専門家コラム「中小企業にもできる情報セキュリティ対策」(2014年6月)
1.はじめに
一般的に、大企業に比べて経営資源が限られている中小企業では、情報セキュリティ対策への取組みが遅れがちです。しかし、昨今の事例を見ると、情報セキュリティの脅威は、フィッシング詐欺の横行など、企業や個人においても身近に脅威が迫っています。このため、中小企業においても情報セキュリティ上の脅威を適切に認識、把握し、情報セキュリティ対策を充実させることが求められています。
2.インターネットの発展と情報セキュリティの脅威
近年、スマートフォンやタブレット端末等のスマートデバイスやWi-Fi等の公衆無線LANの普及により、いつでも、どこでもインターネットに繋がりやすい環境が整備され、経済活動や社会活動を行なう上でインターネットは無くてはならないものとなっています。
そして2009年頃より、「サイバー攻撃」という言葉が一般的に使われるようになりました。サイバー攻撃とは、コンピュータや通信ネットワークを用いて行われる犯罪の総称ですが、不正アクセス・侵入によるデータ窃取、サイト改ざん、DDoS攻撃(注1)、フィッシング詐欺などがあります。これらは、企業活動を一時的に停止させるなど、大きな脅威となるリスクを秘めています。
ここでは、特に留意していてだきたい3つの脅威についてご紹介します。
脅威1:ウェブサイトを狙った攻撃
ウェブサイトを狙った攻撃は、従来から存在している脅威ですが、引き続き被害が継続している。ウェブサイトに存在する脆弱性(注2)が残っていると、不正アクセスされてウェブサイト内の個人情報が窃取されるほか、ウェブサイトが改ざんされてしまい、ウイルス配布に使われるなどの脅威があります。
たとえば、以下のようなトラブルがいつ発生しても不思議ではありません。
「A社は、オフィス用品や日用品のネット販売を手がける企業である。A社の経営者であるBさんは、ある日、その日はいつもと違ってインターネット経由の売上げがほとんど無いことに気がついた。A社の販売サイトはいつも通り稼働しているようだった。しかし、yahooなどのポータルサイトでA社の販売サイトを検索したところ、異変に気付いた。なんと、A社の販売サイトは全く検索結果に出てこなかったのだ。まるで、A社のサイトが消えてしまったかのように・・。」
これは、A社の販売サイトが不正アクセスにより改ざんされ、ウイルス配布に利用されてしまったとき、それを発見した人が、ポータルサイト等に通報した場合、ポータルサイトの検索結果に表示されなくなる処置が行なわれる場合があるのです。このため、一時的にA社の販売サイトには、一般ユーザーがアクセス出来なくなる可能性も想定されうるのです。
なお、ウェブサイトに存在する脆弱性を狙った攻撃の多くは、最終的には金銭窃取を目的としており、実際に被害の発生は後を絶たず、社会的に大きな話題となっています。
(ご参考)IPA情報処理推進機構:OpenSSLの脆弱性対策について
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
脅威2:金銭窃取を目的としたウイルスの多発
企業や個人から金銭を窃取するに到る脅威、具体的には不正送金に到る手口としてはフィッシング詐欺に加え、最近、利用者のパソコンをウイルスやマルウェア(スパイウェアなど)(注3)に感染させて、それらの情報を盗み取る手口が多発しています。
2011年頃より海外のインターネットバンキングで、ウイルスにより認証情報(ユーザ名やパスワードなど)が窃取され、金銭被害に発展する事件が報告されはじめました。2012年からは国内のインターネットバンキングでも同様の手口による被害が確認されだしています。
ウイルスに感染させる具体的手口としては、標的型攻撃メールという悪意あるメールによる脅威が注目されています。標的型攻撃メールは、あたかも正当な業務や依頼であるかのように見せかける件名や本文でメールを送りつけ、受信者がだまされやすいような仕掛けをしています。そして、添付ファイルを開かせることでウイルスに感染させ、特定のサイトに誘導することで気付かれないようにウイルスを送りつけることを目的としています。
脅威3:ウイルスを使った遠隔操作
ウイルスに感染して遠隔操作可能となったPCは、スパムメールの送信やDDoS攻撃のために悪用されてしまいます。2012年には、PCに感染したウイルスを経由して、悪意ある第三者が掲示版に脅迫文を書き込むことを実施したため、当該ウイルスに感染したPCの所有者が誤認逮捕されてしまった事件が発生し、大きな話題となりました。
(ご参考)パソコン遠隔操作事件
http://ja.wikipedia.org/wiki/パソコン遠隔操作事件
3.中小企業にもできる情報セキュリティ対策
上記のような情報セキュリティの脅威から企業や個人を守るための、中小企業でもできる、すぐに役立つ情報セキュリティ対策をご紹介します。
(1)情報セキュリティポリシーの策定のすすめ
情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。情報セキュリティポリシーの内容は、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、つまり、情報セキュリティを確保するための基本方針、体制、運用基準などを、具体的に文書に記載したものになります。
