情報漏洩対策 ハンドブック - サイバーセキュリ …6 2...
TRANSCRIPT
経営者・IT担当者向け
個人情報漏洩が気になったら…まずこれを読むべし!
情報漏洩対策ハンドブック
Copyright(C) Seeds Create.inc, All Rights Reserved.
目次
1. はじめに
2. 近年の個人情報漏洩の状況・・・・・・・・・・・・・・・・・・・・P6
3. 内部要因による情報漏洩・・・・・・・・・・・・・・・・・・・・・・・P7
3−1 被害実例・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・P7
1)富士通フロンテック(2014年2月)
2)ベネッセコーポレーション(2014年7月)
3)ワイモバイル(2014年8月)
4)UCカード(2014年10月)
5)その他(2014年)
3−2 内部犯行による被害の統計情報・・・・・・・・・・・・・・P7
1)情報漏洩の原因
2)内部犯行による漏洩リスクに対する重視度合い
3-3 内部犯行による情報漏洩が増え続ける原因・・・・P13
3-4 内部犯行を減らすための対策・・・・・・・・・・・・・・・・P14
2
目次
4. 外部要因による情報漏洩・・・・・・・・・・・・・・・・・・・・・・・・P15
4−1 近年の個人情報漏洩の状況
1) 標的型攻撃が増加
2) 改ざん被害の増加
3) 狙われるオンラインバンキング
4−2 近年のサイバー攻撃による企業の被害実例・・・・・・P17
1) ヤフー株式会社(2013年4月5月)
2) 米国の銀行各行(2012年9~2013年1月)
3) エクスコムグローバル(2013年4月)
4) 米国YouTube(2010年7月)
5) 世界人権問題研究センター(2013年2~5月)
6) その他 (2013~2014年)
4−3 サイバー攻撃の統計情報・・・・・・・・・・・・・・・・・・・・P21
1) サイバー攻撃の頻度
2) サイバー攻撃による被害額
3) 業種別にサイバー攻撃による被害
3
4
目次
4-4 サイバー攻撃の主な目的・・・・・・・・・・・・・・・・・・・・P23
4-5 急増するWEBサイト改ざんへの対策・・・・・・・・・・・・P25
1) 知らぬ間にパソコンがウイルス感染
2) 「負け戦」前提で戦う日本企業のセキュリティ対策
3) 今すぐできるWEBサイト改ざん対策
4-6 サイバー攻撃の種類を把握しよう・・・・・・・・・・・・・P28
1) 不正アクセスの種類
2) マルウェアの種類
3) 標的型攻撃
4) ゼロディ攻撃
5) パスワードリスト攻撃
4-7 サイバー攻撃に対する国の対応と今後・・・・・・・・P32
4-8 外部要因のセキュリティ対策・・・・・・・・・・・・・・・・P34
5. おわりに
5
1 はじめに当冊子は、近年増え続けている情報漏洩の問題と、それにより起こる企業への影響について、より多くの方に知って頂きたいという想いから作成しました。
日本は、先進各国に比べ情報セキュリティ意識が極めて低く、正しいセキュリティ対策を施している企業は全体の数パーセントしかありません。
しかし、インターネットを使用しビジネスを展開する企業にとって、最も重要な分野が「情報セキュリティ」なのです。情報セキュリティに関する知識が乏しく、正しい対策を施さないがために、昨今多くの企業で情報漏洩による問題が発生してしまっています。
さらに、2015年10月からは「マイナンバー制度」もスタートし、企業が保有する個人情報はさらに増加しています。
日本企業で多く見受けられる「うちは大丈夫だろう...」という根拠のない自信は、企業の存続を脅かすほど重大な問題なのです。
企業の情報が漏洩してしまうと
商品・サービスに関する情報及び研究成果など、企業にとって重要な情報が漏れ、競合他社に真似をされ先を越されてしまう。
顧客の個人情報が漏れることで社会的信用を失う。
従業員の情報が洩れることで、生活の安全を守れない可能性がある。
情報漏洩により損害賠償請求が行われた場合、中小企業では経営負担が大きすぎる為、最悪倒産に至る可能性も。
このように情報漏洩により起こり得る影響は、それぞれが会社の存続を脅かすほどの内容を孕んでいるのです。
私共が運営する「サイバーセキュリティ.com」は、この様な現状を鑑み、より良いセキュリティサービスを多くの企業に広めることで安全なインターネット環境を提供し、企業の“情報の安全”の確保に貢献したいという想いで生まれました。
サイバーセキュリティ.com運営事務局株式会社シーズ・クリエイト
6
2 近年の個人情報漏洩の状況企業における個人情報漏洩は後を絶ちません。
原因として、サイバー攻撃等を始めとする[外部要因」に目を向けがちですが、誤操作や紛失等のヒューマンエラーを含む「内部要因」が8割を占めているのです。
多くの企業で、物理的なセキュリティ強化やネットワーク不正侵入防止などの外部攻撃対策を行っているにもかかわらず、情報漏洩事件が多発する要因はここにあります。
USBメモリやPC等の紛失・置き忘れや、意図的な情報の持ち出し等、「過失」と「故意」の違いはありますが、結果的に情報漏洩を起こす可能性があるという事実は変わりません。
そして、情報が漏洩した場合の社会的信用・損失の規模などの影響も変わらないのです。
34.9
32.3
14.3
7.4
5.54.7 0.9
その他
不正アクセスバグ・ウィルス
誤操作
管理ミス
紛失・置き忘れ
盗難
内部要因
外部要因
7
3 内部要因による個人情報漏洩
3-1 被害実例
被害詳細
• キャッシュカード:80口座• クレジットカード:52口座• 複数の金融機関の口座から約2400万円を引き出し
1) 富士通フロンテック(2014年2月)
横浜銀行のATM(現金自動預け払い機)の保守管理業務を受託していた富士通フロンテックの元従業員が、ATM利用者のカード情報が不正に取得。偽造カードが作成し、利用者の口座から現金を不正に引き出していた。
横浜銀行は、ATM関連の開発・運用をNTTデータに委託していたが、NTTデータでは製造した富士通に保守管理業務を再委託していた。
元従業員は富士通フロンテックで、保守管理業務のプロジェクト責任者を任されており、権限が集中していたことで不正のチェックが行えなかったとしている。
2) ベネッセコーポレーション(2014年7月)
通信教育事業を展開するベネッセホールディングスの子会社ベネッセ・コーポレーション(以下ベネッセ)において、登録会員約2900万件の個人情報が漏洩。
