情報セキュリティを日常チェックした方がよい指針や内容をまとめてみました。
必ずチェックしたいサイト
米国(CISA)のサイバーセキュリティ・アラート&アドバイザリ
以前はus-cert(United States Computer Emergency Readiness Team)として米国の緊急情報を発信していたが、現在はCISA(Cybersecurity and Infrastructure Security Agency)としてトータル的なセキュリティ情報を発信している。
※日本のサイトより半日ぐらい早い情報が確認できる。
JPCERT/CC
日本での中心的なセキュリティ・サイト。特に注意喚起情報はチェックがマスト。CISAよりワンクッションあるが、内容が精査されている。
セキュリティ情報を発信しているサイトはいっぱいあるが、企業あるいは組織の情報セキュリティ担当者としては、まず上記二つの公的サイトのチェックは必要であろう。自システムで該当している内容があれば、対応・対策を検討するように提言したい。
脆弱性識別子
JVN(Japan Vulnerability Notes)
日本におけるソフトウェアなどの脆弱性情報でJVN(Japan Vulnerability Notes)ナンバーが付されている。発見からベンダ確認経由して提示される情報なので遅延がある。利用している製品ごとの脆弱性情報を確認していた方が対応も早くできる。
脆弱性の指標とされる共通識別子として以下がある。
CVE(Common Vulnerabilities and Exposures)共通識別子・・脆弱性情報には種別に関わらず付される識別子。CVEを検索すれば対象の脆弱性情報を確認できる。年ごとにシリアルナンバーが付されている。
CVE識別番号管理サイト
CVSS(Common Vulnerability Scoring System)共通脆弱性評価システム・・脆弱性の深刻度を数段階で評価している。対応可否の目安となる。緊急あるいは重要評価項目は対応検討が必要である。
CWE (Common Weakness Enumeration)共通脆弱性タイプ一覧・・種類別にした一覧。参考にしたい。
その他
オープンソース
Linuxなどオープンソースを利用してサーバーを構築している場合も多いと思います。
OSS脆弱性ブログ
特にLinux kurnel情報は多く掲載されている。情報としてまとめられているサイト。実際はディストリビューションが異なるので、対象サイトで対応・対策を確認する必要がある。
フィッシング情報
フィッシング対策協議会
緊急情報となっているが、報告されたものを精査した情報である。警察庁などのサイトもあるが、フィッシング対策が主である。「不審なメールは開かない、アクセスしない」が基本で、セキュリティソフトでspam判定されたものは無条件で削除した方がいいだろう。
参考
某セキュリティソフトの担当者は SNS(Xなど) の情報が早いので毎日確認しているとのこと。ただし、 SNSはフェイクやガセも多いので、自分で信頼できる発信情報を確保しておく必要がある。
雑誌系では、日経クロステック がインシデントなどの詳細内容を掲載している。
各対策については、以下を参照してみてください。
サイバーセキュリティ経営ガイドラインと支援ツール
情報セキュリティ対策支援サイト
言うまでもないが、自組織・自社のアクセスログやアラート情報は常に確認し、必要なアップデートやパッチの適用は迅速に怠りなくおこなうようにしなければならない。