2021年2月1日、今年も「サイバーセキュリティ月間」の開始が、内閣官房長官より発表され、コロナ禍でのテレワーク推進やデジタル化の重要性などについてコメントがありました(一部抜粋)。
今や幅広い世代の方々がインターネットを利用され、新型コロナウイルス感染症対応においても、テレワークの推進など、サイバー空間の活用やデジタル化が一層重要になっています。
その一方で、このような変化を狙って、国民生活の安全・安心等を脅かす事例も引き続き生じています。こうした脅威に対応するためにも、デジタル化を進めるに当たって、私たちの日常の様々な場面において、サイバーセキュリティを確保することが不可欠であり、一人一人の意識・理解を更に深めることも重要になってきています。
本月間では、オンライン開催を中心に、様々な普及啓発イベントが予定されています。これを一つの機会として、改めて御自身の身の回りのサイバーセキュリティに意識を向け、取組を進めていただきたいと思います。
本年はデジタル庁の創設も予定されています。政府としては、社会のデジタル化の推進とともに、サイバーセキュリティの確保に万全を期すことで、国民の重要な情報資産を保護してまいりますので、今後とも、政府の取組に対する皆様の御理解と御協力をお願いいたします。
令和3年2月1日、サイバーセキュリティ戦略本部長
内閣官房長官 加藤 勝信
出所:令和3年2月1日 サイバーセキュリティ月間における加藤内閣官房長官メッセージ(内閣官房内閣広報室)
「サイバーセキュリティ月間」とは、私たち一人ひとりが、セキュリティについての関心を高めるために、政府が行っている普及啓発強化の活動のことです。例年2月1日から3月18日までが活動期間とされていて、この期間中にはサイバーセキュリティに関するイベントやプロモーションが非常に活発に実施されます。
本記事では、内閣サイバーセキュリティセンター(NISC)の取り組みをはじめ、各国の「サイバーセキュリティ月間」、期間中に見直しておきたいセキュリティ対策などについて紹介します。
2021年の「サイバーセキュリティ月間」
2021年の「サイバーセキュリティ月間」では、どのような取り組みが実施されているのか?主要なイベントをご紹介します。
トップメッセージ
本記事の冒頭で引用した、加藤内閣官房長官による私たちへのメッセージです。サイバーセキュリティ戦略本部長=内閣官房長官であること自体、初耳だった方もなかにはいらっしゃるのではないでしょうか。
NISCをはじめとした各政府機関や企業によるセキュリティシンポジウム、研修、セミナー等が複数開催されています。NRIセキュアでも、2月11日にオンラインでハッキングトーナメント「NRI Secure NetWars 2020」を開催し、数多くの皆さまにご参加いただきました。
コロナ禍ということで、オンラインイベントが多く開催されています。例年は参加しにくかった遠方のオンラインイベントなどに参加いただくのもいいですね。
ご参考:2021年サイバーセキュリティ月間の関連行事のご案内(NISC)
動画やパンフレットの公開などのプロモーション
毎年どんなエンタメとコラボするのか、密かに楽しみにしているタイアップ企画ですが、今年は『ラブライブ!サンシャイン!!』のキャラクターをテーマとしたポスター、バナー、短編アニメーション、セキュリティパンフレットなどが公開されました。
今すぐできる「9つのセキュリティの標語」
「9つのセキュリティの標語」が内閣府のWebサイトで公開されています。この9か条は、今回の「サイバーセキュリティ月間」でも「みんなで叶えるためのサイバーセキュリティパンフレット」として利用されています。
企業でもプライベートでも、ぜひ意識しておきたい簡単な9か条です。この9か条をベースにしながら、企業ではどのように対策をしていけばいいのかを考えてみたいと思います。
- パスワードは長くて複雑にしよう
- 二要素認証を導入しよう
- ウイルス対策ソフトを導入して、常に最新に(アップデート)しておこう
- ファイルやリンクはすぐには開かない
- フィッシングサイトに注意しよう
- 個人情報をむやみに発信しない
- 情報の真偽はきちんと確認しよう
- 相手を傷つけるような発信はしない
- 「心の隙」を作らないようにしよう