情報漏洩は、会員情報管理をベネッセから委託されていたシンフォームの再委託先従業員により行われ、盗まれた情報は金銭を目的に業者へ売買されていた。
被害詳細
• 保護者氏名• 子供氏名• 子供性別• 子供生年月日• 住所• 電話番号• 出産予定日(一部サービス利用者のみ)• メールアドレス(一部サービス利用者のみ)
8
事故後対応は200億円を原資として行い、260億円が特別損失として計上された。
しかし、情報漏洩後の対策での不備が影響してか、事件発生から2年後の2016年3月期連結決算では最終損益82億円の赤字を計上。社会的信頼の回復及び経営再生は未だ出来ていない。
漏洩後の対応
• 顧客データベースの稼働停止• 問い合わせ窓口の設置(100回戦程度の専用電話)• 新たな顧客への販売促進活動の停止(各種イベント含む)• 情報漏洩が確定した会員への連絡• 事故調査委員会設置(外部有識者による第三者委員会)• 補償対応
(1)図書券や電子マネーの送付(2)受講料減額
3) ワイモバイル(2014年8月)※旧イー・モバイル
旧イー・モバイルが提供していたコミュニティサイト「つながるマップ」の運営を委託されていた企業の従業員により業務用PC1台が紛失。同サイト利用者の個人情報がPC内に保管されており、情報漏洩となった。
被害詳細
• 住所• 氏名• 生年月日• メールアドレス(2013年3月3日までに同サイトへ登録した1321名分)
4) UCカード(2014年10月)
ユーシーカードの従業員が、1500人分のカード会員番号などを保存した記憶メディアを社外へ持ち出し、紛失。
被害詳細
• カード番号(1218人分)• 氏名、カード番号(282人分)
9
報道公開日
企業名 漏洩理由 内容
2014/1/8NPO法人小さな天文学者の会
システム不備
業務で利用していた「Google グループ」
のメーリングリストが関係者以外も閲覧可能な状態となり、講座応募者及び受講生の個人情報が流出。
2014/1/24 ニフティ 不正ログイン
「@nifty」の会員情報ページに対し、会
員になりすました不正ログインが発生。「お客様情報一覧」ページに記載されている会員情報が閲覧された。
2014/1/27 スタイライフ 不正ログイン同社が運営する通販サイトに対して不正ログインが発生。クレジットカード情報が流出。
2014/1/28 ECC 紛失講師が教室外で生徒の個人情報記載の書類を使って事務作業を行ない紛失。
2014/2/6 富士通フロンテック 不正取得
ATM 保守管理を行う委託先従業員によ
り、利用者のキャッシュカード・クレジッカードの情報が不正取得され、利用者の口座から不正に現金が引き出された。
2014/2/12 双日インフィニティ 紛失就職説明会に出席した学生のエントリーシート・受付票を担当者が帰宅時に紛失。
2014/2/13パナソニックエコソリューションズ創研
メール誤送信顧客向けメールを一斉送信した際、宛先にメールアドレスを記載して送信し情報漏洩。
2014/2/17 監査法人トーマツ 紛失セントラル警備保障の監査執務室において会計データを抽出するために使用していたUSB メモリを同室内で紛失。
2014/3/28 東急不動産グループ会社 紛失従業員が住居者に関する個人情報が記載された名簿を誤って焼却処分。
2014/4/28 インフィル 紛失 委託先従業員が顧客情報を紛失。
2014/4/18 大阪ガス 紛失顧客情報を管理業務委託先の事務所にて紛失。
2014/4/25 京都市 持ち出し
職員が人事関連データを規定上禁止されていることを知りながら、自宅PC に
メールで送信。外部記憶装置に保存したが、その後それらの情報がインターネット経由でアクセスできる状態となっていたことが判明。
5) その他(2014年)
10
報道公開日
企業名 漏洩理由 内容
2014/6/12 山陰合同銀行 不正取得顧客情報記載の書類を、不要書類とともに廃棄し紛失。
2014/5/29 LIXIL 紛失顧客が送付した個人情報記載の注文はがきを、子会社が同ビル内で紛失。
2014/7/9 ベネッセホールディングス 内部者関与データベースアクセス権を持つ委託先従業員名簿業者に顧客情報を売る。
2014/8/18 ワイモバイル 紛失
コミュニティサイト「つながるマップ」の運営委託先にて、従業員が業務で利用していた同コミュニティサイトの登録者情報の入ったパソコンを紛失。
2014/11/10名古屋大学医学部付属病院
紛失患者の個人情報が保存されたUSBメモリが保管場所に無いことに気づき発覚。
2014/11/24 ミサワホーム東京 紛失弁護士の要請で提供した顧客情報が保存されたUSB メモリを、提供先が紛失。
2014/12/11 はせがわ メール誤送信資料請求した顧客にメールを送信した際に、誤って全員のメールが表示された状態で送っていたことが発覚。
2014/12/18 宮崎大学 紛失教員採用の応募者情報が保存されたUSBメモリを、同大教員が校内で紛失。
11
3-2 内部犯行による被害の統計情報
1) 情報漏洩の原因
参照元:TechTargetJapan(2015年4月1日)
http://techtarget.itmedia.co.jp/tt/news/1504/01/news02.html
【企業における情報漏洩の主な原因】
• メール誤送信• ノートPCの盗難、紛失• 外部メディアの盗難、紛失
この様に、従業員による“うっかりミス”が大きな割合を占めています。また、従業員による社内情報の公開や持ち出しといった事由も多く、情報セキュリティを脅かす“敵”は社内に潜んでいるということが分かります。
12
2) 内部犯行による漏洩リスクに対する重視度合い
出典:JIPDEC/ITR「企業IT利活用動向調査2015」
参照:ZD Net Japan(2015年3月25日)https://japan.zdnet.com/article/35062215/
企業としてどの程度「内部犯行による重要情報の漏洩・逸失のリスクに対する認識をもっているか」調査したところ、半数以上が優先度の高い課題であると回答。
従業員へのセキュリティに関しての啓蒙のほか、技術的に内部からの漏洩を防御する対策は急務であることが結果から見て分かる。
13
3-3 内部犯行による情報漏洩が増え続ける原因
情報漏洩は、内部の人間が引き起こす割合が約8割、外部からの悪意ある攻撃による割合は2割程度です。
内部要因の内訳としては、管理ミス、誤操作、紛失などのヒューマンエラーが大半を占めており、「人災」とも言っても過言ではありません。
