CIAJ(一般社団法人 情報通信ネットワーク産業協会)通信ネットワーク機器セキュリティ委員会では、昨今のインターネットの普及、IoT社会へのシフトに伴い、通信ネットワーク機器のセキュリティ対策機能の取り扱いに関して、機器のユーザーに適切な設定/運用を実施頂くため「通信ネットワーク機器セキュリティ・ユーザーガイドラインVer.1.0」を策定しました。
今回のVer. 1.0では、ID・パスワード管理不足による機器への攻撃や、IP電話の不正利用による多額の国際電話料請求、ルーターに対する乗っ取り等不正アクセス、FAXの誤送信による情報漏洩などについての対策を解説しています。
URL:https://www.ciaj.or.jp/common_issue/technical/guidelines_v1.html
繋がることによる利便性の向上から、インターネットは急速に普及し、IoT 社会へのシフトも加速しています。その結果、従来は通信ネットワーク機器を扱う必要のなかったユーザーが、当該機器の設定/運用を行う状況に直面し、特に、セキュリティ対策に必要な対応の不備によるサイバー攻撃の被害が顕在化してきています。
こうした状況の中、CIAJは、インターネット、IoT を構成する通信ネットワーク機器提供者の業界団体として、適切なセキュリティ対策機能の提供を考察していくと同時に、当該機器ユーザーを対象に、通信ネットワーク機器のセキュリティ対策機能の取り扱いに関して、その必要性をご理解いただき、適切な設定/運用を実施頂くため、本ガイドラインを策定しました。
本ガイドラインでは、第1部で、通信ネットワーク機器共通の事項について、第2 部以降で、機器個別の事項について説明します。加えて、接続される機器の種類やその個数(接続数)など利用環境が日々刻々と変化するのもIoTシステムならではの特徴です。よって、これらの状況を踏まえた新たな品質確保の視点が必要です。
第1 部では、ほとんどの通信ネットワーク機器の設定/運用において必要となるパスワードの管理、ファームウェアの最新化及びログ管理の3 項目について、図を交えて必要性(考え方)を解説しています。
記載例
図1 パスワードの管理
攻撃者からの悪用を防ぐため、通信機器の利用者はID・パスワード認証機能の運用管理について、注意する必要があります。
- ①機器の利用開始時に、機器のデフォルトパスワードを変更する。
- ②容易に推測できるパスワードは避け、アルファベット数字記号等を含む適切な長さのパスワードを機器ごとに設定する。
- ③他機器・システムと同じID・パスワードは利用しない。
- ④設定したパスワードを適切に管理し、他人に教えたり、他人の目に触れる場所にメモ等で残さない。
記載例
図2 PBXの乗っ取り事例1
⇒予防策
悪意ある第三者からPBXに着信した際に、PBXにてID/パスワードを設定する認証機能を導入することにより、第三者からの不正利用を予防できます。
尚、第2 部以降は、時代の変化に伴い、機器の追加や内容を改版して行くことを想定しています。
本ガイドラインを活用することで、ユーザーが通信ネットワーク機器を使う上で考慮すべきセキュリティ対策を理解でき、これらの機器に起因したセキュリティインシデントがなくなることを期待しています
本リリース内容に関する問い合わせ先
技術推進部
TEL:03-5403-9357 FAX:03-5403-9360
広報に関する問い合わせ先
広報部
TEL:03-5403-9351 FAX:03-5403-9360