サイバー攻撃対策はWebセキュリティを意識する時に必ず必要となります。
サイバー攻撃の種類や手法は数多く、機械的なものから心理的なものまでさまざまであり、残念なことに日々進化しているのが現状です。
今回はサイバー攻撃から身を守るために必須の対策、またwebセキュリティに対する考え方についてお話します。
サイバー攻撃は法人・個人問わず、インターネットを利用する全ての人が影響を受ける可能性があります。
サイバー攻撃から身を守るためにどうするべきか。基本的な事柄を確認しておきましょう。
サイバー攻撃から身を守るにはまず、「知らないということ」を自覚しなくてはいけません。
理由としては、悪意のある第三者による攻撃はwebセキュリティを意識しないユーザー、またはwebサービスやシステムに対して多大な被害を与えているからです。
サイバー攻撃を受けると思っていない、また受けると思っていても自衛する手段や知識を持たない人こそ、最大のターゲットであると言えます。
サイバー攻撃から身を守るための対策は大きく分けて、個人と組織での2つになります。
そして、どちらも直接的な被害、間接的な被害、二次被害を受ける恐れがあり、気が付いた時には遅い場合が多いです。
個人、組織に分けて少し細かく説明します。
まず、サイバー攻撃を受ける可能性があるものを考えてみます。
パソコン・タブレット・スマートフォンなど、インターネットに繋がるデジタルデバイスが、悪意のある第三者からのサイバー攻撃の標的であり、情報を受け取れてしまう出口になっていることに気が付きます。
その他、サイバー攻撃はインターネットに接続されているサーバーやデバイスを乗っ取ったり、改ざんしたり、クレジットカードやモバイルバンキング番号やパスワードを悪用することが考えられます。
また、個人の方が自分自身のデータ・個人情報を預けているサービスが、サイバー攻撃を受けた場合にも被害を受ける恐れがあります。
企業や公的な機関と違い、個人でwebセキュリティに対する、システム的な技術や知識、または防御策を練ることは非常に難しいです。
個人の方がサイバー攻撃から身を守る必須の対策については押さえておきたい項目は下記です。
1.知らない・わからない・身に覚えのないメールやメッセージは触らない
2.違法なダウンロードやファイル閲覧のできるwebサイトを訪問しない
3.個人情報を使用するサービスを増やし過ぎない
4.メールアドレスやパスワードを一つに絞らない
個人の方がサイバー攻撃への対策をする時、スクリプトやウィルスなどプログラムによる物理的な被害、または表示されている情報により「自分から情報や金銭を提供してしまう」心理的な被害があります。
スクリプトやウィルス、プログラムは「ダウンロードされて実行されること」で被害が起こる仕組みです。
悪意のあるプログラムが手元のデバイスで実行され、インターネットを介して、データを盗まれたり、あるいは盗聴、スクリーンショットの撮影による監視など、知らない方が見れば聞くのも恐ろしいようなことが実際に起こり得るのです。
見覚えのないメールアドレスやタイトルのものを開かないことです。もし、開いてしまったとしても、記載されているURLや添付ファイルは絶対に触らないようにしましょう。
悪意のあるプログラムはwebページに仕込んである場合やメールアドレスに添付されたり、エクセルやワードなど、普段使いそうなファイル形式で開きたくなるような、誤って開いてしまう可能性のあるものに潜んでいます。
物理的なサイバー攻撃による被害への対策として、不用意に怪しいページ、特に昨今、急増している違法ダウンロードやファイル閲覧のできるページを利用しないこと。
物理的なサイバー攻撃の多くはユーザー自身が知らずに、意識せずに自分自身で悪意のあるプログラムやウィルスを受け取って実行しているということを忘れないようにするのが必須の対策となります。
モバイルバンキングやクレジットカードサービスからメールが来て、IDとパスワードを送ってください。または次のURLより再入力して下さいと表示された場合、「怪しい」と思うよりも「使えなくなったら困る」という心理が働きます。
実際にはモバイルバンキングやクレジットカードサービスからIDやパスワードを聞き返すようなことはありませんが、「本人なら本人の正しい情報を持っている」ということに対してサイバー攻撃を受けてしまう形になるのです。
悪意のある第三者からすれば、本人から提供された正しい情報を利用すれば、確実に何らかの金銭を得ることができますし、しかもインターネットを介しているので、いつでも、どこでも個人ユーザーをサイバー攻撃できるのです。
その上、システム化、自動化されているものも多く、たくさんのユーザーが詐欺にあったり騙されたりしてしまうのが現状です。
心理的なサイバー攻撃による被害への対策として、モバイルバンキングやクレジットカード会社からのメールなど、直接金銭に関わるサービスからの連絡があった際、慌ててメールを開いて、指示通りに行動しないことが必須の対策の一つです。
詳しい方であれば送られてきたメールアドレスのドメインでのチェック、記載されているURLが正しいものか判断できるかもしれませんが、もし、自信がない場合は多少時間が掛かるとしても、直接サービスに電話連絡をして、メールが来たけれどこれは正しいものなのかと確認をすることが大切です。
心理的なサイバー攻撃による被害への対策は「自分で自分の情報を入力しなければならない状況」対して気を付けること、また、騙そうとする偽装メールやwebページは必ず焦らせようとします。