企業にとっては、内部の人間の「認識不足」や「不注意」をいかに無くすかが課題と言えます。
1) 管理ミス(情報保管媒体の紛失・盗難など)
情報に対して管理ルールを設けているにも拘らず、守ることが出来なかった結果情報漏洩を起こしてしまったケースが多くあります。データを外部媒体で持ち出し、紛失・置き忘れしてしまうケースも多発しています。発生件数としては、紙媒体、USBメモリなどの記録媒体、PC本体の順で割合が多くなっています。
2) 誤操作(メール誤送信など)
メールやFAX等の通信手段で、宛先や内容、添付ファイルを間違える「操作ミス」により情報漏洩が発生するケースも多いです。またWebサイトの設定ミスで「一斉送信」などが行われてしまい、情報漏洩してしまうケースもあります。
3) 故意・悪意(意図的な情報持ち出しなど)
上記1)2)のように意図しないケアレスミスだけではなく、故意に情報を持ち出そうとする内部犯行も発生しています。主に金銭を目的とした経済的な動機によるものが多いですが、その他には組織への不満や恨みといった感情的な動機により引き起こされるものもあります。
ではここで、内部犯行による情報漏洩の主な原因を確認しておきましょう。
14
3-4 内部犯行を減らすための対策
内部犯行による情報漏洩を減らすために有効な対策例です。
1) 社員教育と意識の向上
経営者、役員、役職者、一般社員、アルバイト(パート)まで、業務を担う人の「情報に対する意識」を変えることが1番の対策と言えます。故意ではない情報漏洩が起きてしまう場合の共通点は、日常の些細な行動です。経営陣をはじめ、社員全体で意識を高めることが最も効果の高い対策です。情報漏洩は他人事ではなく、自分が(自社が)起こしてしまう可能性があるということを、認識しなければならないのです。
社員の意識を高めるためのポイントとして、以下の項目を共有しましょう。
• 情報漏洩の大半は、悪意の有無にかかわらず人間が引き起こす。• データ送信時は特にミスが発生しやすい。• 情報を取り扱うことの責任の重さを知る。• 日常会話の中にも情報漏洩のリスクがある。
2) 社内規定(セキュリティポリシー)を作る
社内教育を行うだけでなく、社内全体での共通ルール「社内規定(セキュリティポシー)」を作成するのも効果的です。情報漏洩対策の基盤となる規定を作成すると良いでしょう。
また、情報漏洩リスクを洗い出すことで、行うべき対策も明確となり、必要以上のコストも発生しなくなります。
3) データ取り扱いの管理
個人情報や社内の機密情報については、権利を持つ従業員のみがアクセスできるよう管理しましょう。
ただし、権限を集中させることで取り扱い状況が不透明となる場合もありますので、「ログ監視」によって、いつどのような扱いをしたかなどを記録するようにしておく必要があります。これにより、管理者の意識もさらに高まり、情報漏洩を防ぐことにつながります。
15
4外部要因による個人情報漏洩
4-1 近年の個人情報漏洩の状況
1) 標的型攻撃の増加
2012年頃から企業の業種や規模に問わず、対象を絞った“カスタマイズされた攻撃”が目立つようになってきました。
かつてのサイバー犯罪では、2000年5月と2001年7月に猛威をふるった「LOVE LETTER」や「CODE RED」などの様に、1種類の強力なウィルスが世界各地に拡散されるパターンが一般的でした。これらのウィルスはいずれも、自己増殖を繰り返しながらシステムを破壊していく「ワーム」プログラムと呼ばれるもので、攻撃を受けてしまうと被害が避けられません。しかし、発見することは難しいものではなく、対策を立てやすいと言えます。
これに対し近年のウイルスは、種類が多様化し、膨大な数にのぼるため、発見が難しく対策も立てにくいのです。ウィルスを攻撃対象や標的の地域用に作り込み、事前にウィルス対策ソフトで検出されないことを確認するなど、巧妙な手法も主流となってきています。
2) 改ざん被害の増加
2013年以降は特に「改ざん被害」が多く報告されてます。
改ざんのパターンは主に「自己顕示型」と「誘導型」に分類され、前者は相手にメッセージをはっきりと分からせることを目的としているものです。尖閣問題をめぐり反日感情が高まったあと「尖閣は中国の領土」などと書かれた画面が出現した改ざん被害がこのパターンに当てはまります。
そして、近頃増加傾向にあるのは後者です。あるサイトにアクセスすると、悪意を持ったハッカーが用意した別のサイトへ誘導されてしまいます。「自己顕示型」とは違い、一見すると画面に異常はみられないのでユーザもサイト管理会社も気付きにくいということが特徴です。
正規のサイトが改ざんされ、リダイレクトするよう書き換えられるこのパターンは「GUMBLAR(ガンブラー)」とも呼ばれています。これは、2009年に多発した正規サイトへの改ざん攻撃と、改ざんサイト閲覧者による不正プログラム感染被害に因む名称で、脆弱なサイトを狙った無差別攻撃は当時「ガンブラー攻撃」と恐れられました。
今後、サイバー犯罪の傾向はさらに“ピンポイント化”していくと想定されます。
16
3) 狙われるオンラインバンキング
この数字だけをみても、もはや対策に一刻の猶予もない非常事態と言えるでしょう。
これらの事例では、被害者のパソコンがウイルス感染していたケースが大半を占め、正規のサイトにアクセスしたとしても、改ざんされた認証画面が表示されるため、利用者は偽装に気付かず、IDやパスワードを入力してしまいます。
不正送金先の口座は、7割以上が中国人とみられる名義と言われています。事件の背後には、大規模な犯罪組織が暗躍している可能性が高いと考えられています。
金融機関のセキュリティ意識及び対策の低さが、犯罪を増長させている一因と言わざるを得ませんが、利用者側もウイルス対策ソフトを導入するなどの自己責任が必要です。
激増するオンラインバンキング犯罪についてサイバー犯罪の専門家は下記の様に指摘しています。
偽サイトの画面は非常に精巧に作られています。書かれている日本語が少しおかしいケースもありますが、見た目だけでは偽サイトと分からない事例も多く確認しています。
インターネットバンキングの「不正送金事件」も急増しています。
警視庁の発表では、2013年1~7月の被害件数は398件、被害額は約3億6千万円に達するとのことです。
過去最悪は、2011年の165件/約3億800万円ですが、2013年は既に7月の時点でワースト記録を更新しています。
