忙期」になります。銀行のATMなどでは使用を停止して大がかりなメンテナンスを行う時もあります。
ITmediaさんに連休前の対策の記事がありましたので転載します。
GW中のセキュリティ問題を回避するための基礎知識JPCERT/CCは、長期休暇期間中ではセキュリティのインシデント発生に気がつきにくく、発見が遅れる可能性があると注意を呼び掛ける。休暇後にはサーバのログなどを確認して、不審なアクセスや侵入の痕跡がないかを確認したり、休暇期間中にインシデントが発覚した場合に備えて、対応体制や関係者への連絡方法などを事前に調整したりしておくことが大事だとアドバイスする。
最近のサイバー攻撃で目立つのが、Webサイトのユーザーアカウントに対して不正にログインが試行されるインシデントだ。実際に攻撃されたWebサイトの一部のケースでは不正ログインやサービスの不正使用につながった。不正なログインの試行ではパスワードなどの組み合わせパターンを全て試す「ブルートフォース」や、ある程度推測可能な組み合わせを試す「辞書攻撃」などが実行される。また、最近の事件では別のWebサイトで使われているパスワードの利用(使い回し)によって、被害につながったケースもあるようだ。
JPCERT/CCでは使用しているWebサービスの重要性に応じて複雑なパスワードを設定したり、サービスごとに異なるパスワードを設定したりするなどの対応を呼びかける。
こうした準備と併せて、IT管理者と社員や職員が休暇前にチェックしておくべき内容は次の通りだ。
システム管理者 1.インシデント発生時の連絡網が整備、周知されていることを確認する
2.サーバのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する。Webサーバ上で動作するWebアプリケーションの更新も忘れずに行う
3.重要なデータのバックアップを行う
4.ベンダーのサポートが切れているOSやソフトウェアを使用し続けていないか確認する
5.不要なサービスを無効にしているかどうか確認する
6.各種サービスへのアクセス権限を必要最低限に設定する
7.休暇中の業務遂行のために特別にシステムなどへのアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、およびそれに合わせた監視体制が整備されているか確認する
8.休暇中に使用しない機器の電源を切る
9.社員、職員が業務で使用しているPCやスマートフォンのOSやソフトウェアのセキュリティ更新プログラムの適用漏れが無いか、社員、職員向けに再度周知する
社員や職員 1.インシデント発生時の連絡先を確認する。
2.業務で使用している PC やスマートフォンのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する
3.パスワードに容易に推測できる文字列(名前や生年月日、電話番号、アカウントと同一のものなど)や安易な文字列(12345、abcde、qwert、passwordなど)を設定していないか確認し、他のサービスで使用していない文字列を設定する
4.業務遂行のためにデータを持ち出す際には、自組織のポリシーに従い、その取り扱いや情報漏えいに細心の注意を払う
5.業務で使用しているPCやスマートフォンなどを休暇期間中に自宅で使用する場合は、業務で認められた用途以外に使用しない
次に、
休暇明けには以下の対応を行うべきとしている。
システム管理者 1.導入している機器やソフトウェアについて、休暇中にセキュリティ更新プログラムが公開されていないか確認し、セキュリティ更新プログラムが公開されていた場合は、セキュリティ更新プログラムを適用し、社員、職員向けに周知する
2.社員、職員に対して、休暇中に持ち出していたPCなどを組織内のネットワークに接続する前に、ウイルスチェックするように周知する(確認用のネットワークを別途用意するなど)
3.休暇期間中にサーバへの不審なアクセスが無いか確認する(サーバへのログイン認証エラーの多発や利用者がいない深夜時間帯などのログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など)
4.Webサーバで公開しているコンテンツが改ざんされていないか確認する(コンテンツが別のものに書き変わっていないか、マルウェア設置サイトに誘導する不審なscriptが埋め込まれていないかなど)
社員や職員 1.休暇中にセキュリティ更新プログラムが公開されていた場合はシステム管理者の指示に従いセキュリティ更新プログラムを適用する
2.社内ネットワーク経由でマルウェア感染が拡大する場合を考慮し、出社後すぐにウイルス対策ソフトの定義ファイルを最新の状態に更新する
3.休暇中に持ち出していたPCやUSBメモリなどは、事前にウイルスチェックを行った上で使用する
4.長期休暇中に溜った多数の未読メールが一度に受信されるため、多数のメールを処理する際には、誤って不審なメールの添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないよう注意する
なお、JPCERT/CCではセキュリティインデントの対応に必要な関係機関との調整活動を行っている。こうした対応に関する情報をWebサイトやメール(info@jpcert.or.jp)で受け付けているので、ぜひ活用してほしいとしている。