Emergency Services Sector Cybersecurity Best Practices | CISA

の意訳。これだけでも実施すべき内容。

多くのサイバーセキュリティインシデントは、いくつかのシンプルで低コストの保護対策で防げます。

サイバーセキュリティは、緊急サービス部門 (ESS) 組織にとって最も重要なセキュリティ考慮事項の 1 つです。ランサムウェア攻撃などの標的型インシデントから、セキュリティ更新プログラムの適切なインストールの失敗などの意図しない行為まで、サイバーセキュリティの不備は、深刻な運用上の問題や不必要な資金の支出を引き起こす可能性があります。

一般的なベストプラクティス

ESS組織では、コンピュータ支援ディスパッチシステム、無線システムへの通信バックアップ、データベースへの保存と接続など、さまざまな運用機能にネットワーク化されたコンピュータやスマートフォンを頻繁に使用しています。以下は、実装して計画とポリシーに含めることができる一般的な作業です。

  • 大文字、小文字、数字、特殊文字を組み合わせて強力なパスワードを作成します。単語や基本的なパターン(「12345」や「qwerty」など)は避け、アカウントごとに異なるパスワードを使用します。
  • デバイスの電源を入れたり、再起動したりするたびに、ユーザーのパスワードを入力する必要があることを確認します。(追記:パスワードである必要はありませんが、安全な認証手段–顔認証・指紋認証等–が必要です。)
  • (メーカーが設定した)デフォルトのパスワードを持つすべてのデバイスで変更します。
  • USBドライブ、CD / DVDドライブなどの自動実行がオフになっていることを確認して、ドライブをデバイスに挿入したり、デバイスの電源を入れたりするだけでプログラムが実行されないようにします。
  • デバイスが一定期間無人で自動的にスリープまたはシャットダウンするようにします。
  • ウイルス対策ソフトウェアがオンになっていて、すべてのデバイスで最新の状態に保たれていることを確認します。
  • すべてのデバイスでファイアウォールがオンになっていて、最新の状態に保たれていることを確認します。
  • アプリケーションの更新プログラムが利用可能になったら、必ずダウンロードしてインストールします。
  • すべてのデバイスでオペレーティングシステムが最新バージョンに更新されていることを確認します。
  • 管理者アカウントをプライマリ ユーザー アカウントとして使用しないでください。
  • 特に使用しない場合は、Wi-Fi、Bluetooth、および個人用ホットスポットがオフになっていることを確認してください。
  • パソコンやスマートフォンを処分する際は、寄付したり、単純に情報削除しての廃棄は行わないでください。削除後も情報を取得できる可能性のあるデータ回復ソフトウェアが存在します。情報は、ハードドライブを取り除くか、ハードドライブを完全に破壊するように設計された専用ソフトウェアによって削除されるまで、デバイス上に残ります。
  • BYOD(Bring Your Own Device)プログラムを実施している機関では、リスクを制限するためのセキュリティポリシーとプラクティスを確実に実装します。
  • 機関のデバイスの個人使用を制限します。具体的な脆弱性としては、ウェブサイトの閲覧、個人の電子メールへのアクセス、暗号化されていないアプリのダウンロードなどがあります。
  • 多要素認証を使用をします。次のうち少なくとも 2 つを持つ要素が必要です。
    • 知識要素 – パスワードなど、ユーザーが知っていること
    • 所有要素 – コンピューターが読み取ることができる ID カードなど、ユーザーが持っているもの
    • 固有要素 – 指紋認証など、あなた自身

ソーシャルネットワーキング(SNS)のベストプラクティス

ESSの組織や担当者は、個人的な使用だけでなく、日々の活動や緊急事態について一般の人々に知らせ、一般の人々からのフィードバックや情報を受け取る手段として、ソーシャルメディアをますます使用しています。ESSの組織や担当者が実施できるソーシャルメディアの実践には、次のようなものがあります。

  • 雇用主名、勤務地、セキュリティクリアランスなどの仕事関連の情報の投稿は避けてください。
  • 自宅の住所、電話番号、メールアドレス、マイナンバーなどの個人情報の投稿は避けてください。
  • 現在または将来の旅行計画を投稿すると、留守の日時を公開していることになります。
  • 家族/友人/同僚の個人情報の投稿を避け、あなたに関する個人情報の投稿を避けるように依頼してください。
  • 写真を投稿するときは注意してください。クローズアップの顔写真、場所、背景、写真のメタデータに特に注意してください。
  • プライバシーとセキュリティの設定に注意して、必要に応じて表示を制限してください。
  • 他の手段で、連絡先要求が実際に送信元と思われる人から送信されたことを確認します。
  • さまざまなソーシャルメディアサイト(アカウントを持っていない場合でも)で時々自分自身を検索して、個人情報や自分の名前の不正なアカウントなどのデータが表示されるかどうかを確認します。
  • ページに「いいね!」をしたり、連絡先を受け入れたりするときは注意してください。これで、ページの所有者または連絡先が、あなたの連絡先情報とプロフィールにアクセスできるようになります。
  • 写真やその他の情報は、誰もがアクセスできることに抵抗がない限り、投稿しないでください。
  • インターネットに投稿された情報は、アカウントやコンピューターから削除しても、永久に残ります。一部のサイトやアプリケーションでは、実際に投稿する前に削除した場合でも、入力内容が追跡されます。
  • アドオン(プラグイン、ゲーム、アプリケーションなど)は、ホストサイトではなく他のユーザーによって作成されることが多いため、注意が必要です。インストールすると、作成者 (および他のユーザー) がデータにアクセスできる場合があります。
  • SNSに投稿された情報は、内定の撤回や解雇につながり、民事・刑事訴訟に利用されています。

