Software ISACが選ぶ「開発者(企業)が注目すべき10大ニュース」-CSAJ
CSAJ(一般社団法人コンピュータソフトウェア協会)のセキュリティ委員会/Software ISACは、「Software ISACが選ぶ開発者(企業)が注目すべき10大ニュース」をまとめ、公開しています。
実社会のみならず、サイバー空間においてもコロナ禍の影響は現れています。例えば、攻撃態様もコロナ禍の事情に合わせて変化しています。このように攻撃が活発化していることなどを踏まえ、自社セキュリティ強化の参考となるように2020年を振り返り、2021年に特に注意が必要な対策として選定をしています。
この記事の目次
Software ISACが選ぶ開発者(企業)が注目すべき10大ニュース
- 改正民法に対応した「情報システム・モデル取引・契約書」
- 出荷判定チェックリストを公開
- ISMAPの登録申請が開始されました
- 多数の不正アクセス・情報漏えい事故
- ランサムウェア / ランサムDDoS攻撃
- IPA「脆弱性対処に向けた製品開発者向けガイド」が公開されました
- Flash サポート終了など、その他 OSS などのセキュリティアップデートに注意
- OWASP ASVS 日本語版公開
- TLS暗号設定ガイドライン
- ドメインレジストラサービスを狙った攻撃
レポート全文は以下のURLからご覧頂くことが可能です。
今回は更に厳選された10大ニュースの中からピックアップした内容をいくつかご紹介します。
1.改正民法に対応した「情報システム・モデル取引・契約書」
改正民法が2020年4月から施行されたことは情シスの皆さんにも大きな影響があったのではないでしょうか?
タイトルだけ見ると「何故セキュリティに関係が?」と思われるかも知れませんが、実は関係があるのです。
民法改正の詳細は他メディアや記事:改正民法に対応した「情報システム・モデル取引・契約書」を公開などを参考にして頂ければと思いますが、請負契約の規律に大幅な変更が行われています。
この改正により、従来は瑕疵担保の責任期間を引き渡しから1年としていたものを、改正法ではシステムの不具合が発見された時点から1年以内に通知、5年以内に損害賠償請求(不具合の改修、解除等)をすればよいとなり、この変更は受託開発に大きな影響を及ぼすことになります。ベンダーは10年間(消滅時効)は損害賠償責任を負うことになるからです。
そして、セキュリティ要件をユーザーが取りまとめることは困難です。その為、実態としてはベンダーがセキュリティ仕様をまとめて実装するケースが多いのはご存じの通りです。
仮に、そのシステムにインシデントが発生した場合、ベンダーの取りまとめた仕様に重過失があったとユーザーに指摘されることになります。結果的にベンダーは「10年間」システム保守を維持しなければならなくなります。
そうなるとその10年分のコストは、費用として転嫁されるため、実はユーザーとしても嬉しくない状況を招いてしまいます。
そうならない為にユーザーとベンダーは、「情報システム開発契約のセキュリティ仕様作成のためのガイドラインWindows Active Directory編」などを活用し、実際の攻撃をベースにリスクを検討し、セキュリティ仕様について事前合意することで、ベンダーは重過失の指摘を免れるとともに、ユーザーもセキュリティ上の課題を認識し、より堅牢な運用を行うことでインシデントを招かないロバストなシステムを入手できることとなります。
4.多数の不正アクセス・情報漏えい事故
2020年にはピーティックスへの不正アクセス事件など、数多くの不正アクセス・情報漏えい事故が発生し、個人情報や、クレジットカード情報、また不正に預金を送金するなどで直接な金銭被害につながる事案も発生しています。
2020年12月13日には、IT管理ソフトの開発を行うSolarWinds が開発するOrion Platform にバックドアが含まれていたことを公表。正規アップデートにより、バックドアが仕込まれ、利用していた組織のクレデンシャル情報が窃取されました。
被害は米国政府など多岐にわたり、セキュリティ会社FireEYE 社のRedTeam 用ツールが窃取されたことまで発表されています。
CSAJセキュリティ委員会およびSoftware ISAC では、このような不正アクセスや情報漏えい事故を起こさないための対策およびセキュア開発手法について、研究し情報発信を続けていますが、どのような対策を実施していても、攻撃者の能力が向上しており、依然攻撃者優位の状況にあります。
事故が発生することを前提に、発生した場合に被害を最小限にとどめるための対策を早期に実施できるような連絡体制の確保も検討が必要です。
5.ランサムウェア / ランサムDDoS攻撃
2020年、セキュリティといえば「ランサムウェア対策」と言えるのではないでしょうか。
海外のみならず、国内企業においてもランサムウェアの被害に遭う企業が急増しました。
ランサムウェアの侵入手口は、リモートデスクトップ、VPNなど、リモートワークを実施するうえで必要なポートを狙い、脆弱性が未対応な機材・OSがあれば侵入するという手口(Human Operated Ransomware Attacks)もあれば、マルウエアが添付されたメールを送り付け実行させることで感染させる手口もあります。
そしてランサムウェアの被害企業は、有名な大企業のみが対象というわけではありません。中小企業のソフトウェア開発会社がランサムウェアの被害に遭っているケースも確認されています。
また、ランサムDDoS攻撃も観測されており、身代金を支払わなければDDoS 攻撃を仕掛けるという脅迫をする事例もあり、注意が必要です。
攻撃の影響を受ける可能性のあるシステムの特定およびリスク評価、攻撃を検知・防御の対策状況の確認、検知・認識した場合の対応手順・方針の確認、攻撃による影響が発生した場合の連絡体制や連絡方法の確認などを実施することが推奨されています。
7.Flash サポート終了など、その他 OSS などのセキュリティアップデートに注意
2019年に続き、2020年も「EOS」がキーワードだったようにも思います。
セキュリティ更新プログラムの適用は、企業組織、家庭での利用、OSやアプリケーションを問わず、サポート対象である製品に対して必ず実施するべき基本的なセキュリティ対策です。
企業においては、電子メールの使用やブラウジングによる調査などビジネスの業務を行う環境はもちろんのこと、インターネットに直接接続を行っていない開発環境であっても、ベンダーからのサポートライフサイクル内の製品を利用し、且つ、セキュリティアップデートを正しく適用して最新の状態を保つことが、安全な製品の開発には欠かせません。
2020年、および2021年にサポートが終了する主な製品について、組織内での利用状況を確認し、サポートが終了する製品については、より新しいバージョンへの移行検討が必要です。
以下にサポート終了または終了予定の製品について記載します。