7.サイバーセキュリティ基本法制定後、求められる対応とは?
サイバー攻撃とは何か
サイバー攻撃による個人情報の流出が度々世間を騒がせています。
ニュースではよく耳にする「サイバー攻撃」という言葉ですが、具体的にどのような手口なのでしょうか。
例えば、メールを突破口にする方法があります。
ウイルスを仕込んだメールを送付し、開封させることで不正アクセスをするのです。
そこからセキュリティ保護されていなかった情報を外部に送信することに成功します。
ほかには、不正ログインを試みるという手口もあります。
あらかじめ別のところで入手したIDとパスワードの組み合わせを利用して会員制Webサイトにログインを試み、結果として利用者になりすましてサイト内に入り込み、情報を取得して引き出すというものです。
特に2013年ごろから、多くの企業の顧客向けサイトにおいて被害が出ているようです。
ほかにも、官公庁や企業のHPにおいて、ウェブ改ざんを行い、訪問者が入力した個人情報や訪問者のブラウザから情報を盗み取るという手口や、Webサイトに同時に大量のアクセスを行って回線を占有し、サーバをダウンさせるといった手口による攻撃も発生しています。
攻撃の多様化と対策費用
前述の通りサイバー攻撃は、PCなどの端末において動作させる手口と、サーバに対して行われる手口の2つに大別されますが、その内容は多様であり、技術も年々高度化しています。
これらへの対策費用として、企業ではどのくらいの額が投じられているのでしょうか。
シマンテック社のレポート(※1)によると、2013年の調査実績として日本企業の投じている額は2億2400万円となっており、前年の同レポートと比較して110%の伸びとなっています。
「情報漏洩」という言葉をニュースで聞くことも珍しくなくなってきた昨今、この費用が今後さらに増えていくことは想像に難くありません。
情報システム部門ができること
こうした事態に対して、企業の情報システム部門ではどのような対応をとる必要があるのでしょうか。
ここではシステム構築時またはリニューアル時にできること、全社員に対して行うこと、部門・企業としてできることの3つを確認します。
システム構築時・リニューアル時にできること
インターネットと接するサービスやシステムを持っている場合は、定期的にぜい弱性診断を行い、指摘された箇所を的確に修正していくことが必要です。
特に重要なことが、社内ネットワークに侵入されないことです。
外部からの侵入を防ぐ役割をするのがファイアーウォールと呼ばれるものです。
このファイアーウォールが適切に設定されてことを確認するために、攻撃者が実際に用いる方法で侵入できるかどうかをテストすることが必要です。
常に刷新されていくサービスであれば、リニューアルに合わせて診断と修正を行うようにします。
また、新規システムや、定期的に刷新されにくいシステムに対しては、あらかじめ定期的に診断するロードマップを引いておくとよいでしょう。
なんらかの事情で定期的な診断が行えない場合は、診断の遅延要因と遅延日数を明確にしておくのも情報システム部門の大切な役割です。
全社員に対して実施すること 社員全体に対しては、スパムメールへの対応訓練で意識を高める必要があります。
なかには、強固なセキュリティを備えているため、スパムメールの心配はないという方もいらっしゃるかもしれません。ところが、そうした堅ろうな仕組みを持つ企業でスパムメールへの対応訓練を実施すると、社員はすぐに添付ファイルまで開けてしまう確率が非常に高いといわれます。
普段から悪意あるメールは来ないと信じているため、心当たりのないメール(とその添付ファイル)であっても危険だという認識が薄いのでしょう。
また一方で、定期的に訓練しても、その開封率がゼロにはならないというのも実態です。
うちの会社は大丈夫とたかをくくる前に、日々の業務に追われがちな社員が、どのくらいのリテラシーを発揮できるか試してみてはいかがでしょうか。
情報システム部として、企業としてできること サイバー攻撃、情報漏洩が実際に発生した際にすぐ対応できるよう、日ごろから対策のための情報集めをしておきましょう。
ネットの情報を効率的に収集できるよう、担当者を立てておくことやチェックするサイトのリストを整理することが大切です。
また、グループ企業や同業他社、社内に出入りするシステム会社、自社システムのユーザーといった人たちと、情報交換を行うものよいでしょう。
近年では企業レベル、国レベルで「CSIRT」という団体や会議体を形成し、情報セキュリティの事故を未然に防ぐための情報を、効率よく迅速に収集・拡散する仕組みができはじめています。
日本では、日本CSIRT協議会という団体があるのでチェックしてみるとよいでしょう
できることから検討しよう
サイバー空間への攻撃は日々変化しており、完璧な対応を行うのは非常に困難かもしれません。
しかし、これらへの対策を行いながら、サービスやシステムを進化させることが、情報システム部門の腕の見せどころではないでしょうか。
いま、この瞬間にもサーバに攻撃を受けているかもしれませんし、スパムメールは届いているかもしれません。
できることから、着実に対策を始めましょう。
- 【参照】
- シマンテック社のセキュリティ関連レポート
- Juniperで解決できる課題
- Juniper製品ラインアップ ネットワーク機器をお探しなら、Juniper Networks製品をお勧めします。以下の製品をご用意しています。