他人には聞けないICTの“いま”(第15回)

すぐにしないと命取り!?事例で見るセキュリティ対策

posted by 廉 宗淳

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

 我が社はけっして大きい会社ではないし、サイバー攻撃を受けるはずがなく、漏えいが大きな問題につながるような機密情報を扱っていない…、このように考えている経営者は少なくありません。しかし油断は禁物です。IPAが発表する「情報セキュリティ事象被害状況調査」には、実際に起きてしまった情報漏えいの事例がまとめられていて、中小企業でもウイルス感染で約10%、サイバー攻撃では約3%が被害を受け、余計な対応や出費を強いられたのです。

 しかし、中小規模の企業ではなかなかセキュリティ対策を完璧に近付けるのは、難しいもの。今回は、事例を見ながら、会社のリソース不足を補う方法を考えてみましょう。

中小企業で増えるサイバーセキュリティのリスク

 教育機関、官公庁、大企業で発生した情報漏えい事件は、しばしばテレビのニュースと新聞を騒がせます。反面、中小企業でサイバー事故が起きた場合を見聞きした経験はあまりないと思います。だからといって中小規模の事業者で漏えい事件が発生していないわけではありません。

 IPAによれば、従業員が300名を超える企業のサイバー攻撃遭遇率は23.4%、300人以下の企業では14.0%です。この数字はあくまで氷山の一角であり、しかもセキュリティが不十分な中小規模の企業では、攻撃を受けたことや内部から誤って情報を漏らしていることに、気付かないままでいる企業も多いと考えられています。狙われるのは大企業だから大丈夫とたかをくくるのは早計なのです。

情報漏えい事件ケーススタディ その1「ウェブサイト改ざん」

 それでは実際に起きてしまった事件をみていきます。第一は、ウェブサイトが勝手に改ざんされてしまう、近年増加傾向にあるケースです。

 —-ある企業で、自社のウェブサイトの運営を、外部の企業に委託していたところ、その運営会社のサーバが脆弱性を突かれて不正アクセスされ、ウェブサイトが改ざんされた。悪いことに、情報システム部門の管理外の事業部が独自に契約していた委託先であったため、事業部内にセキュリティ知識をもつスタッフがおらず、適切な対処がなされなかった。

 このような被害は大企業だからと思われがちですが、300人未満の企業でもサイバー攻撃により業務サーバの機能低下や閲覧者がウイルスに感染する被害が出ています。セキュリティ担当者が管理していれば、防げていたかもしれませんが、一口にセキュリティといっても、インフラ系、ウェブ系で異なる知識が必要になります。インフラ系の知識・経験はあったが、ウェブ系の知識・経験が不十分で、結局は対処に苦慮した事例もあります。往々にしてウェブ制作担当者はサイト構築の知識はあっても、セキュリティには疎いもの。しかしながら、セキュリティ対策に人員を割いたり、社員を育てたりするのは、多くの手間と経費がかかります。たとえ情報システム部門を設けていない中小企業でも、ウェブサイトの改ざんはポピュラーといわれる手口ですので、セキュリティを担っている社員であれば、注意したいところです。

情報漏えい事件ケーススタディ その2「パスワードリスト攻撃」

 パスワードリスト攻撃とは、攻撃者が、あるインターネットサービスのIDとパスワードのリストを入手し、そのIDとパスワードを使って、ほかのインターネットサービスにログインを試みる攻撃手法です。仮に利用者がIDとパスワードを使い回していると、攻撃者によるなりすましログイン、いわゆるアカウントの乗っ取りを許してしまうことになります。

 —-あるインターネットサービスの企業でパスワードリスト攻撃を受けた形跡が発見された。この時は大量のログインエラーが発生していたため、攻撃を検知することに成功した。ところが別の企業では、攻撃者が大量のログイン攻撃をするのではなく、通常ログインと同様に、 1 回で不正ログインをしていたケースがあった。被害を受けた企業のなかには、情報漏えいのほかに、ポイント還元などの金銭的な被害が発生したケースも見られた。

 パスワードリスト攻撃に備えるために自社でできる対策は、IDとパスワードをサービスごとに異なるものに設定することに尽きます。初歩的な対策ですが、意外ときちんとやれていない人が多いので、身に覚えがあるならば、すぐにでも変更してください。IDやパスワードの管理もICT担当者がきちんと把握している必要があります。

情報漏えい事件ケーススタディ その3「メモリ経由でのウイルス感染」

 ウイルスやマルウェアの感染は、USBメモリを介してパソコンに侵入する経路もあります。対処としては、社内指定以外のUSBを完全に禁止するなどの方法があげられます。しかし、取引先から資料を受領する場合や研究員が国内外の研究機関から資料を受領する場合などがあるため、なかなか徹底できないのが実情です。

 —-ある企業で、USB メモリ経由での大規模なウイルス感染が発覚、急速にウイルスが広がったために駆除が間に合わず、感染が拡大した。同社では外部のUSBを持ち込む場合、接続するパソコンをネットから遮断した状態にするよう社員教育がされていたが、有線ケーブルは抜いたものの、無線でネットにつながっており、それが感染拡大の原因となった。

 無線の接続を切り忘れていたのは、人為的なミスといえるでしょう。いくらセキュリティ意識を徹底したところで、人的ミスを100%防ぐことはできません。会社の端末を一括で管理するなどして、人がどうしても侵してしまうミスを補うようなシステム構築が必要といえます。

第三者の力を借りてセキュリティの事故を予防する

 以上、実際に起きてしまった事案を3つ紹介しました。原因は異なるもので、地道に社員のセキュリティ意識を向上させて、セキュリティシステムの強化に務めていくのが最も有効な対策です。セキュリティ対策は、効果が利益となる種の投資ではないため、経営者は二の足を踏みがちになります。しかし、多くの企業は自助努力を怠らず、できる範囲での対策を講じていることと思います。そして基本的にその方針は間違っていません。

 ただし社内ですべてのセキュリティ対策をまかなうことには、ひとつ大きな盲点が潜んでいます。それは自分(自社)のウィークポイントは自分では気付きにくい、あるいは気付いて改善しようとしても、改革の声を身内からあげるのは簡単ではないという点です。

 その盲点を解消するには第三者、つまりセキュリティのプロの力を借りるといいでしょう。プロならではの視点は、公平で厳しく、セキュリティホールの発見に役立ちます。問題があれば、社内のしがらみを抜きにズバズバと意見具申をしてくれます。

 定期的なセキュリティ診断や社内のセキュリティ見直し、それにセキュリティ管理サービスを業務とする会社が多く登場しています。事例1~3のすべてを網羅して対策をしてもらえるパッケージサービスも用意されていますので、ぜひとも利用しましょう。

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

連載記事一覧

廉 宗淳

廉 宗淳
【記事監修】

1962年ソウル市生まれ。イーコーポレーションドットジェーピー代表取締役社長。1997年にITコンサルティング会社、イーコーポレーションドットジェーピー(株)を設立、代表取締役に就任。青森市 情報政策調整監(CIO補佐官)、佐賀県 統括本部 情報課 情報企画監を歴任。主な著書に『電子政府のシナリオ』(時事通信社、2003年)、『行政改革に導く、電子政府・電子自治体への戦略』(時事通信社、2009年)など。

メルマガ登録


「人材不足」を働き方改革で乗り越える


教育機関向け特集


自治体向け特集

ページトップへ

close