守るべき情報は何かということをしっかり把握し、対策を立てる必要があります。個人レベルでのセキュリティ意識の向上が被害を増やさない第一歩です。
17
4-2 近年のサイバー攻撃による企業の被害実例
2) 米国の銀行(2012年9月~2013年1月)
1) ヤフー株式会社(2013年4~5月)
2013年4月以前に、何者かがヤフー株式会社のサーバに不正侵入し、不審なプログラムファイルを設置。
この不信なプログラムファイルは顧客情報をファイルに抽出する仕様となっており、設置した何者かが外部からファイルを入手できる状態となっていた。
5月にも同様の手口で不正侵入が発生。
米国の複数の銀行が、2012年9月頃から数カ月にわたり、分散型サービス拒否(DDoS)攻撃を受けた。
【攻撃を受けた主な銀行】• HSBC• Citigroup• Bank of America
これにより数分間サイト機能が停止し、利用者がオンラインアカウントにアクセスできない状態に。
米政府関係者らは、イランが西洋諸国による経済制裁だけでなく、イランの核施設がここ数年間受けてきた米国が支援していると疑われるサイバー攻撃への報復として攻撃を仕掛けていると述べた。
同社社員へのPW変更を周知していたものの、それが完了する前での再発となった。
その後の調査の結果、トラフィック量が膨大になっていることから、情報流出の可能性が発覚。最大2200万件のID情報と、148.6万人分のパスワードが流出した可能背があるとの発表が行われた。
パスワードはハッシュ化が施されているため、Yahoo!IDでの不正ログインの可能性は低いと発表がなされたが、2億個ものIDを保有する巨大ポータルサイト運営会社での不正ログイン対策にしては不備が多数見受けられ、疑問が残る事件となった。
18
4) 米国YouTube(2010年7月)
3) エクスコムグローバル(2013年4月)
動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れ、コメントが表示されなくなるなどの影響が出た。
この攻撃では、YouTubeのコメントシステムに存在するクロスサイトスクリプティングの脆弱性が悪用された。
デマ情報が表示された他、不正なポップアップの表示や、悪趣味なWEBサイトにリダイレクトされるなどのケースが相次いだ。
海外向けWi-Fiレンタルサービスを行うエクスコムグローバル社サーバに対し、SQLインジェクション攻撃が行われ、約11万件のクレジットカード情報が流出。
被害詳細
• クレジットカード名義人名• カード番号• カード有効期限• セキュリティコード• 住所(2011年3月7日~2013年4月23日に申込した10万9112件)
同社では、流出発覚から約1ヶ月後の5月27日に顧客に対し情報漏洩を発表しているが、発表までの期間、銀行振り込みや空港窓口での対面決済は継続して行われており、収益が見込める大型連休を過ぎてから発表したのでは?との報道がなされた。
5)世界人権問題研究センター(2013年2~5月)
2013年5月、京都府と京都市などが共同で出資した外郭団体「世界人権問題研究センター」のホームページが改ざんされていることが判明。トップページを閲覧すると、ウイルスに感染する状態となっており、同センターはホームページを閉鎖。
同センターのホームページには2月~5月21日にかけて、米国など3カ国から4回にわたり不審なアクセスがあり、その際に仕込まれたルートキットにより21日にWEB サイトを改ざんされたと判明した。
なお、WEBサイトの復旧まで約2ヶ月を要した。
19
報道公開日
企業名 攻撃手法 内容
2013/3/3 米エバーノート サーバ侵入 保存情報の侵害の痕跡は確認されず。
2013/3/15 ジェイアイエヌ サーバ侵入ウェブサイトが改ざんされ、入力したクレジットカード情報が不正なサイトへ転送。
2013/4/4 ヤフー サーバ侵入データベースから情報を抽出する不正プログラムにより、127万件のデータが抽出されていた。
2013/4/4 NTT東日本 不正ログイン30件のアカウントについて、不正なログインや操作が行われていた可能性。
2013/4/4 NTTレゾナント 不正ログイン特定のIPアドレスから約3万件のアカウントに対し機械的な不正ログインが試行。
2013/4/5 カルチュア・コンビニエンス・クラブ
不正ログイン209件のアカウントに対し不正なログインや操作が行われた。
2013/4/6 イーブックイニシアチブジャパン
不正ログイン779件のアカウントに対して不審なIP アドレスからログインが試行された。
2013/4/17 JR東日本 不正ログイン約1時間半の間に2万6000件のアクセスがあり、97人の会員アカウントで不正ログインが発生。
2013/4/23 JAXA サーバ侵入不審なIPアドレスから不正アクセス。関係者のIDとパスワードが使用された。
2013/4/27 NTTドコモ 不明 2208件の顧客情報が流出。
2013/5/10 ディノス 不正ログイン約111万回の不正ログインにより、会員約1万5000人分のパスワードが流出。
2013/5/17 資生堂 不正ログイン海外のIPアドレスから24万件の不正ログインが発生し、682 件が成功。
2013/5/17 ヤフー サーバ侵入最大2200万件のIDが抽出されたファイルがサーバ上に作成されていた痕跡。
2013/5/22 イード サーバ侵入6100人分の会員情報を抽出したファイルをサーバ上に確認。
2013/5/25 三越伊勢丹HD 不正ログイン15件のIPアドレスから520万2002件の不正ログイン試行があり、最大で8289件のログインが成功。
6) その他(2013~2014年)
20
報道公開日
企業名 漏洩理由 内容
2013/5/27 エクスコムグローバルSQLインジェクション
約11万件のクレジットカード情報が流出。
2013/5/29エイチ・ツー・オーリテイリング
不正ログイン不正ログインにより、最大で2382件の顧客情報が閲覧された可能性。
2013/6/3 ハピネット 不正ログイン最大9609人に不正ログインされ、最大3909人がクレジットカード情報を閲覧された可能性。
2013/6/18 ニッセン 不正ログイン外部から1万1031件の不正ログイン試行があり、うち126 件でログイン成功。
2013/6/25 NTTコミュニケーションズ 不正ログイン756件のIDで不正に認証パスワードが変更された。
2014/1/24 ニフティ 不正ログイン
「@nifty」の会員情報ページに対し、会
