虎の穴ラボ・インフラ担当のSKです。
当社ではインフラエンジニア担当として、ネットワーク機器やサーバのセキュリティ構築・運用を担当しておりますがユメノソラ(虎の穴)グループ内のセキュリティ啓蒙活動も行っています。
その一環として、お馴染みIPAが毎年掲載している、情報セキュリティ白書の最新2022年版の内容をチーム内で確認する取り組みを実施したのでご紹介いたします。
情報セキュリティ白書って?
IPA(情報処理推進機構)が毎年発行している情報です。
一定期間はパスワードが必要なPDFとして公開されていますが、2022/9/1 よりパスワードなしのPDFが公開され誰でも見ることが可能になっています。
以下リンクより閲覧可能となっています。
記載されている内容は?
情報セキュリティに関する
- 国内外の政策や脅威の動向
- インシデントの発生状況
- 被害実態など定番トピック
- その年ならではの出来事(2022年版であればコロナ翌年の傾向)
などが網羅されている内容となっています。
なぜインフラエンジニアが?
弊社のインフラエンジニア担当の業務ではネットワーク・サーバ構築時のセキュリティに関する知見のみならず
- 虎の穴グループ社員へのセキュリティ啓蒙活動
- Emotetなどの重大インシデントに繋がりかねない事象の把握と対策
- 年に数回実施している全社セキュリティテスト
なども業務内容となり、一般的なセキュリティ知識をチームメンバー全員が持つことを目的としています。
ちなみに手前みそで恐縮ですが、以下にインフラエンジニア担当の行っている業務内容について記載もありますので興味があったら覗いてみてください。
具体的にどんなことを実施した?
今年の白書では、大きく以下の3章に分かれていました。
- 第1章 情報セキュリティインシデント・脆弱性の現状と対策
- 第2章 情報セキュリティを支える基盤の動向
- 第3章 個別テーマ
各章1名ずつ担当を割り振り、要点をまとめプレゼンを行う形式で課内ミーティングの時間で発表を行いました。
各章の大まかな要約と感想
第1章について 情報セキュリティインシデント・脆弱性の現状と対策
- 世界のセキュリティインシデントについて
- 被害は過去5年は増加傾向が続く
キーワード:フィッシング・ランサムウェア・Linuxを狙ったウィルス
- 国内のインシデントに関して
キーワード:不正アクセス、改ざん、情報流出
- 手口と対策
キーワード:VPN機器、脆弱性
お馴染みのキーワードがならんでいますが、各インシデントに対して過去からの増加割合などがわかりやすくまとめられていました。
第2章について 情報セキュリティを支える基盤の動向
- 国内外の情報セキュリティを支える基盤の動向
キーワード:サイバーセキュリティ戦略 サイバーセキュリティ経営ガイドライン
- セキュリティ関連組織の活動について
キーワード:SECCON CYNEX CISOの設置割合 セキュリティ評価制度(ISMAP)
国内外のセキュリティ関連機関の紹介や活動が具体的に記載されていました。
第3章について 個別テーマ
- IoTのセキュリティについて
キーワード: ルータ NAS DVR その他のネットワーク機器
- クラウドのセキュリティ
キーワード: 設定ミス シャドーIT 利用者と事業者の責任
インシデントに繋がりやすい機器や、考え方について解説がありました。
どう活用していくか
読み合わせを行っただけではそこで終わってしまうのでミーティング中に議論し、以下を実施しています。
- 記載されている内容の感想を各自発表
- とらのあなグループのセキュリティに関し改善できることを1人1つ以上課題としてあげる
- 課題実現に向けた具体的なスケジュールを決める
まとめ
昨今のセキュリティ事情はめまぐるしく変化しており情報のキャッチアップと理解、社内へのスピードをもった情報展開により事業の継続により役立てていこうと意識づけができました。 今後も今回のような情報の蓄積・実践や講習セミナーへの参加などを積極的に行っていこうと感じました。
P.S.
採用
虎の穴では一緒に働く仲間を絶賛募集中です!
この記事を読んで、興味を持っていただけた方はぜひ弊社の採用情報をご覧下さい。
yumenosora.co.jp
LINE スタンプ
エンジニア専用のメイドちゃんスタンプが完成しました!
「あの場面」で思わず使いたくなるようなスタンプから、日常で役立つスタンプを合計 40 個用意しました。
エンジニアの皆さん、エンジニアでない方もぜひスタンプを確認してみてください。
store.line.me
