情報セキュリティ10大脅威 2024 〜セキュリティ研究室〜



 ナビゲータのEVEです。
セキュリティルーム.jpg
 「 無尽蔵 」から株式情報をダウンロードさせていただいているのですが、検索後表示される企業のレコードが複数表示されます。気づいたのは、今年の4月以降だったので、本件の対応も中小企業診断士一次試験終了後としていたのですが、本日対応しました。
 今回の障害、東証一部、二部が 東証プライム スタンダード グロース なんて名称に変わったタイミングで発生したのかと想像していたのですが、違いました。東証一部、二部が東証プライム、スタンダードと変わったのはよく考えたら2022年4月4日とかなり昔のことですが、今回の障害に気づいたのつい最近ですもんね・・・。
 あてがはずれてからいろいろ調べはじめてから、3〜4時間かけて、やっと判明・・・。「無尽蔵」からの情報が増えたようです。以前は、 東証 の株式情報しかなかったのですが、それに加えて、 名証 札証 福証 といった市場からの情報が増えたため、 トヨタ とか 大成建設 とかいった、複数の市場に上場している企業が複数表示され、東証のみを想定していた検索条件ではうまく表示できていなかったということだったらしいです。
 障害原因を特定してから、すべて情報が画面上に表示できるようにシステムを改修しました・・・。やり終えてみて、途中でやめるべきでしたね・・・。株式情報関連テーブルのデータ構造を思い出すのに時間がかかりすぎました。他にやることが沢山あるのに・・・。なんか、いつもいっているような・・・始めたらなかなかやめられないのですよね?
 では、前振りが長くなってしまいましたが、今日は予定通り、 セキュリティ についてお話ししましょう!

[情報セキュリティ10大脅威 2024]
 当サイトでは、毎年、 情報セキュリティ10大脅威 について報告させていただいています。
 脅威とはいろいろあってそのすべてに対応しなければいけないのは確かなのですが、正直ってかなり難しいという印象を持っています。ただ、現在流行の攻撃を知り、対応しておけば、確率からみるとリスクを大きく軽減することができると私は考えています。そのために調べ、対応し、気を付けるということは非常に重要です。
 では、早速、例年通り、IPAより脅威についてランキング形式で個人、組織と分けて報告していただいているので、見ていきましょう!

【個人】
1位 インターネット上のサービスからの個人情報の窃取(前年8位)
2位 インターネット上のサービスへの不正ログイン(前年9位)
3位 クレジットカード情報の不正利用(前年4位)
4位 スマホ決済の不正利用(前年5位)
5位 偽警告によるインターネット詐欺(前年7位)
6位 ネット上の誹謗・中傷・デマ(前年2位)
7位 フィッシングによる個人情報等の詐取(前年1位)
8位 不正アプリによるスマートフォン利用者への被害(前年6位)
9位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年3位)
10位 ワンクリック請求等の不当請求による金銭被害(前年10位)

【組織】
1位 ランサムウェアによる被害(前年1位)
2位 サプライチェーンの弱点を悪用した攻撃(前年2位)
3位 内部不正による情報漏えい等の被害(前年4位)
4位 標的型攻撃による機密情報の窃取(前年3位)
5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年6位)
6位 不注意による情報漏えい等の被害(前年9位)
7位 脆弱性対策情報の公開に伴う悪用増加(前年8位)
8位 ビジネスメール詐欺による金銭被害(前年7位)
9位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年5位)
10位 犯罪のビジネス化(アンダーグラウンドサービス)(前年10位)

 カッコ内は前年の順位なのですが、新たな攻撃はトップテンにははいってきていないようです。とりあえず、例年通りの脅威に気をつけ、対策をしておけば、脅威の確率を大きく下げることができそうです。ただ、気をつけなければならないのは、 一度設定すれば問題ないとするのではなく、年単位で良いと思うのですが、有効に働いていることを確認した方がいいです 。他のシステムを追加したせいで、以前の設定が無効になったなんて言うことは普通にあります。気をつけて下さい。

[情報処理安全確保支援士〜オンライン研修〜]
 毎年、 情報処理安全確保支援士 オンライン講習 を受講しているのですが、 ランサムウェア について多くの部分をさいています。組織の脅威として、2021年から4年連続1位となっているから当然でしょう!特にバックアップについては、1章まるまるとって、解説をしている力のいれよう。ランサムウェア対策とは大きく書いていないのですが、そうだろうなということは想像できます。

[ランサムウェア]
RaaS って知っていますか?近頃、IaaS、PaaS、SaaSだけでなく、DaaS、CaaSなどクラウド関連で、●aaSという言葉が増えてきたので、その一種かなって思っていたら、違いました。RaaSとは、ランサムウェア提供サービスです。パッと聞いたところ、善良なサービスかと思いきや、犯罪の手段を提供するサービスだそうです。どんなサービスなのか、 ChatGPT に聞いてみました。

 RaaS(Ransomware as a Service)とは、ランサムウェア(コンピュータシステムを攻撃し、データを暗号化してアクセスできなくするソフトウェア)を他のサイバー犯罪者に提供するビジネスモデルのことです。RaaSでは、技術的なスキルを持たない者でも、簡単にランサムウェア攻撃を実行できるように、ランサムウェアの開発者がそのソフトウェアをサブスクリプションや一回限りの料金で提供します。
 RaaSを使用する犯罪者は、攻撃の成功に基づいて、開発者に一部の利益(通常は暗号通貨で)を渡します。これは、従来のサイバー犯罪よりも広範に普及しやすく、インターネット上でのランサムウェア攻撃の急増の一因となっています。