員になりすました不正ログインが発生。「お客様情報一覧」ページに記載されている会員情報が閲覧された。
2014/1/27 スタイライフ 不正ログインファッション通販サイト「Stylife」の会員ページに対し不正ログインが発生。クレジットカード情報が流出。
2014/1/31 ストリーム 不正アクセス同社が運営するウェブサーバーが不正アクセスを受け、「ECカレント」「イーベスト」「特価COM」の顧客情報が流出。
2014/3/10 アートフリークス 不正ログイン
同社が運営する無料でWikiを設置できるサービス「@wiki」において、ユーザーの管理情報やデータが外部へ流出。
外部サイトへリダイレクトする不正なスクリプトが設置されたほか、パスワードの再発行ページで改ざん被害が発生。
2014/7/7 ホットマン 不正アクセス同社オンラインショップが4~6月の間
不正アクセスを受け、クレジット情報及び顧客情報が流出。
2014/8/27 ホビーショップタムタム 不正アクセス同社オンラインショップへの不正アクセスによりクレジットカード決済をした顧客情報が流出。
21
4-3 サイバー攻撃の統計情報
1) サイバー攻撃の頻度
サイバー犯罪者の活動は、近年益々高度且つ活発化しています。
ある調査対象組織では、従来のセキュリティ対策を“すり抜ける”サイバー攻撃が最大3分に1回の割合で発生しているとのデータがあります。
これには、不正な電子メールの受信や、不正なリンクのクリック、マルウェアによる通信などが含まれています。
年間被害者数1日あたりの被害者数
秒換算での被害者数
世界 3億7,800万人 100万人以上 12人/1秒
日本 400万人 1万人以上 1人/10秒
2) 被害者数
3) 被害額
総被害額1人あたりの平均被害額
世界 1,130億ドル 298ドル
日本 10億ドル 294億ドル
【参照】2013年ノートンレポート/Symantec http://www.symantec.com/content/ja/jp/about/presskits/2013_Norton_Report.pdf
22
4) 日本企業の損害賠償額
インシデント件数 1,551件
漏洩人数 628万4,363人
想定損害賠償額 1,889億7,379万円
内サイバー攻撃による損害 638億4,860万円
1件あたりの漏洩人数 4,238人
1件あたりの想定平均侵害賠償額 1億2,810万円
【参照】JINSA/2011年情報セキュリティインシデントに関する調査報告書
5) 業種別のサイバー攻撃被害
製造業では、ウイルスやマルウェアへの感染数や、サイバー攻撃の被害に大きなばらつきが見られます。これは従業員のリテラシーが低く、怪しいサイトにアクセスし不審なメールを開いてしまうケースが多い可能性が高いからだと分析されています。
また検出数が少ない場合は、必ずしもリテラシーが高いとは限らず、すでに重要な情報が盗まれた後である可能性も高いようです。
サービス業においては、製造業ほど攻撃に遭いにくい傾向がありますが、IT利活用の自由度の違いが表れていると言えます。
【参照】脆弱性と脅威/脅威動向http://scan.netsecurity.ne.jp/article/2013/12/20/33227.html
23
4-4 サイバー攻撃の主な目的
サイバー攻撃が“どのような目的”のもとに行われるのかを知ることで、自己防御に役立てることができます。
攻撃の目的は、代表的なものとして下記の5つに分類することができます。
1) クラッキングとハッキング
「クラッキング」とは、悪意を持って他人のコンピュータのデータやプログラムを窃取したり、改ざん・破壊など行ったりすることを言います。破壊活動や、単なる技術的興味、好奇心を満たす覗きを目的としてクラッキングが行われます。
クラッキングと「ハッキング」が混同される事が多いのですが、厳密に言うと「クラッキング」は悪意を持って行われるもので、「ハッキング」は純粋に技術的挑戦から行われる愉快犯的な行為という違いがあります。
2) アクティビズムとハクティビズム
「アクティビズム」とは、街頭でのデモや不買運動のように、政治的・宗教的・イデオロギー的な目的のもとに行われる活動のことを言います。サイバースペースでは、掲示板への書き込みなどによって、集会への先導が行われたりしますが、これもアクティビズムの一つです。
そして、このアクティビズムの一環として行われるハッキング(もしくはクラッキング) が、「ハクティビズム(=政治的宗教的イデオロギー的目的によるハッキング行為)」と言われています。
3) サイバー犯罪
金銭等を目的に行われるクラッキング行為を指し、近年は攻撃者の組織化・複雑化・大規模化が進んでいます。
攻撃のためのブラックマーケットが存在しており、攻撃のためのツールが高値で売買されています。
加えて、クレジットカード情報、個人情報が売買されるなど、犯罪の温床にもなっていると言われています。
24
4) サイバーテロとサイバー戦争
「サイバーテロ」は、サイバースペースで行われるテロ活動を指します。
スパイ活動を目的として活動が行われる場合と、システムを攻撃することで関連する物理的な施設の破壊が行われる場合があります。
テロ組織によって行われることもありますし、その背後に国家の存在が見え隠れしていることから、サイバー戦争と呼ばれることもあります。
5) 内部犯行と内部告発
「内部犯行」は、企業などの組織内の人間によって行われる犯罪行為のことです。企業の情報漏洩の原因のほとんどが内部犯行であると言われています。
また、内通者と犯罪者が結託することで行われる場合もあります。悪意ではなく内部告発を目的として、情報が漏洩される場合もあります。
6) 要因を理解した上での対策が不可欠
これら主に5つの要因によってサイバー攻撃が起こっています。それぞれの攻撃者たちが、それぞれの思惑を持ち、それに合った方法でサイバー攻撃を仕掛けてきます。
このような状況が顕在化しても未だに多くの人たちが「私は関係ない」と考えていることが多いです。このような意識の低さが、日本におけるサイバー犯罪増加要因の1つとなってしまっています。
一人一人が現状を意識し対策を講じていく事が、自らを守るために必要です。
25
4-5 急増するWEBサイト改ざんへの対策
世界的に企業や組織を狙うサイバー攻撃が急増している中、日本では企業のWEBサイト改ざんが、2013年1月~7月の期間に前年同期比6倍以上の4,137件に増加しています。
改ざん被害が増えている原因は、日本企業のセキュリティレベルが低いからなのでしょうか?