出所:みんなで叶えるためのサイバーセキュリティパンフレット(NISC)
1.パスワードは長くて複雑にしよう
短くて簡単なパスワードはもちろん、長くても単語の羅列では攻撃者に破られてしまう可能性が非常に高いです。なるべく長く複雑にして、複数サービスでの使回しも控えることをおすすめしています。
これからはパスフレーズ?パスワードの限界と次世代のユーザー認証
2.二要素認証を導入しよう
ID/Passwordなどの「知識情報」だけでなく、「所持情報」「生体情報」など、2つの要素で認証する方法です(2つ以上を組み合わせる場合は、多要素認証と言います)。異なる認証要素を組み合わせることがセキュリティを高めるポイントで、認証を2回行う意味の「二段階認証」とは違う点に留意が必要です。
多要素認証とは?パスワードだけでは守りきれないクラウドのセキュリティ
3.ウイルス対策ソフトを導入して、常に最新に(アップデート)しておこう
サイバー攻撃から企業を守るためには「脆弱性」の管理が欠かせません。脆弱性の管理のポイントは、脆弱性を「検知」して、その脆弱性に対してどのような対処するか「判断」をして、それに基づいて「対応」をすることです。
4.ファイルやリンクはすぐには開かない
ここ数年、ターゲットの特性に合わせた件名・内容・差出人等で送られてくる標的型攻撃メールなどによる被害が数多く報告されいます。少しでも不自然さを感じたら、添付ファイルやリンクを開くのはやめておきましょう。差出人の連絡先を知っている場合には、電話で確認をとるなどの慎重さも重要です。
5.フィッシングサイトに注意しよう
フィッシングサイトとは、口座やクレジットカード情報などを窃取するために作られた偽のウェブサイトのことです。本物そっくりに作られたフィッシングサイトを見抜くのは至難の業なので、メールやSMSに添付されたURLなどからアクセスするのではなく、ブラウザ検索から正規のサイトにアクセスすることをおすすめします。
クレジットカード情報を守りぬく|ECサイトに必要なセキュリティとは?
6.個人情報をむやみに発信しない
インターネット上に公開された情報を、後から完全に消し去ることはほとんど不可能です。自分では気を付けているつもりでも、攻撃者からすると情報の組み合わせにより個人情報を特定することは簡単かもしれません。写真や外出先での様子や日々の行動などを発信するときには特に注意が必要です。
NRIジャーナル「デジタル社会におけるID管理の可能性」
7.情報の真偽はきちんと確認しよう
誰もが情報を発信できるこの時代、何が正しいのか・正しくないのか見破ることは困難です。偽の情報を使って政府の混乱を狙ったり、捏造された情報を利用した犯罪なども増えています。転送されてきた情報を信じてしまうのではなく、一次情報を活用するなどの意識も大切です。
コンサルタントが覗いたセキュリティ最前線|RSAカンファレンスレポート
8.相手を傷つけるような発信はしない
相手を思いやることはもちろん大切ですが、いち社会人として不用意な発信などは行わないよう気を付けたいものです。自身の発信が、所属している企業や団体のレピュテーションリスクにも関わる可能性があります。各組織のソーシャルメディアガイドラインなどを把握することも重要です。
9.「心の隙」を作らないようにしよう
テレワークが普及し、オフィス以外の場所で仕事をする機会も増えたのではないでしょうか。カフェや図書館など、公共の場で作業するときは気づかないうちに、画面がのぞき見されていたり、機密情報を漏らしてしまうことのないような注意が必要です。
ヒューマンエラーによる情報漏えいを防ぐ!行動経済学をセキュリティへ応用
さいごに
日本では、毎年2月~3月にかけて行われる「サイバーセキュリティ月間」ですが、毎年10月にCyber Security Awareness Monthを掲げて取り組んでいる国々も多くあります。
特にEU諸国などでは「#ThinkB4Uclick(クリックする前に考えよう)」などのスローガンとともに、The European Cybersecurity Monthとして、セキュリティに関するプロモーションを数ヵ国合同で実施しています。オフィス内にサイバーセキュリティにおける注意事項のポスターが貼りだされたり、期間中に社内研修を実施する企業もあります。