近年、IT活用は企業経営と切っても切れない関係となっています。しかし、IT技術は便利な半面、セキュリティに十分注意しないと思わぬ代償を払う可能性があります。社内情報の窃取を狙った「サイバー攻撃」から身を守るためにも、情報セキュリティ対策は重要な課題となっています。
★あなたの企業も狙われている!
特定の企業・組織に対し、機密情報の窃取やシステムの破壊などを目的とした一連の攻撃を「標的型サイバー攻撃」と呼ぶ。ネットワークに侵入した遠隔操作ウイルスが外部の攻撃者の指令を受けながら、サーバーやパソコンにある機密情報を収集する。収集した情報を外部に送信するといった流れで情報が盗み出されます。
ウイルス感染源の主な原因としては、大きく分けて2つあります。
1つ目は、「アプリケーションの脆弱性(セキュリティホール)」が入り口となって、ウイルスに感染し、知らず知らずのうちに外部に大事な情報を持ち出されるというケースです。
2つ目は、「標的型攻撃メール」を介した社内ネットワークへの侵入です。最近事件報道が多くなっています。添付ファイルを開封させたり、本文のリンク先にアクセスするとウイルスに感染する手口となっています。「標的型攻撃メール」が怖いのは、受信者に不審に思われないような偽装工作を幾重にも行い、攻撃を仕掛けてくる所です。そう簡単には偽メールと見破ることができないような巧妙な手口で不特定多数に送られます。
★危険はすぐ近くに!
標的型攻撃メールの存在を一躍世間に広めたのが、今年6月に発生した日本年金機構の個人情報流出事件です。約125万件の個人情報を外部に流出させてしまったという最悪の事態となりました。「標的型攻撃メール」には、あの手この手の「だましのテクニック」が盛り込まれています。メールの「差出人」が実在する組織・人物を語ったものであったり、「件名」や「本文」についても実際の取引を装った、まるで不審さを感じさせないものだったりと、とにかく巧妙な偽装工作が施されています。これに日本年金機構の職員も完全にだまされました。
又、ある事例では、攻撃者は最初にセミナーについて問合せしたいと相談を持ちかけ、その了承を得た上で、ウイルス付きの質問書を送付していました。こうした手口を「やり取り型攻撃」と呼びます。「やり取り型攻撃」は、業務として問合せに対応せざるを得ない立場(窓口業務等)につけ込んだ手口であり、非常にタチが悪い手口です。
セキュリティ対策を実施するための第一歩は、現状の業務を洗い出して、どこにリスクが存在しているかを見える化する必要があります。業務改善を合わせて、セキュリティ対策を実施することでより統制が取れた仕組み作りが可能となります。
この機会に業務の棚卸しと業務改善を実施し、企業の仕組み強化のためにセキュリティ対策を検討してみませんか?
このブログを読んで少しでも興味のある方は、当社の“業務時間が半分に減る”業務改善10か条セミナーへ是非ご参加ください。
それでは今回はこの辺で。