1) 知らぬ間にウィルス感染
独立行政法人情報処理推進機構(IPA)には、ウイルスや不正アクセスの状況が企業から報告されていますが、その状況まとめによると、2013年のWEBサイト改ざん数は急増しており、過去にWEBサイト改ざんが増加した2010年第1四半期と2012年第3四半期を上回る勢いで増加しているそうです。
WEBサイト改ざんには、システムの脆弱性を悪用されるケースが最も多いことがわかっています。
2010年に流行した「ガンブラー」攻撃に、近年ではさらに「WEBサーバの脆弱性や簡単なFTPパスワードを攻略して進入する」攻撃がプラスされるなど、サイバー攻撃の手口も複雑化する一方です。
脆弱性を解消していないパソコンで改ざんされたWEBサイトを閲覧するとウイルス感染することはもちろん、そのパソコンでWEBサイト管理を行っていた場合は管理WEBサイトが新たに改ざんされ、被害は連鎖していってしまいます。
2013年第1四半期のFTPアカウント盗用は1件ですが、6月は改ざん被害17件のうち半数に当たる8件が、FTPアカウント盗用による改ざんでした。
更に、2013年8月に警視庁は、近年増加するネットバンキングでの不正送金事件に関連して「国内のパソコン1万5000台以上が、改ざんされたWEBサイトの閲覧によりウイルス感染している」と発表しています。
このウイルスに感染したままネットバンキングを利用すると、パソコン上に偽のログイン画面が表示され、入力したIDやパスワードが盗まれてしまうこともあります。
今後もサイバー空間を舞台にした不正行為はさらに増加し、情報だけでなく金銭目当ての攻撃が増えていくと予想されており、早急な対策が必須です。
26
2) 「負け戦」前提で戦う日本企業のセキュリティ対策
前述の通り、企業や官公庁のWEBサイト改ざんは2013年1~7月期で4,137件に急増しています。それも中小企業だけでなく、下記日本を代表する企業に対しても攻撃が行われていたのです。
• トヨタ自動車• リコージャパン• 日本赤十字社• 科学技術振興機構(JST)• 札幌市観光情報サイト
アクセス数の多い名だたる大手企業・機関のWEBサイトでも被害が広がっています。
サイバー攻撃は「ねらわれた時点で被害は必然」というシビアな現実があります。例えば2011年に勃発した、ソニーグループへのサイバー攻撃では、ソニーのシステムが脆弱だったから標的となったというよりも、ソニーには標的となるだけの社会的な要因があり、天才ハッカー(ジョージ・ホッツ)とハッカーの国際的集団(アノニマス)に標的にされた時点でソニーの負けは必然だったと言えるでしょう。
そして、ソニーの負けを完敗に限りなく近くしたのは、システムの脆弱性によるものでも、ハッカーの技術でもなく、ソニー自体の対応の悪さ・対応の遅さ、いわば「人間の脆弱性」によるものであったと言えます。
つまり、企業のWEBサイトは犯罪者によってねらわれる運命にあり、その前提でシステムの脆弱性を修正し、攻撃後の被害を最小限に留められるよう事前の対策をする必要があります。
特に、頻発する日本企業のWEBサイト改ざんにおいて大きな問題であったのは「人間の脆弱性」です。
その顕著な例が、2013年6月に発生したトヨタ自動車での被害事例です。トヨタ自動車でWEBサイトが改ざんされたのは、2013年6月5日18時26分から6月14日21時47分までの10日間。
「10日間も改ざんを検知できなかった」結果、7万8000人もの人たちがこの改ざんされたWEB サイトを閲覧しました。しかも、閲覧者はパソコン内部に保管されている情報やWEBサイト利用時に入力するIDやパスワードを抜き取られる危険があるというセキュリティ情報の発表は事件発表から2週間も経ってからで、目眩いがするほどの対応の悪さ・遅さでした。
WEBサイトを改ざんされることは企業にとって「被害」ですが、その状態を放置することはもはや「犯罪」であると言えます。長期にわたり閲覧者を危険な状態においたトヨタ自動車は、犯罪に加担したといっても過言ではありません。
27
3) 今すぐできるWEBサイト改ざん対策
日本独自の企業文化も、サイバー攻撃の進化にセキュリティが追いつかない現状を、後押ししています。
日本の企業組織では新たな機器やシステムの導入には稟議をあげて予算を通すことが必要になり、実際の導入までに数ヶ月、さらに地方自治体などでは1年がかりということが一般的です。これでは最新の脅威をフォローし、すばやく対応することなど不可能に近いのです。
企業や組織に必要なサイバー攻撃対策とは、まずはサイバー攻撃の脅威を感じている現場の声に常に耳を傾けることです。サイバーセキュリティにどれだけの投資をするかは経営者の経営判断にかかっていますが、経営者は経営状況を把握したうえで自社が絶対に失ってはならない情報資産を特定し、優先順位を付けなくてはなりません。
そして、いったん攻撃されたら、現場のリードにより、全社一丸となって対応することが肝要です。
なお、サーバ側でいくら対策を施しても、社内のパソコンがウイルスに感染してFTPアカウント情報が漏洩してしまうと、第三者が正規の管理者になりすましてFTPログインすることが可能になってしまいます。
企業WEBサイトの改ざんを防御するには、サーバだけではなく、社内パソコンを含めた総合的な対策が必要です。
WEBサーバ全体のセキュリティ対策
• WEBサーバで利用しているOS やソフトウェアの脆弱性対策の徹底• OSシステムファイルやアプリケーション構成ファイルに対する変更監視• WEBサーバに対する不正な通信の検知・遮断• 運用アカウント管理の徹底、各種システムログ、セキュリティログの取得• ログ監視の強化
また、改ざんされたWEBサイトは一見健全で、サイト管理者も改ざんに気付かず、トヨタ自動車のように長期間放置されてしまうケースも残念ながら少なくありません。インターネットの利用者であれば常時、十分な予防策を取ることが重要です。
具体的なパソコン側の対策としては下記表の項目が挙げられます。
28
パソコン側の対策
• Windowsの自動更新を有効にする。• OS を最新の状態にアップデートできるようにしておく各種プログラムを最新にする。
• ウイルスなど不正なプログラムに脆弱性を狙われないよう、パーソナルファイアウォール機能を搭載した統合型セキュリティソフトを活用する。
セキュリティの脆弱性を放置することは、取引先や公共に被害を及ぼす迷惑行為です。
サイバー攻撃を目の前にある脅威ととらえ、インターネットユーザすべてが万全の対策を取ることが求められています。
4-6 サイバー攻撃の種類を把握しよう
1) 不正アクセスの種類
ブルートフォースアタック(総当たり攻撃)
