IPA が毎年公開している情報セキュリティ白書2021を読んでみました。
公開サイトはこちらです。
11月1日にパスワード無し版が公開されたようなので、
それをきっかけに読んでみようと思いました。
情報処理試験では、情報処理安全確保支援士(SC)が密接に関わる分野ですね。
本記事では、読んでみた感想や概要をゆるくまとめてみたいと思います。
SC受験予定で役に立ちそうな箇所は、記事内でピックしておこうと思います。
1. はじめに
IPA が説明している白書の位置づけを紹介します。
2008年からですから、2021年で14年目ということですね。
また、2021年度のスペシャルトピックとして以下を掲げています。
-
米国の政策(トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など)
-
テレワークの情報セキュリティ(インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など)
-
NISTのセキュリティ関連活動(組織の沿革と体制、SP800,1800シリーズなど)
米国の政策は、セキュリティ対策に悩む経営者の興味を引くようなトピックと思います。
個人的には、何といってもコロナ禍で広がったテレワークというトピックが 2021年を象徴するトピックのように思います。
2. 目次をみてみる
目次は以下の通り、3章構成になっています。
- 序章:2020年度の情報セキュリティの概況
- 第1章:情報セキュリティインシデント・脆弱性の現状と対策
- 第2章:情報セキュリティを支える基盤の動向
- 第3章:個別テーマ
序章は1ページで1年間のトピックが総括されており、
すぐ読めるし、
世間を賑わせたセキュリティ事件・事故など
「そんなことあったな」と思い出しながら振り返ることが
できるので、面白いと思います。
第1章は、インシデントの傾向や、巷で流行っている手口などが
紹介されています。
流行っている手口は、フィッシングの画面キャプチャも
掲載されています。
第2章は、国内・海外の情報セキュリティ政策、
標準化活動が紹介されています。
海外情勢は、米国・欧州・アジア太平洋地域の他、
コラムですが中国の情勢についても触れられています。
第3章は、個別テーマの
制御システム、IoT、テレワーク、NISTについて
触れられています。
この中でもテレワークは市民の生活様式の変容に
関わるので興味深いトピックと言えそうです。
3. 序章を読んでみる
キーワードセンテンス的に並べてみましょう。
- 新型コロナ対策で緊急事態宣言を受け、テレワークやオンライン会議が普及し、新たな脆弱性が生まれた
- フェイクニュースが溢れ、WHOを始めとする各国組織が対策を呼び掛けた
- ランサムウェアの被害を受けたゲーム会社が1万件以上の個人情報流出、一部の機器が暗号化された
- NISCが重要インフラ事業者にむけ、特定のサービスを利用する際、利用者の設定不備により外部から情報が参照される可能性について注意喚起した
- 米国の燃料供給事業者がランサムウェア攻撃を受け、一時操業を停止した
- 国内では、「政府情報システムのためのセキュリティ評価制度(ISMAP)」が開始された
ランサムウェアの被害を受けたゲーム会社というのは 2020年11月に公表したカプコンの事例でしょう。
利用者の設定不備により外部から情報が参照される可能性についてのサービスとは、GitHubのことでしょう。2021年1月にSNS上でも大きな話題になりました。
米国の燃料供給事業者とは、Colonial Pipeline社の事例でしょう。
いずれも世の中を大きく騒がせた事例と言えます。
テレワークの導入や DX の推進等でデジタル化は急加速しつつあるが、セキュリティ対策が十分に検討されていない、あるいは、一時的に認めざるを得なかったセキュリティ対策の緩和や逸脱が放置されている可能性がある。リスクと対策の再確認、ルールの見直しが求められている。
序章は上のように結ばれており、生活様式が変容している中で、情報セキュリティ対策の再確認と見直しを強く訴えかけています。
自身が企業や組織の情報管理責任者となったことを想定して、予防や対応策について記述できるようにしておきましょう。
テレワーク推進により在宅勤務が多くなった結果、BYODについても重要性が高まっています。