○○月○○日の○○時までに手続きをしないと解約されるだとか、既に悪用されている金額被害に対して保証がおりないですとか、落ち着いて見れば嘘だとわかるような手段で、不安を煽り判断力を失わせようとするからです。
個人情報を使用するサービスを増やし過ぎないというのは、サービスがサイバー攻撃を受けた時に個人情報の漏洩や流出する可能性があるというリスクを減らすという意味合いです。
悪意のある第三者は、SNSのアカウントへのメッセージやメールアドレスだけで個人ユーザーに対して言葉巧みに攻撃してきます。
添付ファイルやURLのない文章だとしても、全ての言葉を信じすぎないようにすることも大切です。
サイバー攻撃を受けたサービスを利用していた場合、個人情報の漏洩や流出が起きた時に他のサービスで同じメールアドレスとパスワードを悪用されてしまう恐れがあります。
メールアドレスがユーザーアカウントやIDになっているサービスも多く、直接金銭に関わるサービスでなくとも、SNSなどのアカウント乗っ取りによる成りすまし、成りすましによる友人、知人への二次被害などが考えられるからです。
可能であればメールアドレスを新規に作成し、利用しなくなったら削除することも知識として覚えておいて損はありません。
基本的には個人と同じで、物理的なサイバー攻撃への対策と心理的なサイバー攻撃の対策となります。
個人との違いは取り扱っているデータの量と携わっている人間の数です。
個人の持つ情報が本人も含めて家族や知人の連絡先、名前、住所があるとして、企業はその何倍、何十倍、何百倍ものデータを保有することになります。
またサービスに携わる人間が増えれば増えるほど、心理的なサイバー攻撃による被害を受けやすくなります。
例えば、
・ 一人のスタッフが安易に仕事中に違法ダウンロードサイトにアクセスした。
・ 取引先からのメールだと勘違いして添付ファイルを開いたり、URLにアクセスして情報を入力した。
・ 自宅から持ち込んだUSBメモリに悪意のあるプログラムがあるのを知らないまま、組織内のパソコンに接続した。
もし、上記のようなことが起こった場合、悪意のある第三者に個人とは比べ物にならない量のデータ、情報資源が奪われてしまうことになります。
最初に考えるべきなのはヒューマンエラーを無くすことです。
サイバー攻撃のほとんどは偽装されており、ごく普通の何の害もないようなメールだったり、開かなくてはならないようなURL、資料として必要そうな添付ファイル名、丁寧な文言のメッセージが送られてくるものばかりです。
また、組織内のネットワークから外部のwebページやwebアプリケーションに対するアクセスも、仕事上全てを遮断することも難しいですから、個々にwebセキュリティに対する意識を高めることが必要になります。
組織内のwebセキュリティに対する意識を高めるとともに、システム的にもサイバー攻撃への対策を万全にする必要があります。
webセキュリティ管理者やチームを作ることで、物理的なサイバー攻撃への対策となります。
組織に携わる全員がwebセキュリティの意識を持つことで、心理的なサイバー攻撃による対策となり、webセキュリティを意識したシステム、サービス運営をすることで物理的なサイバー攻撃による対策となります。
組織内の機密やセキュリティを高めたいからこそ、セキュリティ対策を講じ続ける必要がある場合もありますが、組織内だけでwebセキュリティを高めるには限界があります。
第三者の立場からのセキュリティチェック、またはシステムを構築する際に外部委託する場合にも、将来的に拡張・アップデートする時にセキュリティを高めやすいように配慮することも忘れないようにしましょう。
また、個人がサイバー攻撃から身を守る必須の対策も参照して頂き、組織に携わる人のプライベートの面でも被害に遭わないように指導、指示しておくことも大切です。
サイバー攻撃から身を守る必須の対策としていくつかお話しました。
特に重要な部分として、物理的にシステムなどを攻撃するサイバー攻撃と、心理的にヒューマンエラーや不安や心配な気持ちを悪用するサイバー攻撃の両面から身を守ることが挙げられます。
どんなにシステム面でwebセキュリティに優れていても、携わる人のセキュリティ意識が無ければ意味がありませんし、逆に携わる人間のセキュリティ意識がしっかりとしていても、システムに脆弱性があり、サイバー攻撃を受けてしまっては意味がなくなってしまいます。
大切なのはサイバー攻撃に対する意識を、システムなどに機械的に知らないところで行われるものだけではなく、一個人・エンドユーザーや、サービスに携わる人間が、自ら誤って情報を提供してしまったり、悪意のあるプログラムやウィルスをダウンロードしてしまうことがあると理解することです。
また個人や組織問わず、普段から自衛のために、今、どのようなサイバー攻撃が起きているのか、少しずつでも意識することが大切です。
サイバー攻撃から身を守る対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。
WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/4/18 執筆、2019/12/2修正・加筆)
この記事と一緒に読まれています
2020.01.30
セキュリティ対策
2020.01.31
セキュリティ対策
2020.03.07
用語集
2020.02.14
セキュリティ対策
2020.02.19
セキュリティ対策