情報セキュリティは常に脅威にさらされている

インターネットビジネスが私たちの暮らしの中に浸透している現代において、それを狙ったサイバー攻撃もどんどん巧妙化し増え続けています。いったん情報が漏洩すると、企業は信用を失うばかりか多額の費用を費やさなければならず、事業を継続していけるかどうかも危ぶまれます。ここでは、情報セキュリティの脅威や対策をまとめてみました。

サイバー攻撃が世界を震撼させています。ウクライナでは、平成27年12月に複数の電力会社がマルウェア感染をきっかけに、供給地域の140万人に影響を与える停電が3時間以上発生しました。攻撃を受けた一つの事業者は、30もの変電所が停電し、8万人以上に影響を及ぼしたと発表されています。しかし、サイバー攻撃の対象となるのは、重要インフラ事業者の大企業だけではありません。大企業を狙うためにその下請け会社が踏み台になったり、機密情報を摂取するために関連企業が狙われたりします。今や、誰もがサイバー攻撃のターゲットになる時代なのです。

インターネットが普及した現代社会において、パソコンだけでなくWebカメラ・コピー複合機・エアコン・自動車など、さまざまな物がインターネットに繋がっており、それらに対するサイバー攻撃が懸念されます。自動車が遠隔操作される可能性も指摘されており、直接生命を脅かす危険性をはらんでいます。サイバー攻撃は巧妙さや悪質さが増し、2015年時点で約4億3100万件の新しいマルウェアが発見されています。企業においても本格的な対策が急務となっています。ただ、企業の多くが日々進化するサイバー攻撃に悩んでいるのが現状です。

サイバー攻撃の中でも特に怖いのが、標的型サイバー攻撃です。実際に企業を攻撃するときの手口は、以下のようになっています。1つ目の手口は、メールの添付ファイルを使うケースです。関係者を装ったり相手を信用させる内容のメールに、ウイルスを仕込んだ添付ファイルを付けてターゲットの企業に送ります。ワードやpdf・ZIPなどがよく使われます。企業の人間がそのメールを信用して添付ファイルを開いてしまうと、パソコンが乗っ取られてしまいます。しかも、開いた本人は全く気づいていません。これが標的型攻撃メールの怖いところです。企業に知られることなく、犯罪者は機密情報を見放題の状態です。

2つ目の手口は、Webの攻撃です。興味を引かせる内容や文章でウイルスが仕込まれたサイトのURLをクリックさせ、ウイルスに感染させます。ウイルスに感染したパソコンは、犯人が自由に操ることができます。遠隔操作で企業の機密情報を抜き取ったり、データの文章や数字を書き換えても気づかれることはありません。これらの情報をライバル企業に売ることもできます。また、パソコンのカメラを遠隔操作すれば、会議の内容やホワイトボードに書き込まれた文字なども読み取ることができます。

3つ目の手口は、プログラムを実行させてウイルス感染させるケースです。その他にも、USBメモリなどの記録メディアからも感染させることが可能です。

攻撃を受ける企業側にも問題点はあります。ウイルスを甘く見ていると、犯罪者からつけ込まれることになります。例えば、ワードやAdobe Readerなどのソフトウエアですが、セキュリティの脆弱性を放置したままにしておいたり、ウイルス対策ソフトを最新の状態にしていない・不用意にプログラムを疑いもなく実行するなどがあります。なんの対策もせずにインターネットを使えば、必ずウイルスの脅威にさらされます。対策として、以下のことが挙げられます。まず、常にパソコンのソフトウエアを最新の状態にすることです。よくパソコンの画面上に｢アップデートして下さい｣や｢更新して下さい｣という文字が出てきます。これがウイルスと大いに関係あります。

ソフトウエアも完璧ではないので、開発者は常に修正を加えて脆弱性を補い最新の状態にしています。アプリケーションが最新の状態かどうかは、MyJVNバージョンチェッカなどで調べることができます。次に、ウイルス対策ソフトを導入し、常に最新の情報にアップデートしておくことです。犯罪者は次々に新しいウイルスを作りだしています。それに対抗するために対策ソフトも改良されています。この繰り返しなので、常に最新の情報でないと役に立ちません。最後は、プログラムの実行やメールに添付されたファイルを確認することです。製造元がはっきりしない・入手元が怪しいなどの信頼の置けないプログラムの実行は要注意です。

また、メールの添付ファイルですが、アイコン偽装した実行形式ファイルやファイル名を偽装した実行形式ファイル・細工されたPdf、ZIP、ワードなどに注意が必要です。

ウイルス対策ソフトの導入や更新は、サイバー攻撃から情報を守るために非常に重要ですが、それだけでは進化を続ける犯罪者の攻撃を防ぐことはできません。まずは、実際にサイバー攻撃が始まる初期潜入段階で防ぐことが大切です。ウイルスが仕込まれたメールが送られてくるので開かなければよいのですが、巧妙に偽装していてなかなか見分けにくいのが現実です。なぜなら、攻撃者は製品の問い合わせや偽りの注文書・就職に関する問い合わせ・マスコミの取材依頼など、企業が興味を持つようなタイトルやファイル名を使用するからです。

それを、社員のだれか1人でも開いてしまうと、ウイルスに感染してサイバー攻撃を受けます。気づかないうちに、しかも長期間にわたって情報が漏れることもあるので、企業にとってはほんとうに脅威です。標的型サイバー攻撃に対抗していくためには、まず日常のリスク管理が大切です。事故が発生しないようにすること・万が一発生してしまったら被害を最小限に抑えること・事故の兆候が経営者に上がってくるように監視体制を敷いておく必要があります。セキュリティ対策を怠ったために損失を出せば、経営者はユーザーに責任を果たすことはできません。つまり、経営者自身の関与が不可欠なのです。

経営者は、サイバー攻撃により被るリスクを認識し、リーダーシップを取って対策をすすめる必要があります。経営者は、セキュリティ分野は専門的で、自分たちの出番は少ないと勘違いしてはいけません。むしろ、経営者抜きでは何も始められないのがセキュリティ対策なのです。経営者に求められる事故対応は、以下のようになっています。例えば、事故が発生すると経営者はいろいろな決断に迫られます。ユーザーや委託元・株主・警察や監督官庁への連絡、事実の公表の判断、被害を拡大させないためにネット接続やサービスを遮断する判断、調査や復旧を委託する専門会社との契約の判断などです。このため、日常的に明確な責任体制と情報集約体制の構築が求められているのです。

インターネットに関する指示は責任ある経営者が行い、すべての報告が担当者から経営者に集まる体制にしなければいけません。また、事故の兆候が把握できるように、いつでも経営者に情報が上がってくるようにします。その他にも、実情に合った社内ルールの点検と見直しや、運用のための人材配置も考えます。仮に事故が発生してしまったら、対応はできるだけ速いほうがよいので、サイバー攻撃に関する対策は社員が一人一人熟知するように徹底することが求められています。

サイバー攻撃は、経営規模に関わらず、さまざまな企業で起こりうる可能性があります。攻撃者はセキュリティの脆弱性など、隙を見て攻撃を仕掛けてくるので注意が必要です。対策として、ウイルスソフトの導入や更新など、侵入をブロックするためにパソコン環境を整えるのは基本ですが、経営者が中心となってセキュリティ対策を進め、社員一人一人の意識を高めることがとても重要になってきます。