午前IIはもちろん、午後問題でもどのようにBYODを検疫・リスク管理するか、NWを分割するなど、具体的な構成含めて考察・記述できるようにしましょう。
4. 本文を読んでみる
私が気になったのは次の点でした。
Linux も狙われるようになった
ウイルスが狙うのは、普及度&セキュリティホールの多さがともに大きいWindowsが中心で、それ以外だと大丈夫と思われていた時期もありましたが、時代は変わりました。
Go言語はマルチプラットフォーム対応しやすいので、WindowsやLinux問わずに攻撃できる効率性の高いウイルスのコード生成に採用されやすいそうです。
悪用されてGo言語の悪名が広がらないことを祈ります。
Facebook メッセンジャースパム
私も友人(普段連絡とってない)から突然Facebookメッセージが送られてきたことがありました。
当人(友人)はすぐに火消しの連絡をしていたので、実際に被害にあった人がいたかはわかりません。
このように、白書には意外と? 画面のスクショが資料に盛り込まれている箇所もあって、読みやすい(面白い)ところもありました。
新聞のように、読みやすいところを中心にピックしていくと良いように思います。
脆弱性対策情報の割合
CWEとは、の共通脆弱性タイプ一覧(Common Weakness Enumeration)の略で、脆弱性のタイプのことですね。
①クロスサイトスクリプティングや⑧OSコマンドインジェクション、⑨パストラバーサルといった攻撃手法は試験でも頻出と思います。
試験対策というより、知識があればこういう情報を読み解けるようになるよ、と考えた方が勉強のモチベーションになるかもしれませんね。
デジタル庁の設置
2021 年 5 月、「デジタル庁」新設を柱とするデジタル改革関連法案が成立しました。
9 月 1 日に発足したデジタル庁について、内閣官房情報通信技術(IT)総合戦略室はデジタル庁のサイトを開設し、
平井卓也デジタル改革担当大臣のメッセージやデジタル庁に関する法令等の情報発信を開始しました。
また、2021 年 5 月よりコンテンツ配信サービス「note」を利用してデジタル庁創設に向けた情報配信を開始しています。
こうした公共系のメッセージ基盤にも note はなりやすい、ということの現れですね。
はてなブログを始めとしたブログメディアが、採用されなかったのは、noteでいうサークルのようなコミュニティ創設の機能が重視されたためでしょうか。
テレワーク導入フローチャート
この図はなかなか有用そう。
自社にテレワークが導入されていなかったとしても、自分ならばどんな環境がよいか考えてみるだけでも意味があると思います。
自分の考えが固まったら、上司に提案してみましょう。
5. おわりに
いかがでしたでしょうか?
総264ページもあるドキュメントなので、とても全文を細かくは読めませんでしたが、
年間の振り返りやセキュリティ業界のトピックを、
ニュースや政治に絡めて理解することができるのは有用だと思います。
情報処理安全確保支援士(SC)を狙っている方は、
本記事の緑枠の内容を参考にしてみてください。
「ランサムウェア」は重要なキーワードであり、予防や感染した場合の対応についても午後問題でも問われやすいテーマと思います。
自身が企業や組織の情報管理責任者となったことを想定して、予防や対応策について記述できるようにしておきましょう。
テレワーク推進により在宅勤務が多くなった結果、BYODについても重要性が高まっています。
午前IIはもちろん、午後問題でもどのようにBYODを検疫・リスク管理するか、NWを分割するなど、具体的な構成含めて考察・記述できるようにしましょう。
①クロスサイトスクリプティングや⑧OSコマンドインジェクション、⑨パストラバーサルといった攻撃手法は試験でも頻出と思います。
試験対策というより、知識があればこういう情報を読み解けるようになるよ、と考えた方が勉強のモチベーションになるかもしれませんね。
本ブログでは、主に情報処理技術者試験の高度区分の試験対策についてまとめています。
「読者になる」ボタンで、ブログの更新時に通知されますので、ご検討ください。
資格をとったエンジニア・人材が、セキュリティ人材として世の中に大きく羽ばたくことを願っています。
ではそれまで。
