【質問】最新のサイバーセキュリティ情報の入手方法について教えてください。
今回の授業の先生
WEB活認定コンサルタント
上野 貢(うえの みつぐ)
執筆コラム
- いよいよ近づく3Dセキュア2.0義務化 - 今回の授業の先生 WEB活認定コンサルタント 廣木 秀之(ひろき ひでゆき) 執筆コラム 今週の授業 2022年3月に一般社団法人日本クレジット協会が発表したクレジットカード不正利用の被害額は総額436.7億円となってい […]
- 【質問】最新のサイバーセキュリティ情報の入手方法について教えてください。 - 今回の授業の先生 WEB活認定コンサルタント 上野 貢(うえの みつぐ) 執筆コラム 今週の質問と回答 【Q】 サイバーセキュリティの情報は常に最新の情報を入手し対策を講じる必要があると思っていますが、どうやって最新の情 […]
- YouTubeが変わる!今後の展開が発表されました。 - 今回の授業の先生 WEB活認定コンサルタント 上野 貢(うえの みつぐ) 執筆コラム 今週の授業 現在マーケティングツールとしての存在感も大きくなってきているYouTubeですが、先日開催された「Made on YouT […]
- 【質問】最近注目の「デジタルツイン」とはどういうもの? - 今回の授業の先生 WEB活認定コンサルタント 上野 貢(うえの みつぐ) 執筆コラム 今週の質問と回答 【Q】 DXについて勉強をしているのですが、最近「デジタルツイン」という言葉をよく見かけます。 「デジタルツイン」と […]
- Instagramのアルゴリズムアップデートが発表されました。 - 今回の授業の先生 WEB活認定コンサルタント 上野 貢(うえの みつぐ) 執筆コラム 今週の授業 2024年4月30日に、Instagramのレコメンドに関する新しいアルゴリズムが、今後数ヶ月にかけて展開されるとの発表が […]
- 「みらデジ経営チェック」って何ですか? - 今回の授業の先生 WEB活認定コンサルタント 上野 貢(うえの みつぐ) 執筆コラム 今週の質問と回答 →「みらデジ」とは デジタル化を通じた経営課題の設定とその解決を目指す中小企業と、中小企業の取り組みを支援する各種機 […]
- 中小企業における情報セキュリティ対策 - 今回の授業の先生 WEB活認定コンサルタント 上野 貢(うえの みつぐ) 執筆コラム 今週の授業 最近、情報セキュリティに関連するニュースの頻度が低下しているように思われるかもしれません。 しかし、これはセキュリティに関 […]
- Google検索結果の3点リーダーってどういうもの? - 今回の授業の先生 WEB活認定コンサルタント 上野 貢(うえの みつぐ) 執筆コラム 今週の質問と回答 【Q】 Google検索の結果に3点リーダー(点が3つ並んだもの)が表示されるようになりました。これはどういうもので […]
- 【質問】MAツールの導入準備について教えて下さい - 2022/12/7 便利なMAですが、その効果を最大限にあげるには、しっかり準備したうえで導入することが必要です。MAを導入する際にどのような準備をする必要があるかについて説明します。
- マーケティングオートメーション(MA)の活用方法 - 2022/11/30 個々の見込客に適したアプローチを自動で行うことができるマーケティングオートメーション(MA)、その活用方法を説明します。
今週の質問と回答
【Q】
サイバーセキュリティの情報は常に最新の情報を入手し対策を講じる必要があると思っていますが、どうやって最新の情報を入手したらいいか分かりません。
最新のサイバーセキュリティ情報の入手方法について教えてください。
─────────────────────
【A】
サイバーセキュリティに関しては、その対策が遅れると被害にあう可能性が高くなるため、常に新しい情報を入手し、必要な対策を講じていくことが重要です。
システムやツールの脆弱性が知られると、その脆弱性を狙ったツールが作成され、安易な攻撃者による攻撃を受ける可能性もあります。
システムやツールの脆弱性をはじめとした最新のサイバーセキュリティの情報を入手する方法を紹介します。
─────────────────────────
→ホームページ参照による情報入手
いろいろな団体、企業がホームページでサイバーセキュリティの情報を提示しています。
これらのホームページでは、脆弱性などの情報の他、セキュリティ対策の考え
方や社員教育の方法、攻撃の傾向などの情報も提供されていることが多いので、総合的な情報の入手先として利用できます。
主なものとして、以下があります。
・内閣官房 内閣サイバーセキュリティセンター(NISC):
https://www.nisc.go.jp/
・IPA(情報処理推進機構):
https://www.ipa.go.jp/
・JPCERT/CC:
https://www.jpcert.or.jp/
・JVN(Japan Vulnerability Notes):
https://jvn.jp/
・Security NEXT:
https://www.security-next.com/category/cat177
その他に各ウィルス対策ソフトのベンダーなどのホームページでも有益な情報が提供されています。
→プッシュ型による情報入手
ホームページの参照は、自分から見に行くといった行動が必要です。
そのため情報入手のタイミングが遅くなるなどが起こりがちです。
それを回避するために提供元から情報が送られてくるプッシュ型での情報入手が有効です。
主なものとしては以下があります。
・JPCERT/CC(RSS):
https://www.jpcert.or.jp/rss/
・JPCERT/CC(メーリングリスト):
https://www.jpcert.or.jp/announce.html
・JVNJS/RSS:
https://jvn.jp/rss/index.html
・JVN情報収集ツール:
https://jvndb.jvn.jp/apis/myjvn/index.html
ここで「RSS」はウェブサイトの情報を特定のフォーマットで送信する方法で、RSSリーダーというツールを使って情報を取得します。
RSSリーダーはブラウザの拡張機能としても利用可能です。
また、JVN情報収集ツールを使用すれば、特定の製品に関連する情報をフィルタリングして効率的に収集することができます。
→ 入手した情報の見方
脆弱性に関する情報は日々更新されています。
入手した情報を理解し、自社にとって必要な情報や影響度、対策方法を適切に判断することが重要です。
この判断には脆弱性情報の以下の要素を確認します。
・CVSS(脆弱性の深刻度)
脆弱性の深刻度の評価です。
深刻度は0~10.0の数値で表され、値が大きいほど深刻な脆弱性となります。
・CWE(脆弱性の種類)
脆弱性の種類を識別するための識別子です。
この識別子でどのような脆弱性かが分かり、どのような対策をとればいいかが分かります。
・CVE(一つ一つの脆弱性を識別するための識別子)
発見された脆弱性に対して、非営利団体のMITRE社が割り当てている識別子です。
世界で80以上の脆弱性情報サイトが採用 しており、この識別子をもとに脆弱性の詳細な情報を入手することが可能となります。
以上、最新のサイバーセキュリティ情報の入手について説明しました。
すべての脆弱性が自社システムに影響するわけではありません。
製品のバージョンや使用方法によって異なります。
脆弱性への対応は利用しているシステムへの影響が大きい場合もあるため、影響範囲や対策内容を正しく判断することが重要です。
普段からサイバーセキュリティの情報に接することで、脆弱性の情報に対して的確な判断力が身につきます。
最新のサイバーセキュリティ情報を入手し、適切なセキュリティ対策をとるための参考となれば幸いです。
無料メルマガ「WEB活用の教科書」購読申し込み
お名前とメールアドレスと入力して[無料メルマガを購読する]をクリックすると、中小企業~個人事業主がWEBを活用してビジネスを展開するために必要なノウハウをお届けする無料メルマガ【WEB活用の教科書】を毎週水曜日にお届けいたします。いつでも配信解除ができますので、お気軽にご購読ください。
