加害者にならないためのサイバー攻撃防止法（第1回）「ついうっかり」が命取り。今こそ社員の意識改革

公開日：2015.09.16

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　毎日大量に受信するメール。中には取引先や上司・同僚ではなく、誰が送信者なのか分からないメールもあるだろう。そんなメールに付いてくる添付ファイルをついうっかり開いてしまったことはないだろうか。もっともらしい文面に油断して、あまり深く考えずに開いてしまい、慌てた経験を持つ方も少なくないはずだ。

　去る2015年5月、日本年金機構で保有する個人情報125万件が外部に流出した事件は、まだ記憶に新しい。この情報漏えいの原因は、職員が悪意を持って送信された電子メールの添付ファイルを開封したこと。それをきっかけにネットワークに侵入され、大切な情報が盗まれてしまった。誰でもやってしまいそうな「誤操作」が、大事件の引き金になったのである。

情報漏えいが会社の危機を招く。被害者から加害者へ

　個人情報をはじめとする機密情報などの情報漏えい事件が明らかになるにつけ、対策への意識は高めざるを得ない。だが事件の発生そのものは、そんな状況下でも後を絶たないのが実情だ。

　こうした事件は、外部の悪意ある者からのサイバー攻撃によって引き起こされる。したがって、攻撃を受けて情報を漏えいさせてしまった企業は、理屈からいえば被害者だ。しかし、個人情報保護法の施行以来、企業は情報を安全に管理し外部に漏えいさせないよう努めるべき、との考えが主流となっている。情報漏えいを起こした企業は、当然のやるべき防止策を怠っていたということで加害者として扱われ、場合によっては賠償責任さえ生じるようになった。

　日本年金機構のニュースがまさしくこの構図になっている。年金機構は個人情報を盗まれた被害者ではなく、管理を怠って情報を流出させた加害者という扱いだ。被害者は漏えいされた情報の主、つまり国民であるという取り上げ方だ。

　あなたの会社が、何らかのサイバー攻撃を受け、社内にある顧客情報や取引先の情報、企業上の機密情報などを盗まれてしまったという事態を想定してみよう。

　情報漏えいを引き起こしてしまったら、故意によるものか否か、どれだけ必死に予防対策を行っていたかなどは関係ない。漏えいしたという事実によって、悪者扱いされてしまう。それによる得意先や顧客に対するイメージの悪化は避けられない。そうなると、今までと同じような取引をしてもらえるだろうか。失った信頼や企業イメージをどう回復していけばいいのか。考えただけでぞっとしてしまう。

標的型攻撃は大企業や中堅企業だけでなく中小企業を狙う傾向も…

　インターネット上のサイバー攻撃はもともと、不特定多数に向けて行われるものが多かった。ところが、最近では、特定の企業や組織の機密情報や個人情報の窃取やシステムの破壊を目的とする「標的型攻撃」が増えている。標的型攻撃は不特定多数を狙った攻撃と異なり、目的を達成するまで執拗かつ巧妙に狙ってくる傾向がある。

　この標的型攻撃に使われる主な手段が電子メールだ。マルウエアを添付したメールを送り付ける。それを開封した結果、マルウエアが作動し機密情報を盗み出す。メールはターゲットに定めた組織の社員などを狙い、送信者として信頼できそうな組織や人物を装い、タイトルや内容ももっともらしく、気を引くように作成する巧妙な「だましのテクニック」を駆使している。

　最近の標的型攻撃では、開いたマルウエアは潜伏して攻撃者からのアクセスがない限りは何の挙動も示さないような仕組みとなっている。それゆえ情報が漏えいするまで侵入に気づかないケースも多い。

　注目すべきは、これら標的型の攻撃が、前述の日本年金機構のような大規模な団体・企業だけでなく、より小規模な企業や組織を狙うケースが増えているという点だ。ITの専任者がいない、専門部署がない、セキュリティ対策が不十分な可能性が高いといった弱点を持っている侵入しやすい企業を足掛かりに、そこと取引がある大規模な企業の機密情報を狙うケースも増えている。「うちのような規模の企業には、大した機密情報などないから、わざわざ対策を取る必要はない」などと甘くみている場合ではない。

誤るのも人、守るのも人。対策は今すぐ

　巧妙化した標的型攻撃に、「狙われたら最後じゃないか」と頭を抱えてしまうかもしれない。標的型攻撃は、物理的なハードウエアや技術的な安全管理の「穴」を狙ってくるわけではない。専門知識を持つシステム担当者などだけが対策するのではなく、社内や組織内でメールを扱う全員が、標的型攻撃メールを見分け、誤操作を行う前のタイミングで気づいて対処する必要がある。人間の信じやすい心理やうっかりミスを狙う攻撃だからこそ、「人」で防ぐのがポイントだ。

　標的型攻撃への対策は、社員一人ひとりが情報セキュリティに関する正しい知識を身に付け、保有する情報を守る義務感と責任感を持って慎重に仕事に臨むことに尽きる。それとともに、一人ひとりが攻撃の「だまし」を見破る高い見識力を身に付け、事故を未然に防ぐのだ。

　具体的には、学習会やセミナー、研修などで情報セキュリティに関する基礎知識や、最近のサイバー攻撃の傾向と対策などを学ぶ。さらに、最近は会社で行う避難訓練のように、実地にダミーの標的型攻撃を実施して、誤った対処をしないように身をもって訓練する方法もある。

　いろいろ対策を考えている間にも、社員が標的型攻撃メールの添付ファイルを誤って開いてしまう可能性もある。一刻も早い対処が望まれる。誤るのも人、守るのも人。今すぐ対策を始めよう。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

執筆＝青木恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム（バックナンバーあり）。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワードこれが気になる！」「知って得する！話題のトレンドワード」を好評連載中。

【MT】

あわせて読みたい記事

人手が足りない会社の業務効率処方箋（第1回）
アウトソーシング活用で「ひとり情シス」問題を解決
ITアウトソーシング
2015.07.29

「脅威・サイバー攻撃」人気記事ランキング

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

加害者にならないためのサイバー攻撃防止法

企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
ダウンロード
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
ダウンロード
その対策は効果ナシ！セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が崩れ始めています。本当に必要な対策とは何か？情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。
ダウンロード