米国のサイバーセキュリティ啓発月間（2024年秋）について

2024/10/01からUSで「Secure Our World!」をテーマとしたサイバーセキュリティ啓発月間が始まります。

以下、この記事で内容を簡単に紹介します。資料はCISA: CYBERSECURITY AWARENESS MONTH 2024 Guide(PDF)をベースとしています。

画像は「サイバーセキュリティ啓発月間 2024 ツールキット」よりダウンロード。

実践的セキュリティスクール「セキュ塾」で、この記事の執筆者でもあり「OSINT実践ガイド」の著者でもある「面和毅」が主講師を務める「脅威インテリジェンス育成コース」の2024年11月2日より開講中！こちらの講座はいつからでも受講を開始できる講座になっておりますので、ぜひチェックしてみてください！

詳細はこちらから！

サイバーセキュリティ啓発月間について
2024年のテーマは「Secure Our World」
まとめ
参考
- 関連記事:

サイバーセキュリティ啓発月間について

　サイバーセキュリティ啓発月間（Cybersecurity Awareness Month）は2004年以降の米国政府の取り組みで、毎年10月をサイバーセキュリティ啓発月間と宣言し、官民協力してサイバーセキュリティの重要性についての意識を高めるための期間とするものです。2024年10月は、21回目のサイバーセキュリティ啓発月間となります。

　同様の取り組みとして日本でも「サイバーセキュリティ月間」という取り組みを行っています。これは2006年2月2日の「第1次情報セキュリティ基本計画」に伴い毎年2月2日を「情報セキュリティの日」に制定したのがきっかけで（2014年11月の「サイバーセキュリティ基本法」の成立に伴い「サイバーセキュリティ月間」に変更）、官民連携による情報セキュリティに関する普及啓発活動を実施しています。

2024年のテーマは「Secure Our World」

　2024年のサイバーセキュリティ月間のテーマは「Secure Our World」です。

　昨今ではスマホなどを使って買い物から役所の対応、ビジネスなどオンライン上で色々な行為を簡単にできる様になっています。反面、利便性にはリスクが伴なうもので、機密情報もオンライン上に増えており、⾃分⾃⾝や家族などの安全を保つために気をつけなくてはならないことがあります。

　この「Secure Our World」は、オンライン上に存在する脅威から⾃分⾃⾝や家族、ビジネスを保護する⽅法を、簡単に・誰もが理解できるように啓発していこうというものになります。

　特に「Secure Our World」では、オンラインでの安全を確保するために次の4つの⽅法が強調されています。

強力なパスワードとパスワードマネージャーを使用する
多要素認証（MFA）を有効にする
ソフトウェアを更新する
フィッシングを認識して報告する

実際、National Cybersecurity Allianceの「Oh Behave! The Annual Cybersecurity Attitudes and Behaviors Report 2023によると

84%の⼈がオンラインの安全性を優先事項とみなしている
すべてのアカウントで異なるパスワードを使用している人はわずか38%
「ソフトウェアアップデートが利用可能になったら必ずインストールする」人はわずか36%
フィッシングを見分ける能力に自信があると回答している人が69%

となっています。

画像はNational Cybersecurity Alliance: Oh Behave! The Annual Cybersecurity Attitudes and Behaviors Report 2023より転載

強力なパスワードとパスワードマネージャーを使用する

　強力なパスワードはランダムで十分長く、4種類(大文字、小文字、数字、記号) すべてを含むものになります。また、パスワードは各アカウントに対して一意なものにし、使い回しは避けるべきです。パスワードマネージャーを使用すると強力なパスワードを作成するのが簡単になります。

