「情報漏えい、当社に関係なし」の嘘（第2回） セキュリティーに魔法のつえはない。最新「多層防御」

　情報漏えいは、「まさか」「そんなはずはない」といった思い込みが大きな被害を招く。JTBが2016年6月に公表した情報漏えい事件では、約793万人の個人情報が流出した恐れがある。その中には約4300件の現在有効なパスポート番号が含まれているという。

　攻撃者は巧妙に手口を変えて企業システムを攻撃し、情報を盗み取ったり、システムを破壊してビジネスを停滞させたりする。JTBの事件で攻撃者は、問い合わせ用窓口に標的型攻撃メールを送りつけた。メールアドレスのドメインは取引先のもので、メールタイトルも添付ファイル名も正規の業務に関連していたため、問い合わせ担当者は開封せざるを得なかったという。担当者が開いた添付ファイルにウイルスが仕込まれており、個人情報が外部に送信された。このように攻撃者が業界に精通している場合、単にファイアウォールを入れているだけでは、攻撃を防ぎ切れないのが実情だ。

攻撃対象が広がり、中小企業も狙われている

　情報処理推進機構(IPA)のセキュリティセンターが公表している「情報セキュリティ10大脅威 2016」によれば、「組織」のカテゴリーでは「標的型攻撃による情報流出」が1位（※1）になっている。

　さらに近年は攻撃の対象が多様化している。大企業だけでなく、中小企業にも標的型攻撃メールが送りつけられている。大企業、中小企業を含む1万3000企業を調査対象としたIPAの「2014年度情報セキュリティ事象被害状況調査」（回収件数1913件）では、どんなサイバー攻撃を受けたかを調査。「『300人未満企業』では、「DoS 攻撃」が 48.3%と群を抜いて高く、「標的型攻撃」が24.1%」（※2）となっている。

　標的型攻撃の手口としては「『同僚や取引先、サービス事業者からのメールを装い、添付したウイルスファイルを開かせる』が54.5％と最も多く、次いで『電子メールに表示されたURL経由で攻撃用のウェブサイトに誘導される』が40.2％」（※3）だった。

　JTBの事件のように、取引先からメールが送られてきたら、つい開封してしまうのではないだろうか。中堅・中小企業も人ごとではない。「まさか」と思うようなセキュリティー事案でも、「明日はわが身」と考えたほうがいい。

複数の対策で情報を守る「多層防御」

　IPAでは「中小企業における組織的な情報セキュリティ対策ガイドライン」を公表している。その中に、ホームページの不正アクセスの事例がある。「老舗輸入食品販売のA物産は、近年自社ショッピングサイトを開設（中略）顧客DBに対して不正なアクセスが行われ、顧客の個人情報が約1万件漏洩したことが判明した。（中略）A物産では、情報が漏洩した顧客に対する謝罪を行うとともに、1000円分の割引券を発行した。またシステムの改修が終わるまでショッピングサイトを閉鎖したため、その間の売り上げが減少、再開後も顧客が事件前に戻るのに1年程度を要した」（※4）という。

　この事例の教訓は、まず、外部からの不正アクセス対策が不十分だったことだ。セキュリティー対策は多層的に行わなければならない。外部から内部システムにアクセスする際のユーザー認証（ID・パスワード）の強化、攻撃者の不審な動きを検知して通信を遮断、不正なプログラムをダウンロードさせる恐れのあるWebサイトへのアクセスを制限、顧客データベースの弱点を解消するセキュリティーパッチの適用――。「ウイルス対策ソフトを導入しているから大丈夫」ではないのだ。セキュリティーに魔法のつえはないと思ったほうがいい。

　このように、複数の防御策を多層的に組み合わせる対策を「多層防御」という。インターネットやオフィスの通信環境にはさまざまな脅威や脆弱性が潜んでいる。その各環境において多層的に防御することが、セキュリティーリスクを低減する最も有効な対策である。

　今すぐ自社のセキュリティー対策を棚卸しして、複数の対策を組み合わせているかどうか確かめてほしい。

※1　IPA「情報セキュリティ10大脅威 2016」（2016年4月27日）
※2　IPA「2014年度情報セキュリティ事象被害状況調査」（2015年1月）図3.5-6 サイバー攻撃の手口（従業員規模別）
※3　IPA「2014年度情報セキュリティ事象被害状況調査」（2015年1月） 図3.5-9 標的型攻撃の具体的な手段
※4　IPA「中小企業における組織的な情報セキュリティ対策ガイドライン」（2012年9月3日第1版）Case 4. ホームページへの不正アクセス