情報セキュリティポリシーの目的は、企業の情報資産を情報セキュリティの脅威から守ることですが、その導入や運用を通して社員や職員の情報セキュリティに対する意識の向上に加え、取引先や顧客からの信頼性の向上といった、企業や組織のセキュリティを維持するためにも有効な対策となります。
また、具体的に優先して対策を立てる必要のあるリスクとしては、ウイルス感染、不正侵入、情報漏洩、災害などによる機器障害リスクが挙げられます。
(2)ウイルス感染の予防対策
ウイルス感染の予防対策としては、パソコンにウイルス対策ソフトをインストールして、ウイルス検知用データを常に最新のものに更新しておくことが非常に大切です。並びに、OSやソフトウェアのバージョンも最新のものに更新しておくことも大切です。また、Webブラウザの設定についても、適切なセキュリティレベルの設定に変更することも大切です。
次に、ウイルス配布を目的とした電子メールに注意を払い、怪しい電子メールが届いた場合は、添付ファイルを開いたり、記載されているURLアドレスのリンクを開いたりせずに、直ちに削除することが、大切です。
しかし、ここに挙げたウイルス対策を十分に実施していたとしても感染してしまうことがあります。それは、ゼロデイ攻撃(注4)と呼ばれていますが、ウイルスは、日々新しいものが出回っており、それをウイルス対策ソフトで見つけられないことがあるからです。もし、気付かずに不審なメールの添付ファイルを開いてしまい、誤ってウイルスに感染してしまった場合は、直ちにパソコンのLANケーブルを抜く、無線LANのスイッチを切るなどの方法で、社内のネットワークからパソコンを切り離すことを心掛けるようにしてください。社内のネットワークにつながったままにしていると、企業全体にウイルスを蔓延させてしまうこともあるためです。そして、社内の情報システム関連者に連絡して対策を実施していくのが良いでしょう。
(3)社員・職員に必要となる情報セキュリティ対策
企業や組織においては、たった一人の不注意が、ウイルスへの感染や情報漏洩といった脅威につながることもあります。社員・職員の一人一人が、情報セキュリティ対策の必要性を理解することが必要になります。
このための基本的な情報セキュリティ対策についてご紹介します。
1)ソフトウェアを最新バージョンに
Webブラウザや電子メールソフトといったアプリケーション、OS等のソフトウェアには、脆弱性と呼ばれる不具合が発見されることがあります。脆弱性を放置していると、ウイルス対策ソフトを最新状態に更新していたとしても、未知のウイルスや変種のウイルスに感染してしまう可能生が高くなります。
2) 安全なパスワード管理を
推測しやすい文字列を使わないようにして、保管に気を付け、定期的な更新を実施することが大切です。
3) 電子メールの誤送信を防ぐ
よく発生する誤りが、本来は、BCC:で送るべきところをTO:やCC:で送ってしまったことにより、受信者に他のすべての受信者のメ-ルアドレスがわかってしまう、というもので、多く発生しています。電子メールの送信前には、送信先アドレスの再確認を落ち着いて行なう必要があります。
4) データのバックアップ
不意のパソコンやシステム機器故障に備えて、定期的にデータのバックアップが不可欠です。アプリケーションソフトで作成したドキュメントファイルだけでなく、送信した電子メールや受信した電子メールなどの情報も、バックアップして必要があります。バックアップには、ファイルサーバやインターネット上のオンラインストレージ、外付けのハードディスクにコピーする方法、DVDメディアなどの外部の記憶媒体を利用する方法などがあります。ただし、外部記憶媒体を利用する場合は、暗号化機能を併用して、万一の外部記憶媒体の紛失に備えて置く必要があります。
5) SNS利用での注意点
個人としてSNSを利用する場合には、個人の不用意な発言により、業務上の機密事項となりうる情報が他者から推測されてしまう可能生もあります。また、企業や組織のブランドイメージを損なうような発言をしないなどの注意をする必要があります。
(4)情報セキュリティ関連サイトのご参考
IPA情報処理推進機構:情報セキュリティ対策
http://www.ipa.go.jp/security/index.html
脆弱性対策情報データベース:MyJVN
http://jvndb.jvn.jp/apis/myjvn/index.html
【注釈】
(注1)DDoS攻撃
複数のネットワークに分散する大量のコンピュータが一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃。
(注2)脆弱性
コンピュータのOSやソフトウェアの、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥、セキュリティホール。
(注3)マルウェア
マルウェアとは、ウイルス、ワーム、トロイの木馬を含む悪質なプログラムの総称で、システムの脆弱性を悪用して、パソコンやサーバへ侵入する。電子メールで送信されるワーム、Web サイトから読み込まれるトロイの木馬、ウイルス感染ファイルなどが該当する。
(注4)ゼロデイ攻撃
修正プログラム(セキュリティ更新プログラム)などが未公表の脆弱性を悪用する攻撃のこと。
■山本 修(やまもとおさむ)
中小企業診断士、システム監査技術者、情報セキュリティアドミニストレータ
東京都中小企業診断士協会広報部長
金融機関のシステム部門に勤務