ゼロからはじめるシステム開発

　こんにちは！
　ナビゲータのEVEです。

　「無尽蔵」から株式情報をダウンロードさせていただいているのですが、検索後表示される企業のレコードが複数表示されます。気づいたのは、今年の4月以降だったので、本件の対応も中小企業診断士一次試験終了後としていたのですが、本日対応しました。
　今回の障害、東証一部、二部が東証プライム、スタンダード、グロースなんて名称に変わったタイミングで発生したのかと想像していたのですが、違いました。東証一部、二部が東証プライム、スタンダードと変わったのはよく考えたら2022年4月4日とかなり昔のことですが、今回の障害に気づいたのつい最近ですもんね・・・。
　あてがはずれてからいろいろ調べはじめてから、3〜4時間かけて、やっと判明・・・。「無尽蔵」からの情報が増えたようです。以前は、東証の株式情報しかなかったのですが、それに加えて、名証、札証、福証といった市場からの情報が増えたため、トヨタとか大成建設とかいった、複数の市場に上場している企業が複数表示され、東証のみを想定していた検索条件ではうまく表示できていなかったということだったらしいです。
　障害原因を特定してから、すべて情報が画面上に表示できるようにシステムを改修しました・・・。やり終えてみて、途中でやめるべきでしたね・・・。株式情報関連テーブルのデータ構造を思い出すのに時間がかかりすぎました。他にやることが沢山あるのに・・・。なんか、いつもいっているような・・・始めたらなかなかやめられないのですよね？
　では、前振りが長くなってしまいましたが、今日は予定通り、セキュリティについてお話ししましょう！

[情報セキュリティ10大脅威 2024]
　当サイトでは、毎年、情報セキュリティ10大脅威について報告させていただいています。
　脅威とはいろいろあってそのすべてに対応しなければいけないのは確かなのですが、正直ってかなり難しいという印象を持っています。ただ、現在流行の攻撃を知り、対応しておけば、確率からみるとリスクを大きく軽減することができると私は考えています。そのために調べ、対応し、気を付けるということは非常に重要です。
　では、早速、例年通り、IPAより脅威についてランキング形式で個人、組織と分けて報告していただいているので、見ていきましょう！

【個人】
1位　インターネット上のサービスからの個人情報の窃取(前年8位)
2位　インターネット上のサービスへの不正ログイン(前年9位)
3位　クレジットカード情報の不正利用(前年4位)
4位　スマホ決済の不正利用(前年5位)
5位　偽警告によるインターネット詐欺(前年7位)
6位　ネット上の誹謗・中傷・デマ(前年2位)
7位　フィッシングによる個人情報等の詐取(前年1位)
8位　不正アプリによるスマートフォン利用者への被害(前年6位)
9位　メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年3位)
10位　ワンクリック請求等の不当請求による金銭被害(前年10位)

【組織】
1位　ランサムウェアによる被害(前年1位)
2位　サプライチェーンの弱点を悪用した攻撃(前年2位)
3位　内部不正による情報漏えい等の被害(前年4位)
4位　標的型攻撃による機密情報の窃取(前年3位)
5位　修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）(前年6位)
6位　不注意による情報漏えい等の被害(前年9位)
7位　脆弱性対策情報の公開に伴う悪用増加(前年8位)
8位　ビジネスメール詐欺による金銭被害(前年7位)
9位　テレワーク等のニューノーマルな働き方を狙った攻撃(前年5位)
10位　犯罪のビジネス化（アンダーグラウンドサービス）(前年10位)

　カッコ内は前年の順位なのですが、新たな攻撃はトップテンにははいってきていないようです。とりあえず、例年通りの脅威に気をつけ、対策をしておけば、脅威の確率を大きく下げることができそうです。ただ、気をつけなければならないのは、一度設定すれば問題ないとするのではなく、年単位で良いと思うのですが、有効に働いていることを確認した方がいいです。他のシステムを追加したせいで、以前の設定が無効になったなんて言うことは普通にあります。気をつけて下さい。

[情報処理安全確保支援士〜オンライン研修〜]
　毎年、情報処理安全確保支援士のオンライン講習を受講しているのですが、ランサムウェアについて多くの部分をさいています。組織の脅威として、2021年から4年連続1位となっているから当然でしょう！特にバックアップについては、1章まるまるとって、解説をしている力のいれよう。ランサムウェア対策とは大きく書いていないのですが、そうだろうなということは想像できます。

[ランサムウェア]
　RaaSって知っていますか？近頃、IaaS、PaaS、SaaSだけでなく、DaaS、CaaSなどクラウド関連で、●aaSという言葉が増えてきたので、その一種かなって思っていたら、違いました。RaaSとは、ランサムウェア提供サービスです。パッと聞いたところ、善良なサービスかと思いきや、犯罪の手段を提供するサービスだそうです。どんなサービスなのか、ChatGPTに聞いてみました。

だれでも手軽に、ランサムウェアの犯罪を実行できるそうです(笑)。4年連続1位というのは納得です。

[あとがき]
　いかがだったでしょうか？ランサムウェアの脅威を身近に感じていただけましたでしょうか？気を付けてもなかなか防ぐのは難しいのですが、最低限のセキュリティを施したうえで、バックアップを適切な形で取得し、問題があった場合、バックアップからすぐに業務を再開できるような体制を作っておくことが重要なようです。
　BCP、DRPなどを考えた業務を普段から心がける必要があるようです。なお、DaaS、CaaSなど、●aaSという言葉について、中小企業診断士の試験で出題されています。他にどんな言葉があるのかCopilotに調べてもらいましたので、試験の参考としてください。もしかして、IPAの試験でも出題されていますか？スキルを維持する意味でも、時間ができたら、IPAの試験を受験してみたいと思います。

　では、また！





■情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/10threats2024.html

■無尽蔵
https://mujinzou.com/

■情報セキュリティ10大脅威 2023　〜セキュリティ研究室〜
https://fanblogs.jp/bahamuteve/archive/402/0

■情報処理安全確保支援士　オンライン講習　7日目　[セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/41/0