ニュースレター

2014-12-16
Newsletter 2015年1月号 企業情報セキュリティーへの脅威
政府機関、民間企業をターゲットにしたサイバー攻撃の脅威が昨今益々猛威をふるっております。IT管理者の方だけでなく、日々大切な社内機密データをお取り扱いになる人事、労務の責任者の皆様におかれましても、こうしたサイバー攻撃の最新動向について把握頂き、内部統制のひとつの柱として、情報セキュリティー対策を据えていくことが大変重要です。サイバー攻撃とは、サイバー領域(コンピュータ、サーバー、ネットワーク、インターネットにより構築された空間)に対する攻撃であり、その中でも特に今日では“組織の機密情報やデータの窃取を目的としたプロの犯罪者による攻撃” と定義されます。このようなサイバー攻撃の脅威が騒がれる中、標的とされる我々企業側はどのような問題点を抱えているのでしょうか。

まず最初に挙げられるのが、企業を取り巻くIT環境の変化による対策の複雑化です。ここ数年での変化として最も顕著なのが、スマートフォンやタブレット等、モバイル端末のビジネスシーンへの急速な普及です。従業員の方が、普段業務に使用しているモバイル端末に、端末内データの窃取を働く悪意のあるアプリケーションをダウンロードしてしまったり、モバイル端末自体の盗難等による情報漏えい等が問題視されています。

今年直近のニュースでも、iPhoneの基本ソフト(OS)を改造し非公式アプリケーションを利用するといういわゆる“脱獄行為”を行っていたユーザーの端末から、クレジットカード番号やパスワードが、そういった非公式アプリケーションを通じて外部に送信されてしまう事件が相次いでいる、という報道がありました。また、WEBカメラ、IPフォン等、社内でインターネットに接続される機器が増えている為、管理すべき範囲が広がり、セキュリティー対策を講じるべき項目が多岐に及んでおります。そして、Emailへの業務依存率の増加も懸念点となっております。1日の業務はEmailチェックに始まり、Emailチェックに終わるという方々も多いのではないでしょうか。以下に詳しく触れますが、Emailを潜入手段とするサイバー攻撃は特に防ぎにくく、企業に大きな被害をもたらす脅威となっております。

次に企業側からみた問題点として挙げられるのが、攻撃手口の巧妙化です。攻撃者は従来のようなネットワークやサーバーのシステムダウンを狙う無差別愉快犯的なものから、攻撃する相手を定めて、金銭目的等で組織の機密情報やデータを狙う、プロの犯罪者による標的型へと変化してきています。代表的な攻撃手口として「標的型Email攻撃」というものがあります。

攻撃者は、標的企業のWEBサイトを綿密に調査したり、またソーシャルメディア等を通じた情報収集を行い、その標的企業が普段実際にやりとりをしている関係業者等を割り出します。その後その実在する関係業者に成りすまし、添付ファイル付のEmailを標的に向けて送信してきます。Emailの差し出し人は普段実際にやり取りをしている相手で、Email本文には添付ファイルを開くように誘導する文章が記載されています。受け取った企業側の担当者は普段やりとりをしている取引先業者からの連絡として疑うことなく添付ファイルを開いてしまいます。添付ファイルには特殊に作成されたマルウェアが仕込まれており、気づかないうちにマルウェアに感染、その後は感染したコンピュータが企業システム内の裏口となり、そこからどんどん企業の機密情報が抜き取られてしまいます。

企業が1週間に受けるサイバー攻撃は平均1.7件という統計も発表されており(HP調べ)、上述のようなIT環境の変化、攻撃手口の巧妙化の現実を把握した上での、早急な対策が求められます。企業内部でのセキュリティーポリシーの徹底や教育がその一つとなります。例えば、モバイル端末の業務への使用の規制(どの程度までの使用を許可するのか?もしくは全面的に禁止するのか?)、ソーシャルメディアをマーケティングツールとして利用する場合のルール設定(情報開示の範囲の規定等)が考えられます。その他、オフィス外の歓談時の会話から業務内容が漏れ、その情報を元に標的型Emailが作成される、等の事例も出ている為、従業員の皆様への喚起と注意が必要です。

また同時に、システムによる対策について、自社の既存の情報セキュリティー対策が十分かどうかを再考する機会を設けることが重要です。モバイル端末の管理ツールとして、管理者側によってダウンロード可能なアプリケーションを制御したり、盗難・紛失の際にリモートで端末内の情報をワイプ(消去)できる「モバイルデバイスマネジメント」を導入される企業も増えております。また標的型Email攻撃では、個別のターゲットにあわせてマルウェアが新たに作成される為、今まで既知の不正コードを識別することにより外的からの攻撃を守ってきた従来型のファイアーウォールや通常のウイルス対策ソフトでは防御しきれません。そこで未知の脅威を防ぐ機能をもった「次世代型ファイアーウォール」や各セキュリティソフトメーカーが提供している標的型攻撃対策ソリューション等を導入されることも検討手段の一つとなります。

石村卓也                                      
SYSCOM (USA) INC.                                  
SI ソリューション部、セールスマネージャー
t-ishimura@syscomusa.com