2017.3.1 (Wed)

多発するサイバー攻撃から身を守る(第13回)

5社に1社がサイバー攻撃に遭遇、正しい防ぎ方とは

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

 ウェブサイトが悪意ある第三者などに攻撃され、通常どおりのサービスが提供できなくなることを「DoS(ドス)攻撃」といいます。

 DoS攻撃を受けると、企業のウェブサイトを訪れた人にいつものページを見せることができなくなります。つまり、物販を行っていれば売上減に直結します。不祥事などを起こし、一時ページを閉鎖しているのではなど、あらぬ疑いをかけられることもあります。

 標的は大企業や大手サイトだけと考えられがちですが、中小規模のウェブサイトでも攻撃を受ける例もあります。対応が遅れると、取り返しのつかない状況になってしまう可能性もあります。

ウェブサイトが被害者から加害者になる!?

 DoS攻撃で怖いのが、攻撃を受けたウェブサイトが、閲覧者に被害を与える「加害者」となる点です。

 たとえば、悪意のある第三者よりウェブページが改ざんされた場合、ウェブページを閲覧したユーザーに、悪意のあるソフトウェア「マルウェア」が侵入されてしまうケースもあり得ます。これは、ウェブサイトを閲覧するだけでユーザーのパソコンが感染する「ドライブ・バイ・ダウンロード」といわれる手法です。ドライブ・バイ・ダウンロードは、ブラウザなどの脆弱性につけ込みマルウェアを侵入させます。

 つまり、企業のウェブサイトが、サイトを見てくれた顧客の情報や財産を盗み取る「共犯サイト」になっているのです。

 ウェブサイトが改ざんされ被害を出してしまった場合、セキュリティ対策を怠っていたとして、企業が管理責任が問われることもあります。IPA(独立行政法人情報処理推進機構)が公開した「2014年度情報セキュリティ事象被害状況調査」報告書(※1)によると、2014年のサイバー攻撃遭遇率は19.3%で、実に約5社に1社がなんらかの攻撃を受けているといいます。油断はできません。

ウェブサイトを守ることは自社と顧客を守ること

 このような被害を防ぐため、ウェブ担当者はセキュリティに対して、常に敏感である必要があります。IPAではウェブサイトの改ざんを防ぐため、「上流工程(要件定義・設計)から下流工程(実装・テスト)までの各工程で脆弱性対策をする必要がある」としています。

といっても、これらを厳密に行うことは一般の企業では難しいことでしょう。費用の面はもちろん、常にこのための人員を確保しておくのもたいへんです。

そのようなときに利用したいのが、ウェブサイトが安全かどうかを診断するセキュリティサービスです。診断は、サイトが改ざんされていないかの検出はもちろん、今後改ざんされる恐れがあるかどうか、脆弱性のアドバイスも行うものもあります。このほかにも、危険度の高い事象が直接メールなどで逐一通知され、セキュリティ診断サイトを確認することで危険度の高いページが一目瞭然でわかるという機能を備えているものもあります。企業の信用と顧客の財産を守るため、ぜひとも利用したいサービスです。

サイバー攻撃対策はセキュリティのプロに

 もし、不幸にして攻撃や改ざんを受けた場合、素人が処置を行うことは厳禁です。たとえ社内に情報システム担当がいたとしても、サイバー攻撃はシステム担当にとっても日常のことではないので、正しく処理することができず、かえって被害を増大させてしまう可能性もあります。セキュリティ診断の専門家に、すぐに相談しましょう。

 従業員一人ひとりがセキュリティに対する意識を持つのは大切ですが、ことサイバー攻撃に関しては、専門家に任せるのがいちばんです。サイバー攻撃が疑われる場合は、ウェブサイトへの不審なアクセスを監視するだけでなく、問題が発生すれば即座に対応をとるための体制を組んでおく必要があります。ときにはインターネット全体の動きとともに解析する必要も出てきます。このような複雑な分析と処置は、大企業であってもなかなかできることではありません。その道のプロだからこそできることもあるのです。

 税金の問題は税理士や会計士、法律の相談は司法書士や弁護士に相談するのと同じで、ネットセキュリティに関する相談は、ネットの専門家に任せるのがいちばんなのです。
 
※1
https://www.ipa.go.jp/files/000043418.pdf

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

メルマガ登録


「人材不足」を働き方改革で乗り越える


教育機関向け特集


自治体向け特集

ページトップへ