近年、IT活用は企業経営と切っても切れない関係となっています。しかし、IT技術は便利な半面、セキュリティに十分注意しないと思わぬ代償を払う可能性があります。社内情報の窃取を狙った「サイバー攻撃」から身を守るためにも、情報セキュリティ対策は重要な課題となっています。
目次
あなたの企業も狙われている!
特定の企業・組織に対し、機密情報の窃取やシステムの破壊などを目的とした一連の攻撃を「標的型サイバー攻撃」と呼ぶ。ネットワークに侵入した遠隔操作ウイルスが外部の攻撃者の指令を受けながら、サーバーやパソコンにある機密情報を収集する。収集した情報を外部に送信するといった流れで情報が盗み出されます。
ウイルス感染源の主な原因としては、大きく分けて2つあります。
1つ目は、「アプリケーションの脆弱性(セキュリティホール)」が入り口となって、ウイルスに感染し、知らず知らずのうちに外部に大事な情報を持ち出されるというケースです。
2つ目は、「標的型攻撃メール」を介した社内ネットワークへの侵入です。最近事件報道が多くなっています。添付ファイルを開封させたり、本文のリンク先にアクセスするとウイルスに感染する手口となっています。
「標的型攻撃メール」が怖いのは、受信者に不審に思われないような偽装工作を幾重にも行い、攻撃を仕掛けてくる所です。そう簡単には偽メールと見破ることができないような巧妙な手口で不特定多数に送られます。
危険はすぐ近くに
標的型攻撃メールの存在を一躍世間に広めたのが、今年6月に発生した日本年金機構の個人情報流出事件です。約125万件の個人情報を外部に流出させてしまったという最悪の事態となりました。
「標的型攻撃メール」には、あの手この手の「だましのテクニック」が盛り込まれています。メールの「差出人」が実在する組織・人物を語ったものであったり、「件名」や「本文」についても実際の取引を装った、まるで不審さを感じさせないものだったりと、とにかく巧妙な偽装工作が施されています。これに日本年金機構の職員も完全にだまされました。
又、ある事例では、攻撃者は最初にセミナーについて問合せしたいと相談を持ちかけ、その了承を得た上で、ウイルス付きの質問書を送付していました。こうした手口を「やり取り型攻撃」と呼びます。「やり取り型攻撃」は、業務として問合せに対応せざるを得ない立場(窓口業務等)につけ込んだ手口であり、非常にタチが悪い手口です。
コンピュータウイルスから身を守るための対策
続いてコンピュータウイルス(以下、ウイルス)から身を守るための対策について触れたいと思います。ウイルスの定義は、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するものと定義されています。
自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
・潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて発病するまで症状を出さない機能
・発病機能
プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
ウイルス対策のポイント
身近にできるウイルス対策としては、以下の対策が挙げられます。
1.ワクチンソフト(ウイルス対策ソフト)の最新版を活用する。
ワクチンソフトを使用している場合は、ウイルス対策エンジン及びウイルス定義ファイルを最新にして、ウイルス検査を実施する。(一般的なワクチンソフトでは、ウイルス定義ファイルを自動的に更新する機能を搭載)
2.メール添付ファイルは、ウイルス検査を必ず実施する。
ウイルスは、電子メールの添付ファイルに仕掛けられている場合が多くなっています。差出人が見ず知らずの場合だけでなく、知人の場合でも詐称している場合がありますので、添付ファイルは必ずウイルス検査を実施しましょう。
3.セキュリティパッチを定期的にあてる。
オペレーティングシステム等には、脆弱性があり、ウイルスの感染源になりうる可能性があります。定期的に発信されるセキュリティパッチをあてることで、リスクを低減することが可能です。まずは、身近にできるウイルス対策から着手してみましょう!!
セキュリティ対策を実施するための第一歩は、現状の業務を洗い出して、どこにリスクが存在しているかを見える化する必要があります。業務改善を合わせて、セキュリティ対策を実施することでより統制が取れた仕組み作りが可能となります。この機会に業務の棚卸しと業務改善を実施し、企業の仕組み強化のためにセキュリティ対策を検討してみませんか?
