Software ISACが選ぶ「開発者(企業)が注目すべき10大ニュース」-CSAJ

CSAJ(一般社団法人コンピュータソフトウェア協会)のセキュリティ委員会/Software ISACは、「Software ISACが選ぶ開発者(企業)が注目すべき10大ニュース」をまとめ、公開しています。
実社会のみならず、サイバー空間においてもコロナ禍の影響は現れています。例えば、攻撃態様もコロナ禍の事情に合わせて変化しています。このように攻撃が活発化していることなどを踏まえ、自社セキュリティ強化の参考となるように2020年を振り返り、2021年に特に注意が必要な対策として選定をしています。

Software ISACが選ぶ開発者(企業)が注目すべき10大ニュース

  1. 改正民法に対応した「情報システム・モデル取引・契約書」
  2. 出荷判定チェックリストを公開
  3.  ISMAPの登録申請が開始されました
  4. 多数の不正アクセス・情報漏えい事故
  5. ランサムウェア / ランサムDDoS攻撃
  6. IPA「脆弱性対処に向けた製品開発者向けガイド」が公開されました
  7.  Flash サポート終了など、その他 OSS などのセキュリティアップデートに注意
  8. OWASP ASVS 日本語版公開
  9. TLS暗号設定ガイドライン
  10. ドメインレジストラサービスを狙った攻撃

レポート全文は以下のURLからご覧頂くことが可能です。
今回は更に厳選された10大ニュースの中からピックアップした内容をいくつかご紹介します。

1.改正民法に対応した「情報システム・モデル取引・契約書」

改正民法が2020年4月から施行されたことは情シスの皆さんにも大きな影響があったのではないでしょうか?
タイトルだけ見ると「何故セキュリティに関係が?」と思われるかも知れませんが、実は関係があるのです。

民法改正の詳細は他メディアや記事:改正民法に対応した「情報システム・モデル取引・契約書」を公開などを参考にして頂ければと思いますが、請負契約の規律に大幅な変更が行われています。
この改正により、従来は瑕疵担保の責任期間を引き渡しから1年としていたものを、改正法ではシステムの不具合が発見された時点から1年以内に通知、5年以内に損害賠償請求(不具合の改修、解除等)をすればよいとなり、この変更は受託開発に大きな影響を及ぼすことになります。ベンダーは10年間(消滅時効)は損害賠償責任を負うことになるからです。

そして、セキュリティ要件をユーザーが取りまとめることは困難です。その為、実態としてはベンダーがセキュリティ仕様をまとめて実装するケースが多いのはご存じの通りです。
仮に、そのシステムにインシデントが発生した場合、ベンダーの取りまとめた仕様に重過失があったとユーザーに指摘されることになります。結果的にベンダーは「10年間」システム保守を維持しなければならなくなります。
そうなるとその10年分のコストは、費用として転嫁されるため、実はユーザーとしても嬉しくない状況を招いてしまいます。

そうならない為にユーザーとベンダーは、「情報システム開発契約のセキュリティ仕様作成のためのガイドラインWindows Active Directory編」などを活用し、実際の攻撃をベースにリスクを検討し、セキュリティ仕様について事前合意することで、ベンダーは重過失の指摘を免れるとともに、ユーザーもセキュリティ上の課題を認識し、より堅牢な運用を行うことでインシデントを招かないロバストなシステムを入手できることとなります。

4.多数の不正アクセス・情報漏えい事故

2020年にはピーティックスへの不正アクセス事件など、数多くの不正アクセス・情報漏えい事故が発生し、個人情報や、クレジットカード情報、また不正に預金を送金するなどで直接な金銭被害につながる事案も発生しています。
2020年12月13日には、IT管理ソフトの開発を行うSolarWinds が開発するOrion Platform にバックドアが含まれていたことを公表。正規アップデートにより、バックドアが仕込まれ、利用していた組織のクレデンシャル情報が窃取されました。
被害は米国政府など多岐にわたり、セキュリティ会社FireEYE 社のRedTeam 用ツールが窃取されたことまで発表されています。

CSAJセキュリティ委員会およびSoftware ISAC では、このような不正アクセスや情報漏えい事故を起こさないための対策およびセキュア開発手法について、研究し情報発信を続けていますが、どのような対策を実施していても、攻撃者の能力が向上しており、依然攻撃者優位の状況にあります。
事故が発生することを前提に、発生した場合に被害を最小限にとどめるための対策を早期に実施できるような連絡体制の確保も検討が必要です。

5.ランサムウェア / ランサムDDoS攻撃

2020年、セキュリティといえば「ランサムウェア対策」と言えるのではないでしょうか。
海外のみならず、国内企業においてもランサムウェアの被害に遭う企業が急増しました。
ランサムウェアの侵入手口は、リモートデスクトップ、VPNなど、リモートワークを実施するうえで必要なポートを狙い、脆弱性が未対応な機材・OSがあれば侵入するという手口(Human Operated Ransomware Attacks)もあれば、マルウエアが添付されたメールを送り付け実行させることで感染させる手口もあります。
そしてランサムウェアの被害企業は、有名な大企業のみが対象というわけではありません。中小企業のソフトウェア開発会社がランサムウェアの被害に遭っているケースも確認されています。

また、ランサムDDoS攻撃も観測されており、身代金を支払わなければDDoS 攻撃を仕掛けるという脅迫をする事例もあり、注意が必要です。

攻撃の影響を受ける可能性のあるシステムの特定およびリスク評価、攻撃を検知・防御の対策状況の確認、検知・認識した場合の対応手順・方針の確認、攻撃による影響が発生した場合の連絡体制や連絡方法の確認などを実施することが推奨されています。

7.Flash サポート終了など、その他 OSS などのセキュリティアップデートに注意

2019年に続き、2020年も「EOS」がキーワードだったようにも思います。
セキュリティ更新プログラムの適用は、企業組織、家庭での利用、OSやアプリケーションを問わず、サポート対象である製品に対して必ず実施するべき基本的なセキュリティ対策です。
企業においては、電子メールの使用やブラウジングによる調査などビジネスの業務を行う環境はもちろんのこと、インターネットに直接接続を行っていない開発環境であっても、ベンダーからのサポートライフサイクル内の製品を利用し、且つ、セキュリティアップデートを正しく適用して最新の状態を保つことが、安全な製品の開発には欠かせません。
2020年、および2021年にサポートが終了する主な製品について、組織内での利用状況を確認し、サポートが終了する製品については、より新しいバージョンへの移行検討が必要です。

以下にサポート終了または終了予定の製品について記載します。

 

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

  2. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  3. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  4. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  5. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  6. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  7. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  8. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  9. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  10. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る