だれでも手軽に、ランサムウェアの犯罪を実行できるそうです(笑)。4年連続1位というのは納得です。

[あとがき]
 いかがだったでしょうか?ランサムウェアの脅威を身近に感じていただけましたでしょうか?気を付けてもなかなか防ぐのは難しいのですが、 最低限のセキュリティを施したうえで、バックアップを適切な形で取得し、問題があった場合、バックアップからすぐに業務を再開できるような体制を作っておくことが重要 なようです。
BCP DRP などを考えた業務を普段から心がける必要があるようです。なお、DaaS、CaaSなど、●aaSという言葉について、中小企業診断士の試験で出題されています。他にどんな言葉があるのか Copilot に調べてもらいましたので、試験の参考としてください。もしかして、 IPA の試験でも出題されていますか?スキルを維持する意味でも、時間ができたら、IPAの試験を受験してみたいと思います。

 では、また!


 ●aaSとつくサービス

?SaaS(Software as a Service)
 ソフトウェアをインターネット経由で提供するサービス。

 アプリケーション開発に必要なプラットフォームを提供するサービス。
?IaaS(Infrastructure as a Service)
 仮想サーバやストレージなどのインフラを提供するサービス。
?DaaS(Desktop as a Service)
 仮想デスクトップ環境を提供するサービス。
?BaaS(Backend as a Service)
 モバイルアプリのバックエンド機能を提供するサービス。
?FaaS(Function as a Service)
 サーバレスアーキテクチャで関数を実行するサービス。
?MaaS(Mobility as a Service)
 交通手段を一つのサービスとして統合する概念。
?NaaS(Network as a Service)
 ネットワークインフラをサービスとして提供するもの。
?HaaS(Hardware as a Service)
 ハードウェアをサービスとして提供するもの。
?XaaS(X as a Service)
 あらゆるものをサービスとして提供する総称。
?CaaS(Container as a Service)
 コンテナ技術を利用して仮想化されたシステム基盤をサービスとして提供するものです。
?DBaaS(Database as a Service)
 データベース管理システムをクラウド上で提供するサービス。
?STaaS(Storage as a Service)
 データストレージをクラウド上で提供するサービス。
?AaaS(Analytics as a Service)
 データ分析ツールやプラットフォームをクラウド上で提供するサービス。
?DRaaS(Disaster Recovery as a Service)
 災害復旧サービスをクラウド上で提供するもの。
?SECaaS(Security as a Service)
 セキュリティ機能をクラウド上で提供するサービス。
?VaaS(Video as a Service)
 ビデオ会議やストリーミングサービスをクラウド上で提供するもの。





■情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/10threats2024.html

■無尽蔵
https://mujinzou.com/

■情報セキュリティ10大脅威 2023 〜セキュリティ研究室〜
https://fanblogs.jp/bahamuteve/archive/402/0

■情報処理安全確保支援士 オンライン講習 7日目 [セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/41/0

タグ: 無尽蔵 東証プライム スタンダード グロース セキュリティ 情報セキュリティ10大脅威 情報処理安全確保支援士 ランサムウェア オンライン講習 RaaS ChatGPT BCP DRP 東証 名証 札証 福証 トヨタ 大成建設
【このカテゴリーの最新記事】
posted by ゼロから始めるシステム開発 at 16:57 | Comment(0) | TrackBack(0) | システム開発研究室
検索
<< 2024年11月 >>
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
最新記事
(11/22) エンティティ参照への対応 〜プログラム研究室〜
(11/21) htmlspecialchars 〜プログラム研究室〜
(11/20) アロー関数 〜プログラム研究室〜
(11/19) 無名関数 〜プログラム研究室〜
(11/17) サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) 〜セキュリティ研究室
タグクラウド
カテゴリーアーカイブ
YouTubeでの稼ぎ方研究室 (23)
システム開発研究室 (114)
セキュリティ研究室 (40)
システム監査研究室 (13)
ハードウェア研究室 (17)
ネットワーク研究室 (6)
ソフトウェア研究室 (76)
プログラミング研究室 (97)
デザイン研究室 (1)
データベース研究室 (3)
先端技術研究室 (3)
株式投資研究室 (35)
人工知能研究室 (6)
Coffee Time (67)
ゼロからはじめるシステム開発 (1)
ファン
このブログの読者になる
更新情報をチェックする
ブックマークする
友達に教える
最新コメント
Ubuntuをインストールする −インストール準備− 〜ソフトウェア研究室〜 by 中村 健 (03/11)
プロフィール
ゼロから始めるシステム開発さんの画像
ゼロから始めるシステム開発
 こんにちは!ナビゲータのEVEです。各種研究室を用意し、次期EVEシステムを製造しようと日々頑張っています。現在一番力を入れているのが、資金調達です。このブログもその一環ですので、ご協力いただければ嬉しいです。

2024年08月18日

この記事へのコメント
コメントを書く

お名前:

メールアドレス:


ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバックURL
https://fanblogs.jp/tb/12668967
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
Mobilize your Site
スマートフォン版を閲覧 | PC版を閲覧
    Share by: