向坊敦の【セキュリティコラム(標的型攻撃対策編)】 第1回 セキュリティの被害はなぜ減らないのか?

はじめに

本連載では、全国の企業の皆様がICTを安全・安心にご利用いただくために、近年増え続ける標的型攻撃の傾向と対策に関してお伝えしたいと思います。

私は15年以上にわたりIT業界でソリューション開発や社内の情報システムを担当してきました。現在はディーアイエスソリューションでセキュリティを担当しております。私がお客様との会話やセミナーでご回答いただいたアンケートを拝見していると、さらなるセキュリティ対策が必要と感じておられるものの、どこから着手すればわからない、経営層からの理解が得られないなどの理由で、検討に苦労されている企業が多いと感じています。このコラムが、そのような課題を抱えておられる皆様のヒントになればと思います。

どの企業にも起こり得るセキュリティ被害

皆様の周りでマルウェアに感染したという話を聞かれることはありますでしょうか?私はセキュリティ対策ソリューションの紹介でお客様先に訪問することが多いのですが、最近1~2年はランサムウェアやWebサイトへの攻撃の被害の話を直接聞く機会が多くなり、かなり身近に感じています。そしてこれらの話をお聞きする企業は重要インフラを扱うような大企業ではなく、製造業などの一般企業であり、もはや対岸の火事ではなくなってきたというのが印象です。国内外で発生するコンピュータセキュリティインシデントの報告を受け付けているJPCERT/CCのレポートによると、2017年4月から6月までの間に報告されたインシデントの総数は5,225件となり、セキュリティのインシデントは増え続けている状況です。

簡単に作れるマルウェア

なぜこんなにもセキュリティの被害が多いのでしょうか。理由の1つとして、サイバー攻撃のビジネス化が進んでいるということが挙げられると思います。サイバー攻撃の分業体制が既に確立されており、誰でも簡単にマルウェアを作成できる世の中になっています。例えば2015年中頃から始まったRaaS(Ransom AS A Service)は、ランサムウェアで利益を得たい人向けのサービスがあります。サービスにアクセスして請求する金額や対象国を設定し、収益の数%を手数料として支払うだけでランサムウェアを拡散できてしまいます。また、さまざまな攻撃をしかけることができるエクスプロイキットも月額数万円を支払うことで利用でき、詳しいコンピュータの知識がなくても容易にマルウェアが作成できるようになっています。結果として1日当たり100万個以上のマルウェアが世界中で作られ、メールの添付ファイルやメール本文のURLリンクからWebサイトへアクセスすることにより感染し、セキュリティの被害が増えてしまっています。

検討が進まないセキュリティ対策

それ以外のセキュリティ被害が減らない理由としては、セキュリティ対策の検討が難しくて経営層の理解がなかなか得られず、計画の立案に時間がかかっていることがあると思います。例えば、次のような苦労をされている方も多いのではないでしょうか。

・うちの会社にはそこまでお金をかけて対策するほどの重要な情報はない。

・セキュリティ対策をしても100%防げるわけではないのに、どこまで対策するのか。

・どこから対策を始めれば良いかわからない。

企業がセキュリティ対策で守るべき情報は、ECサイトで取り扱うクレジットカード情報や会員情報だけが重要な情報ではありません。お客様や取引先の連絡先、取引先ごとの仕切り金額や新製品の設計図など、どこの企業にでも身近に重要な情報は存在します。そしてその情報が漏えいしてしまうと、これまで従業員が長年築き上げてきた「企業価値」を一瞬にして失うことになり、経営者は社会的に責任を問われることになります。企業の機密情報や対策については、IPAから「中小企業の情報セキュリティ対策ガイドライン第2.1版」(2017年5月10日)が公開されており、わかりやすく記載されていますので、参考にしてみてください。

どこまでセキュリティ対策をするべきかについては、守るべきものの重要性にもよりますが、基本的には公的なセキュリティ対策ガイドラインを基準に進めるのが良いと思います。一般企業であれば経済産業省からガイドラインや対策例を参考にするのが良いでしょう。

次回は「どこまでセキュリティ対策を実施すべきか」について、もう少し詳しく掘り下げていきたいと思います。

Related post

更新情報

最新コラム

  1. はじめに 前回のコラムに記載しましたが、現在、サイバー攻撃する側が分業されており、高度な攻撃を…
  2. 前回コラムでは、先月11/1にリリースされたMicrosoft365に関して、急きょご紹介をさせて頂…
  3. みなさん、こんにちは! もう今年も終わりに近づいてきましたね。 プライム・ストラテジーでは、…

最新事例

  1. 下記の通り、 Cisco Meraki導入事例「株式会社 陣屋 」を公開しました。ご興味がある方は下…
  2. アンチウイルス「Dr.Web」の導入事例「日本通運の運行管理システムで活用される約1万台のスマートフ…
  3. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…

ログインステータス

You are not logged in.
Return Top