総当たり攻撃とは、暗号解読方法のひとつであり、可能な組み合わせを全て試す方法です。
人間の操作では手間がかかりすぎる方法ではありますが、手軽に実行できるツールが普及しており、時間的制約がない限りは確実にパスワードを割り出して侵入することができます。
DoS・DDoS攻撃
DoS攻撃は、攻撃側と相手側の1対1で行われますが、 DDoS攻撃とは、複数に分散(Distribute)した攻撃用マシンからの一斉に攻撃を行います。DDoS攻撃の防御が難しい点は、この複数台の攻
撃用マシンがどこにあるのか攻撃が始まるまで分からないことです。そのため、攻撃箇所すべてから守りきることが困難なことが挙げられます。
29
SQLインジェクション
DBサーバと連携したWEBシステムの場合、WEBサーバではユーザが入力した情報を基にSQL文を組み立てるものがあります。そのSQL文によってデータベースへのデータ追加・更新など行います。このとき、WEBサーバがセキュリティ的に無防備
な状態であると、ブラウザから入力された「悪意のあるSQL文」をそのままデータベース操作の一部に注入(Injection)される可能性があります。
クロスサイトスクリプティング
掲示板やブログなどユーザが入力した内容WEBページとして出力するWEBアプリケーションに対して多く行われる攻撃です。
例えば、掲示板に悪意のあるスクリプト(簡易的なプログラミング言語のこと)を埋め込んだリンクを貼り付け、そのページを閲覧したユーザのブラウザ上でスクリプト(プログラム)を実行させるという攻撃を行います。
ルートキット攻撃
他人のコンピュータに不正侵入した攻撃者により下記項目のインストールが行われます。
• 侵入を隠ぺいするためのログの改ざんツール
• 侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール
• 侵入に気づかれないための改ざんされたシステムコマンド群
これらを素早く導入するための、パッケージにまとめたものがルートキットと呼ばれ、いくつかの種類があります。
30
2) マルウェアの種類
サイバー攻撃の手段のうち、マルウェアによって行われるものも多くあります。マルウェアの分類にはいくつかの方法がありますが、ここでは「感染の種類」「感染経路」「活動パターン」から分類します。
ウィルス(コンピューターウィルス)
ウイルスとは、ある特定のプログラムの一部を書き換えることで感染し、感染したプログラムが実行されることで活動を開始するマルウェアのことです。生物界のウイルスは単独では増殖できず、宿主となる細胞に入り込むことで初めて増殖が可能となります。
コンピュータのウイルスも同様に、宿主となるプログラムが必要とされることから、コンピューターウイルスと呼ばれています。
ウイルスに感染したプログラムが実行されることで、ウイルスが「悪意のある」活動を開始します。つまり、ウイルスは正規のプログラムを書き換え
ることで動作を乗っ取り、スパイ活動や、データの損壊、さらなる感染を行います。
ワーム
ワームとは、生物界では足がなく細長い虫のことですが、コンピュータにおけるワームは、宿主となるプログラムを必要とせずに単体で活動できるマルウェアのことを指します。
プログラムの脆弱性などを利用して、メモリ上に本体を展開して直接実行したり、ファイルとしてワーム本体をコピーして実行したりするなどして、コンピュータに感染します。
ワームも、ウイルス同様に、「悪意のある」活動を行い、また新たなターゲットを探し出し感染させたりします。
トロイの木馬
トロイの木馬は、それ自身には感染する機能持っていませんが、何か有用なプログラムであることを偽装してユーザを騙し、実行させることで「悪意ある」活動を行うマルウェアです。
31
3) 標的型攻撃
標的型攻撃とは、金銭や知的財産等の重要情報の不正な取得を目的として特定の標的に対して行われるサイバー攻撃のことです。
4) ゼロデイ攻撃
修正プログラム(セキュリティ更新プログラム)などが未公表の脆弱性を悪用する攻撃のことです。従来は、攻撃者以外は知らない脆弱性を狙う攻撃をゼロデイ攻撃と呼ぶことが多かったのですが、最近では脆弱性自体はメーカーや研究者などによって公表されていても、修正プログラムが未公表な場合にはゼロデイ攻撃と呼ぶことが多いです。
2006年には、Microsoft Office製品を狙ったゼロデイ攻撃が続出して話題となりました。この時は、修正プログラムをきちんと適用しているパソコンでも、メールなどで送られた攻撃用の文書ファイルを開くだけで、ウイルスに感染するなどの被害に遭う恐れがありました。その後は、Microsoft Officeに限らず、ジャストシステムの一太郎や、米アドビシステムズのAdobe Readerなどを狙ったゼロデイ攻撃も頻発しています。
ゼロデイ攻撃の被害に遭わないためには、修正プログラムを適用するだけではなく、「信頼できないファイルは開かない」「ウイルス対策ソフトを使う」といった対策の実施が重要となってきます。
5) パスワードリスト攻撃
パスワードリスト攻撃とは、攻撃対象とは別のサイトから得たID とパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行する攻撃方法のことです。「リスト型攻撃」「リスト型アカウントハッキング」などとも呼ばれ、2010年後半から主にオンラインゲーム業界等で報告されています。
これは、同一のパスワードを、複数のWEBサービスで使い回す利用者が多いという傾向を利用したもので、SQLインジェクションをはじめとする脆弱性を利用する等の方法で事前に入手したパスワードリストを用い、様々なWEBサービスでログインの試行を繰り返すものです。
そして、ログインが成功したサイトから、最終的には利用者の個人情報や金銭などを詐取しようとします。
32
4-7 サイバー攻撃に対する国の対応と今後
日本では国民の2人に1人がインターネットを利用し、さらに、情報家電の普及で一般家庭もネットワーク環境に繋がりつつあります。
ネットワーク環境の拡大に比例して高まるサイバー犯罪の脅威に対し、市場はどう応えているのでしょうか?このような脅威に対しては、民間の企業が技術力を活かして応えていく必要があると言えます。
また国の施策としても対応していく必要がでてくるでしょう。そのようなサイバーセキュリティの関連市場を概観してみました。
1) サイバーセキュリティツールの需要増
IT専門調査会社のIDC Japanは2013年7月、2012年の国内サイバーセキュリティ管理ツール市場の規模を前年比成長4.6%の1,402億円だったと発表しました。同市場の2012〜2017年における年間平均成長率は3.6%で、2017年には1,671億円に拡大すると予想されています。
