DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
2023年8月15日よりCertCentralのサインインではユーザ名とパスワードのほかにワンタイムパスワード(OTP)もしくはクライアント証明書の二要素認証による提示が必要となりました。 設定等についてはこちらのKnowledgeを参照ください。
#CybersecurityAwarenessMonth
全米サイバーセキュリティ意識向上月間(NCSAM)は、今年 10 月で 20 周年を迎えます。NCSAM は、安全で確実なオンライン利用を提唱することを目的とした、米国と欧州連合(EU)の政府および民間企業による共同計画です。
この 20 年間で、世界のサイバー利用は急速に進化してきました。デバイスとそれを使う人々は至るところに存在し、セキュリティと警戒は今や最重要事項です。デジタルトラスト、つまり私たちのオンラインでのやり取りのセキュリティに対する信頼性は、コネクテッドワールドのバックボーンなのです。
今から 20 年前の 2003 年以降、世界は大きく変わりました。そして、次の 20 年がたった 2043 年までには、さらに大きく変化しているでしょう。しかし、それでも変わらないのは、私たちのデジタルの活用に対する信頼を確立する必要性です。
今年の NCSAM のテーマは、サイバー利用を保護するために各消費者ができる、次の 4 つのステップが中心になっています。
1. 多要素認証(MFA)を有効にする
2. 強力なパスワードを使用する
3. ソフトウェアを最新の状態に保つ
4. フィッシングを認識して報告する
今年のテーマをデジサートがどうサポートしているか、以下の各項をご覧ください。
もし、100% 安全でハッキング不可能な単一の認証方法があったとしたら、多要素認証(MFA)は必要ありません。しかし、MFA は追加の安全対策として機能する認証のレイヤーとなり、他のレイヤーの潜在的な弱点を補います。
多要素認証(MFA)の目的は、複数の認証情報を組み込むことによって、多層の防御戦略を確立することです。認証情報としては、知っているもの(パスワードなど)、所持しているもの(セキュリティトークンなど)、自分に固有のもの(生体認証など)が使われます。
ユーザー認証に複数の要素を組み合わせて使うと、権限のない個人がコンピューター、モバイルデバイス、物理的な設備、ネットワーク、データベースなどにアクセスする難易度が大幅に上がります。
実際、Microsoft のレポートによると、多要素認証は自動化された攻撃のうち約 99.9% を阻止すると実証されています。MFA の詳細については、https://www.digicert.com/blog/a-guide-to-multi-factor-authentication を参照してください。
パスワードは、パソコンへの不正アクセスに対する最初の防御手段として機能します。パスワードの強度は、悪意のあるソフトウェアやハッカーに備える保護レベルに直結します。したがってこのセキュリティ対策は、個人的なものであれ仕事上のものであれ、アクセスするどんなアカウントにも該当することをぜひ理解してください。
強力なパスワードを作成するには、以下のように特定の基準に従うことが欠かせません。
1. 強力なパスワードは 8 文字以上でなければなりません。
2. 本名、ユーザー名、会社名など、自分の個人情報を含めてはなりません。
3. 前に使用したのと同じパスワードには設定しないでください。
4. 存在する単語を丸ごとそのまま使うのは避けます。
5. 強力なパスワードには、英字の大文字と小文字、数字、特殊文字など、さまざまな種類の文字を組み込む必要があります。
組織では、Keeper や LastPass のようなパスワードマネージャーを検討してもいいでしょう。これらのツールには、長くて複雑、しかも完全にランダムなパスワードを生成する機能があり、生成されたパスワードを自分で覚える必要はありません。ここで重要な手順は、パスワードマネージャー自体できわめて強力なパスワードを設定させること(そして二要素認証を実装すること)です。こうした予防策があれば、攻撃者が一挙にすべてのパスワードにアクセスすることもありません。
強固なパスワードポリシーの作成については、https://www.digicert.com/jp/blog/creating-password-policy-best-practices を参照してください。
ソフトウェアのアップデートは、既存の脆弱性からシステムを保護するうえで重要な役割を果たします。開発者は、既知の脆弱性に対処するアップデートを頻繁にリリースしているため、潜在的な攻撃者がその欠陥を悪用しないうちに、速やかにインストールすることをお勧めします。ソフトウェアアップデートを自動的に適用するようにコンピューターやデバイスを設定するオプションもあるので、これならプログラムを最新の状態に保つプロセスも簡単です。
ただし、ポップアップ広告やメールで提供されるアップデートに、実はマルウェアが隠されている可能性がある点には注意が必要です。自動アップデートを有効にしておけば、悪意のあるアップデートリクエストに対応しなくてもいいので、セキュリティリスクを最小限に抑えることができます。
フィッシングとは、ソーシャルエンジニアリング攻撃の一種であり、ウェブページ、テキストメッセージ、SNS のダイレクトメッセージ、メールの見た目を悪用し、信頼できる当事者との安全な正規のやり取りをオンラインで交わしているとユーザーに信じ込ませる手口です。
通常のフィッシングメールには、実際のウェブサイトを模した偽装ウェブサイトへのリンクが記載されています。もちろん、フィッシングサイトは、悪意のあるソフトウェアをインストールさせたり、機密性の高い個人情報を収集したりする目的で作られています。
対象となる情報とは、クレジットカード情報、PIN コード、社会保障番号、銀行口座情報、パスワードなどです。攻撃者は盗んだこの情報を利用して、ID 窃盗、金融詐欺、その他の不正行為につなげます。
何か不審なものを発見したら、ご報告ください。フィッシングメールは reportphishing@apwg.org に転送できます。フィッシングを回避するには、こちらの 10 のヒントも参照してください。
フィッシングの試みを防ぐには、Domain-based Message Authentication, Reporting & Conformance(DMARC)を実装する方法があります。DMARC は、メールの認証と報告を管理し、フィッシングやなりすましに対する保護を強化すべく設計されているメールプロトコルです。
DMARC が有効化されると、組織は認証マーク証明書(VMC)を取得できます。この証明書があると、メールクライアントの送信元フィールドに自社のブランドロゴを表示できるので、受信者はメッセージが認証済みであることを確認できます。ソーシャルメディアのプロフィールで見られる認証ステータスとも似ており、認証と DMARC のセキュリティ上の強みを示して、フィッシングに対する防御を強化します。
全米サイバーセキュリティ意識向上月間(NCSAM)の 20 年目は、20 年にわたる驚異的な技術進歩を示す記念すべき年です。この進歩を祝し、今年の NCSAM のテーマを掘り下げるとともに、常に警戒を怠らず、新たな脅威に適応しつつ、サイバーセキュリティを優先的に扱って、デジタルトラストを正しく育む責任の一端があるということを、皆様もぜひ心にとどめておいていただきたい――当社はそう願っています。
デジタルトラストを保護するためのベストプラクティスについては、デジサートのブログを参照してください。
© 2024 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム