ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
毎日大量に受信するメール。中には取引先や上司・同僚ではなく、誰が送信者なのか分からないメールもあるだろう。そんなメールに付いてくる添付ファイルをついうっかり開いてしまったことはないだろうか。もっともらしい文面に油断して、あまり深く考えずに開いてしまい、慌てた経験を持つ方も少なくないはずだ。
去る2015年5月、日本年金機構で保有する個人情報125万件が外部に流出した事件は、まだ記憶に新しい。この情報漏えいの原因は、職員が悪意を持って送信された電子メールの添付ファイルを開封したこと。それをきっかけにネットワークに侵入され、大切な情報が盗まれてしまった。誰でもやってしまいそうな「誤操作」が、大事件の引き金になったのである。
情報漏えいが会社の危機を招く。被害者から加害者へ
個人情報をはじめとする機密情報などの情報漏えい事件が明らかになるにつけ、対策への意識は高めざるを得ない。だが事件の発生そのものは、そんな状況下でも後を絶たないのが実情だ。
こうした事件は、外部の悪意ある者からのサイバー攻撃によって引き起こされる。したがって、攻撃を受けて情報を漏えいさせてしまった企業は、理屈からいえば被害者だ。しかし、個人情報保護法の施行以来、企業は情報を安全に管理し外部に漏えいさせないよう努めるべき、との考えが主流となっている。情報漏えいを起こした企業は、当然のやるべき防止策を怠っていたということで加害者として扱われ、場合によっては賠償責任さえ生じるようになった。
日本年金機構のニュースがまさしくこの構図になっている。年金機構は個人情報を盗まれた被害者ではなく、管理を怠って情報を流出させた加害者という扱いだ。被害者は漏えいされた情報の主、つまり国民であるという取り上げ方だ。
あなたの会社が、何らかのサイバー攻撃を受け、社内にある顧客情報や取引先の情報、企業上の機密情報などを盗まれてしまったという事態を想定してみよう。
情報漏えいを引き起こしてしまったら、故意によるものか否か、どれだけ必死に予防対策を行っていたかなどは関係ない。漏えいしたという事実によって、悪者扱いされてしまう。それによる得意先や顧客に対するイメージの悪化は避けられない。そうなると、今までと同じような取引をしてもらえるだろうか。失った信頼や企業イメージをどう回復していけばいいのか。考えただけでぞっとしてしまう。
標的型攻撃は大企業や中堅企業だけでなく中小企業を狙う傾向も
インターネット上のサイバー攻撃はもともと、不特定多数に向けて行われるものが多かった。ところが、最近では、特定の企業や組織の機密情報や個人情報の窃取やシステムの破壊を目的とする「標的型攻撃」が増えている。標的型攻撃は不特定多数を狙った攻撃と異なり、目的を達成するまで執拗かつ巧妙に狙ってくる傾向がある。
この標的型攻撃に使われる主な手段が電子メールだ。マルウエアを添付したメールを送り付ける。それを開封した結果、マルウエアが作動し機密情報を盗み出す。メールはターゲットに定めた組織の社員などを狙い、送信者として信頼できそうな組織や人物を装い、タイトルや内容ももっともらしく、気を引くように作成する巧妙な「だましのテクニック」を駆使している。
最近の標的型攻撃では、開いたマルウエアは潜伏して攻撃者からのアクセスがない限りは何の挙動も示さないような仕組みとなっている。それゆえ情報が漏えいするまで侵入に気づかないケースも多い。
注目すべきは、これら標的型の攻撃が、前述の日本年金機構のような大規模な団体・企業だけでなく、より小規模な企業や組織を狙うケースが増えているという点だ。ITの専任者がいない、専門部署がない、セキュリティ対策が不十分な可能性が高いといった弱点を持っている侵入しやすい企業を足掛かりに、そこと取引がある大規模な企業の機密情報を狙うケースも増えている。「うちのような規模の企業には、大した機密情報などないから、わざわざ対策を取る必要はない」などと甘くみている場合ではない。
誤るのも人、守るのも人。対策は今すぐ
巧妙化した標的型攻撃に、「狙われたら最後じゃないか」と頭を抱えてしまうかもしれない。標的型攻撃は、物理的なハードウエアや技術的な安全管理の「穴」を狙ってくるわけではない。専門知識を持つシステム担当者などだけが対策するのではなく、社内や組織内でメールを扱う全員が、標的型攻撃メールを見分け、誤操作を行う前のタイミングで気づいて対処する必要がある。人間の信じやすい心理やうっかりミスを狙う攻撃だからこそ、「人」で防ぐのがポイントだ。
標的型攻撃への対策は、社員一人ひとりが情報セキュリティに関する正しい知識を身に付け、保有する情報を守る義務感と責任感を持って慎重に仕事に臨むことに尽きる。それとともに、一人ひとりが攻撃の「だまし」を見破る高い見識力を身に付け、事故を未然に防ぐのだ。
具体的には、学習会やセミナー、研修などで情報セキュリティに関する基礎知識や、最近のサイバー攻撃の傾向と対策などを学ぶ。さらに、最近は会社で行う避難訓練のように、実地にダミーの標的型攻撃を実施して、誤った対処をしないように身をもって訓練する方法もある。
いろいろ対策を考えている間にも、社員が標的型攻撃メールの添付ファイルを誤って開いてしまう可能性もある。一刻も早い対処が望まれる。誤るのも人、守るのも人。今すぐ対策を始めよう。
執筆=青木 恵美
長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。
【MT】