Wi-Fiのベストプラクティス

Wi-Fiはワイヤレスローカルエリアネットワーク(WLAN)であり、電波を使用してモバイルデバイスをインターネットなどのネットワークにワイヤレスで接続する方法として一般的に使用されます。公共のWi-Fiホットスポット(コーヒーショップ、図書館、空港など)は便利ですが、多くの場合、安全ではありません。Wi-Fi ネットワークに接続し、ウェブサイトやモバイルアプリから情報を送信すると、他のユーザーがアクセスする可能性があります。以下は、Wi-Fiネットワークの使用中に身を守るための役立つヒントです。

  • 暗号化は、インターネット経由で送信した情報をコードに「スクランブル」して、他の人がアクセスできないようにします。ワイヤレスネットワークを使用している場合、個人情報は、暗号化されたウェブサイトまたは安全なWi-Fiネットワークによって暗号化されている場合にのみ送信することをお勧めします。暗号化されたウェブサイトは、そのサイトとの間で送受信する情報のみを保護します。安全なワイヤレスネットワークは、そのネットワークを使用して送信するすべての情報を暗号化します。
  • ウェブサイトが暗号化されているかどうかを確認するには、ウェブアドレスの先頭にある「https」(「http」ではなく)を探します。(「s」は「secure」の略です。一部のウェブサイトでは、サインイン ページでのみ暗号化が使用されていますが、セッションの一部が暗号化されていない場合、アカウント全体が脆弱になる可能性があります。サインイン時だけでなく、アクセスするすべてのページで「https」を探します。
  • ウェブサイトとは異なり、モバイルアプリには「https」のような目に見えるインジケーターはありません。研究者は、多くのモバイルアプリが情報を適切に暗号化していないことを発見したため、セキュリティで保護されていないWi-Fiで特定の種類のモバイルアプリを使用することは悪い考えです。モバイルアプリを使用して、税金の申告、クレジット カードでのショッピング、銀行口座へのアクセスなど、機密性の高い取引を行う場合は、安全なワイヤレス ネットワークまたはスマートフォンのデータ ネットワーク(4G または 5G と呼ばれることが多い)を使用します。
  • 取引にセキュリティで保護されていないワイヤレスネットワークを使用する必要がある場合は、会社のモバイルアプリではなく、会社のモバイルウェブサイト(Webアドレスの先頭にある「https」を確認できます)を使用してください。
  • Wi-Fiホットスポットを使用する際に情報を保護するには、完全に暗号化されたサイトにのみ情報を送信し、個人情報や財務情報を必要とするモバイルアプリの使用は避けてください。

Bluetoothのベストプラクティス

Wi-Fiを補完するBluetoothは、非常に少ない電力で短距離でデータを送受信するために使用されるワイヤレステクノロジーです。Bluetoothは、スマートフォン、タブレット、ラップトップ、ヘッドセット、車両など、ESSで一般的に使用されるさまざまなデバイス間の検出と接続を簡素化します。Bluetoothの仕様では、最小範囲は10m に設定されていますが、条件によっては100m以上の範囲で動作できます。

Bluetoothをデバイスにセットアップして、既知の接続を持つ信頼できるユーザーを確立できます。その他の接続では、ユーザーが接続を許可する必要があります。また、Bluetoothは検出不可モードにして、他のBluetoothデバイスが検出する能力を制限したり、不要なときに完全にオフにしたりできます。

メールのベストプラクティス

電子メールは、さまざまなデータを送信するための簡単で信頼性の高いメカニズムです。デスクトップおよびノートPC、タブレット、およびスマートフォンはすべて電子メールにアクセスできますが、さまざまな脆弱性も忍び込む可能性があります。メールにアクセスするデバイスを保護する簡単な対策には、次のようなものがあります。

  • 「返信」と「全員に返信」と「転送」を使用するときは注意してください。これらはすべて異なり、感染した 1 台のコンピューターと複数の感染したコンピューターの違いになる可能性があります。
  • 迷惑メールはウイルス感染の一般的な方法であるため、注意してください。
  • 不審なメールは、知り合いや組織から送信されたように見えても、注意が必要です。何者かがメールアドレスを偽装したため、既知の送信元から送信されたように見せかけている可能性があります。
  • 迷惑メールや不審なメールを受信し、他の方法でそれが正当なものであることを確認できない場合は、開かずに削除してください。
  • スパムメールや嫌がらせメールには返信しないでください。
  • 添付ファイルを自動的にダウンロードするオプションをオフにします。
  • 日常的に使用するユーザー アカウントは、管理者アカウントとは別のユーザー アカウントをコンピュータに作成します。日常的なアカウントには、マルウェアの機能を制限するために、制限または制限された権限が必要です。
  • ウイルス対策ソフトウェアでスキャンするまで、添付ファイルを開かないでください。
  • ハイパーリンクの自動無効化をオンにします。これにより、不審なメール内のハイパーリンクが有効にならなくなります。

投稿者 shimakawa