2012年は、標的型攻撃や情報漏洩などの事件が相次いで発生したことや、スマートフォンなどモバイル端末向けのマルウェアが急増したことで、需要が高まりました。
2013年以降も、標的型攻撃対策やモバイル端末のマルウェア対策のニーズは高く、サーバや社内ネットワークの末端を攻撃から守るための「エンドポイントセキュリティ製品」を中心に、市場全体の7割超を占めるソフトウェアが市場を拡大していくと予想されています。
2012年前年比成長率
2012~2017平均成長率
2017年市場規模
一般消費者市場 443億円 3.7%増 3.1% 517億円
企業向け市場 333億円 9.5%増 4.4% 413億円
2012年の国内サイバーセキュリティ管理ツール市場の中で最も前年比成長率が高かったのは、ネットワークセキュリティ市場です。
同市場の成長率は13.7%で、市場規模は272億円。モバイル端末が普及し、リモートアクセスのセキュリティ基盤として需要が拡大していることや、標的型攻撃対策で不正侵入防御製品のニーズが高いことが背景となっています。
同市場の2012〜2017年の年平均成長率は4.9%で、IDCは2017年の市場規模を346億円と予測されています。
33
2) セキュリティサービスの外注が増加
サイバーセキュリティ関連サービスには、下記種類に分類されます。
• 開発・インテグレーション• コンサルティング• ITマネジメント• ソフトウェア製品のサポート• ハードウェア製品の保守サポート
IDC Japanの調査では、2012年の国内セキュリティサービス市場は6504億円、前年比成長率4.6%。2012〜2017年の年間平均成長率は3.9%で、2017年には7884億円になると予測されています。
ITコンサルティングのガートナーの調査によると、サービス市場でも成長しているのは「ITマネジメント」であり、セキュリティ監視などの専門的ノウハウを持つMSSP(マネージド・セキュリティ・サービスプロバイダ)にアウトソースする企業が増えているそうです。
ITシステムのセキュリティを維持するために、人材・設置・技術を補うことを目的としたサービスのこと。具体的には不正侵入検知/防御システム(IDS/IPS)、アンチウイルスソフトウェアといったセキュリティ対策製品・設置の導入や運用に関する支援、セキュリティンシデントが発生した際の調査や対策に関する支援などが提供されています。
例えば、IDS/IPS(=不正侵入検知/防御システム)を自社で導入するためには、装置に関する知識だけでなく、ネットワーク、サーバ、アプリケーションに関する知識や経験が必要となります。さらに、装置の運用に必要な人手はもちろんのこと、脆弱性や不正アクセスの手法等の幅広い知見を持った人材が必要になります。
サイバーセキュリティサービスを利用すればセキュリティ脆弱性を調査する専用部署を自社編成するよりも即効性があり低コストだと考えられています。
3) 情報家電にセキュリティ需要増
今後さらなる市場拡大が期待されているのが、情報家電のセキュリティ市場です。
情報家電のセキュリティ対策には、これまでパソコンの世界で培われたノウハウが役立つと考えられ、実際スマートテレビにはアップルやグーグルが参戦を表明しています。
しかしながら、パソコンのノウハウをそのまま家電の世界に適用できるわけではありません。情報家電はパソコンに比べてより生活に密着し、さまざまな年代の人々が日常的に使用します。まず、操作が簡単で、丈夫なことが重要となります。
34
4-8 外部要因による情報漏洩のセキュリティ対策
ここまでで、情報漏洩の外部要因であるサイバー攻撃の現状や、自らもその脅威に晒されていること、そしてセキュリティ対策の必要性についてご理解頂けたかと思います。
しかし「セキュリティ対策」と言われても、どこから手を付ければ良いのか分からない、というのが現状ではないでしょうか。
本項では「まずは最低これだけはやっておくべき!」と考えられる具体的なセキュリティ対策をご紹介させて頂きます。必要な対策は大きく分けて2つです。普段使っているパソコン側のセキュリティ対策と、インターネットに24時間365日つながっているサーバ側のセキュリティ対策の二種類を押さえておきましょう。
5) パソコン側のセキュリティ対策
改ざんされたWEBサイトは一見健全であっても、サイト管理者も改ざんに気付かず、長期間放置されてしまうケースも残念ながら少なくありません。インターネットの利用者であれば常時、予防策を取ることが重要です。
パソコン側のセキュリティ対策
• Windows の自動更新を有効にする。• OS を最新の状態にアップデートし、各種プログラムを最新にする。• ウイルスなど不正なプログラムに脆弱性を狙われないようにする。
• パーソナルファイアウォール機能を搭載した統合型セキュリティソフトを活用する。
6) サーバ側のセキュリティ対策
サーバ側のセキュリティ対策
• WEBサーバで利用しているOS やソフトウェアの脆弱性対策の徹底• WEBサーバに対する不正な通信の検知・遮断• ログ監視の強化
サーバへの不正アクセスはいつ起こるかわかりませんので、24時間365日での監視体制が必須です。そして、不正攻撃を検知するだけのもの(IDS:不正侵入検知システム)では対策として不十分です。
不正攻撃があったら即座に遮断できるものでなければ、セキュリティ対策の効果が半減してしまいます。
35
そのため、IPS(不正侵入検知・遮断システム)の導入をお奨めしています。これは不正アクセスを検知し知らせてくれるIDS 機能に加え、不正アクセスを検知すると即座に遮断を自動的にしてくれるものになります。
このIPSですが、「アプライアンス型」の場合、初期導入費用で数百万円より、月額の管理費は安くても20万円以上、さらに専門の技術者を抱える必要があり、企業でも、大手通信キャリアや官公庁などでようやく導入されています。
また、中小企業向けに「Saas型」と呼ばれる最近流行のクライド対応のものでもう少し安価で高性能のものもサービスとして出始めています。
5 おわりに最後までご覧頂きありがとうございました。
ハンドブックに含み切れない最新情報は【サイバーセキュリティ.com】で更新しております!ぜひこちらのURLをチェックしてみて下さい。https://cybersecurity-jp.com/
また、「セキュリティ対策について相談したい」「企業を紹介して欲しい」など、サイバーセキュリティに関するお問い合わせ等ございましたら、お気軽にご連絡下さい。
今後とも【サイバーセキュリティ.com】を宜しくお願いいたします!
お問い合わせ窓口
サイバーセキュリティ.com(株式会社シーズ・クリエイト)