【理論と実践】情報資産を脅かす攻撃と、その対策

2023年6月30日

～病院職員が、安心して、仕事の生産性高く、充実して働ける未来の一助へ～

ご友人等へのメルマガ紹介はこちらから。
https://www.mag2.com/m/0001682907
ーーーーーーーーーーーーーーーーーーー
令和5年6月30日　病院経営の理論と実践　1874号

■情報資産を脅かす攻撃と、その対策

中神勇輝（なかがみゆうき）
ーーーーーーーーーーーーーーーーーーー

おはようございます。中神です。

〜今日のテーマ〜

本日の内容は、経営情報システム、過去問から学びのシェアです。
同友館の「過去問完全マスター」が参考図書です。

1. 【中小企業の情報セキュリティー対策ガイドライン】
2. 【クリックジャッキングと、その対策】
3. 【ソーシャルエンジニアリング】
4. 【情報漏洩被害をもたらす新しいタイプの攻撃への対応】

【中小企業の情報セキュリティー対策ガイドライン】

中小企業の経営者が認識すべき３原則と、
実行すべき７項目について確認してみましょう！

・経営者が認識すべき「3原則」

１）情報セキュリティ対策は経営者のリーダーシップで進める
２）委託先の情報セキュリティ対策まで考慮する
３）関係者とは常に情報セキュリティに関するコミュニケーションをとる

・実行すべき「重要７項目の取組」

１）情報セキュリティに関する「組織全体の対応方針」を定める
２）情報セキュリティ対策のための「予算や人材」などを確保する
３）必要と考えられる対策を検討させて「実行を指示」する
４）情報セキュリティ対策に関する「適宜の見直し」を指示する
５）「緊急時の対応や復旧」のための体制を整備する
６）委託や外部サービス利用の際にはセキュリティに関する「責任」を明確にする
７）情報セキュリティに関する「最新動向を収集」する

リーダーシップ、組織・人材・予算等の体制整備、情報収集など、多岐に渡ります。
それほど、重要な項目であることを実感しますね。

【クリックジャッキングと、その対策】

・そもそもクリックジャッキングとは何でしょうか。

一見正常に見えるWEBページに別サイトを攻撃するためのリンク(iframeのHTMLタグを悪用して作成）を埋め込み、
罠を仕掛けたウェブサイトにて、ユーザーにクリックさせます。

iframeとは、WEBページをに短い形の領域を設け、別のWEBページなど読み込んで表示することができます。
よって、iframeなど特定の「HTML」の要素をエスケープすることで、攻撃を防止することができます。

つまり、すべてのHTMLに対して、エスケープ処理を実行す必要はありませんね。

その他の言葉も確認しておきましょう。

・クロスサイト・リクエスト・フォージュリも、ユーザーに不正な攻撃をさせるよう誘導します。
iframeを利用して誘導することから、クリックジャッキングと同様に、特定の「HTML」をエスケープ処理をすることで対策を立てられます。

・クロスサイト・スクリプティングは、
ブラウザのcookieなどを不正に読み取るJavascriptの「タグ」などをユーザーが実行することで攻撃を成立させます。
HTMLでなく、タグですので、タグに対してエスケープ処理が必要です。

【ソーシャルエンジニアリング】

これは、不正に情報を入手する手法の1つです。

「非技術的」な方法で情報を不正に取得することです。

・シュレッダーの破片をつなぎ合わせる
・パソコンの操作画面を盗み見する
・ユーザになりすまして、管理者に電話して、パスワードを取得する

などは、ソーシャルエンジニアリングに該当します。

ちなみに、パスワードを総当たりで試すプログラムを実行して、不正アクセスをする手法は、
ブルートフォースアタックといって、ソーシャルエンジニアリングには該当しません。

【情報漏洩被害をもたらす新しいタイプの攻撃への対応】

Advanced Persistent Threat（APT）への対策として、出口対策も重要です。

・RAT（リモート・アクセス・トルージャン）（遠隔操作ウイルス）、
・RAT（リモート・アドミニストレーション・ツール）（遠隔操作）による内部プロキシ通信とは、
システムに侵入し、遠隔から操作する不正な操作の1つです。

これを検知・遮断することは、出口対策に該当します。

入り口対策に該当するのは、

・IDS
ネットワークやコンピューターに対する不正な侵入を検知するシステムです。

・バッチファイルの適用による脆弱性対策
侵入に対する対策です。

・ファイアウォールによるステルス機能の導入
同じく侵入されるリスクを低減させる対策です。

だいぶ身近な時代になってきました。他人事ではありませんね。

以上です。では、また明日(^-^)v

（当該内容は、私の所属する組織とは一切関係はなく、全ての文責は私個人に属します。）

テーマについて、ご要望あれば、コメントをどうぞ。

◇病院経営の見える化について公開講座（動画）の講師をする機会を頂きました。感謝(^_^)
https://hcmi-s.net/weblesson-hcm/jmp_consult_01/　　（講座）
https://healthcare-mgt.com/article/iryo/jmp_consulting01/　　（紹介）

◇過去の内容、記事はこちらから是非(^-^)
https://wakuwaku-kokoro.net/

◇試験勉強や本の学びをアウトプットしているYouTubeチャンネルは、こちらです(^-^)
https://youtube.com/channel/UC_PiglYG9qTBjlJ3jt3161A

この記事を書いたのは、こんな人。
ーーーーーーーーーーーーーーー
地方の中小病院に勤務する医事課畑出身の企画部門所属にする医療経営士2級。
名は、中神勇輝。2023年、医療経営士1級を受験予定。
（可能なら中小企業診断士も受験する予定。）
趣味は、ドラムと家庭菜園と筋トレ（HIIT最高！）と読書。

中小企業診断士,経営情報システム

Posted by nakagami yuuki