　CISAの「Use Strong Passwords」によると次の３つの簡単なヒントでパスワードが強化されるとしています。

長くする
- 少なくとも16文字以上。長ければ長いほど良い。
ランダムにする
- 大文字、数字、記号のランダムな文字列（例えばYuc8$RikA34%ZoPPao98tなど）を使用する
- あるいは数個の単語を並べてパスフレーズにする（例えばHorsePurpleHatRunBay）
ユニークにする
- アカウントごとに異なるパスワード/パスフレーズを使用する。例えば
  - 銀行: k8dfh8c@Pfv0gB2
  - SNS: e246gs%mFs#3tv6
  - メール: legaltinyfacilityfreehandprobableenamel

多要素認証（MFA）を有効にする

　オンラインアカウントを保護するためにMFAを有効にすると、ハッキングされる可能性が大幅に低くなります。MFAが提供される全てのサービスでは、MFAを有効にするべきです。

　CISAの「Protect Our World with MFA」では各アカウントまたはアプリごとに以下を行うことを推奨しています。

設定に行く
- 「アカウント設定」「設定とプライバシー」などの項目から設定します。
設定からMFAを探してオンにする
- 二要素認証、二段階認証などと表記されていることもあります。
確認する
- 各アカウントまたはアプリが提供するオプションから、使用するMFA方法を選択します。たとえば以下の様なものがあります。
  - テキストまたはメールで都度認証コードを受け取る。
  - 認証アプリ（Google Authenticator等）を使用する
  - 生体認証（顔認識や指紋認証）を使用する。

フィッシングを認識して報告する

　個人情報を要求する様なメッセージには注意してください。身元不明なサービスに機密情報や資格情報を共有しないでください。また、フィッシングは報告してメッセージを削除しましょう。

　CISA「Recognize and Report Phishing」では、安全を保つための3つの簡単なヒントが出されています。

フィッシングの特徴を認識する
- フィッシングの特徴を認識してください。例えば以下の様なものです。
  - 緊急性や感情を煽るような言葉。特に「すぐに応答しなければ・・」と被害が強調されるようなメッセージ
  - 個人情報や財務情報をリクエストしている
  - （信頼できない）短縮URLが多く使われている
  - amazan.comのようなミススペル
- 上記の中でもミススペルや変な言い回しなどは最近はAIにより向上しているため、それだけでは判断できなくなっています。
すぐに押さない
- リンクなどはクリックする前に、とにかく落ち着いてすぐに押さない様に心がけてください。
- 「スパムを報告」など、メールに含まれている通報機能でフィッシングを共有してください。これは貴方だけではなく他の人のためにもなります。
削除する
- 不審なメッセージは報告後に削除しましょう。

ソフトウェアを更新する

　ソフトウェアが最新であることを確認し、デバイスに最新のセキュリティパッチとアップデートが当たっていることを確認しましょう。自動更新が利用できない場合は、定期的に更新を確認してください。CISAの「Update Software」では、3つの簡単なステップでソフトウェアを最新の状態に保つ方法を紹介しています。

通知を見る
- スマホ等のデバイスには、通常アップデートの通知機能があります。これには、デバイスのOSやプログラム、アプリ等が含まれます。特にブラウザとウイルス対策ソフトウェアの場合は、すべてのアップデートを実施することが重要です。
できるだけ早くアップデートをインストールしてください
- ソフトウェアのアップデート、特に重要なアップデートについての通知があった場合は、できるだけ早くインストールする必要があります。サイバー攻撃犯は待ってくれません！
自動更新をオンにする
- 自動アップデートでは、アップデートが利用可能になるとすぐにアップデートが実施されます。簡単です！
- 自動更新機能をオンにするには、デバイスの設定（ソフトウェアやセキュリティの項目）を確認してください。必要に応じて、「自動更新」の設定を検索します。

まとめ

　他にもCISA は National Cybersecurity Alliance (NCA) と連携して「サイバーセキュリティ啓発月間 2024 ツールキット」を公開しています。ツールキットには、サイバーセキュリティの啓発活動に使えるマテリアルがたくさん用意されていますので、これらを使って皆様の会社でも社員向けにセキュリティの啓発活動をしてみると良いかと思います。

詳細はこちらから！