Webサイトの改ざんや標的型攻撃メールなど、巧妙な手口で企業を狙うサイバー攻撃は近年多発している。こうしたサイバー攻撃の恐ろしい点は何といっても、企業の保有している個人情報や機密情報の漏洩だ。狙われた企業の管理体制の脆弱性や情報セキュリティ対策が大きなニュースとして取り上げられることが増えてきたが、まだまだ大企業や有名企業の事例が中心。だからこそ、中小企業にとっては実感のわかないケースばかりかもしれない。そんな“対岸の火事”よろしく、のんびり構えている情シスがここにもひとり─────
(カップラーメンをすすりながら)
ふーん…あの大手企業が情報漏えいかぁ…
原因は企業や特定の個人にあたかも関係ありそうなメールを送り、
開封するとマルウェアに感染する「標的型攻撃メール」ねぇ…
怪しそうに見えるけど気づかないもんなのかなぁ
ま、多田野ぶちょーなら(もぐもぐ)
開けちゃいそうだけどっ…(もぐもぐ)
うちにはかんけーないね!(もぐもぐ)
お疲れさま!にのまえくん!
ぐっ、ぐふっ…(口に含んだ麺を何とか飲み込む)
たっ、多田野部長…
な、なんでしょうか~?ハハハ
(さっきの聞かれてないよな…?)
私にこんなメールが来たんだが…
私よりキミが読むべきメールだと思ってねキミに転送しておいたよ
んんん?何ですかこのメール?
先月ご依頼いただいた中小企業のセキュリティ現況調査について…?
こんなの頼んだかなぁ?
なに!?にのまえくん、何のメールか覚えてないのか!?
しょうがないやつだなぁ…
ここに添付ファイルがあるから見てみればわかるだろう
じゃあ、よろしく頼むよ!
──── 数時間前 ────
(とある雑誌を広げながら)
なになに?
週刊ハッカーくんによると、いまトレンドなのは標的型攻撃メール…
ククククッ…!
これは面白そうだナ!試しにいくつか送ってみるか!
セキュリティのあまそうな小さな会社と…
いつも間抜けなアイツの会社にも送ってやろう!
ククククッ!
~Dr.Protocol Equipment①:マルチLANハンド
伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。
よし、これで私のラボのサーバーをめいっぱい使って
色んなところに攻撃メールを送ってやろう!
内容はセキュリティ調査結果の送付!
今の時期なら健康診断結果の送付メールなんかも良いナ…
ククククッ騙されてくれよ
よろしく頼むよって、部長も適当だなぁ…
本当にこんなの頼んだ覚えないんだけど
でも勉強になりそうだし、えーい!ポチッと…
押すな!そこのキサマ!
!?
あ、あなたはJoshisu Manさん!
お昼どきに来るなんてめずらしいですねそしてキサマ呼ばわりって…
この近くの激辛ラーメン店に並んでいたんだが、危険を察知してかけつけたんだ…!
おかげで今日は食いっぱぐれそうだ!というわけでキサ…
いやキミ、そのメールがどこの誰から送られてきて、何が目的で、中身が何のファイルなのかわかっているのか?
こ、これですか?
さっき部長から転送されてきたセキュリティ調査結果のメールですよくは知りませんけれど……ハッ!
これってまさか…!?
そうだ、
標的型攻撃メールだ
げげーーっ!ぶ、ぶちょー!
今すぐさっきのメール消してくださーーーい!
──── 数分後 ────
な、なんとか猛ダッシュして部長の机に滑りこみ…
部長が添付ファイルを開く寸前で止めて削除できた…っ!
(ゼェ…ハァ…)つ、疲れたぁ…!
おい!にのまえくん!これは一体どういうことだ!?
標的型攻撃メールだか何だかわからないが、
いきなり危険だからメールを消せだなんて…!
まさか、今テレビで流れている大手企業と同じ状況なのか!?
それはまずい!
すぐに社内に最適なセキュリティ体制を考えてくれ!
頼んだぞ!
げげぇっ!これまた急なジャストアイデアやめてくれよ~!
でも…もし、さっきのメール添付を開いていたらどうなっていたんだろう…?
間一髪、何ごともなくて幸いだったな!
またどこからともなく現れてくれましたね…
急に社内のセキュリティ体制を整えろって言われちゃいましたよ、まったく
そもそも、うちにそんな大切な情報ってあったか…?
そんなことを言っているようでは甘いぞ!
にのまえ!
こんな情報がキミの会社にもあるんじゃないか?
セキュリティ対策するほど大切な情報なんてない…と思っている企業こそCheck!
こんな情報を持っていないだろうか?
・従業員データ(例:氏名・電話番号・住所・メールなどの連絡先、マイナンバー、給与明細、健康診断結果などの機微な個人情報)
・顧客データ(例:氏名・電話番号・住所・メールなどの連絡先)
・取引先データ(取引額や卸額などの取引内容、取引先から預かった資料など)
・機密データ(自社サービスや新製品の開発資料、設計図、調査資料、論文など)
げげっ…!
確かに守らなきゃいけない情報って意外にいっぱいありますね…!
パソコンでのデータ管理がほとんどだし、流出したらすごいことになりそう…
そうだ。たかがサイバー攻撃…と侮っていると非常に危険だ!
こんなリスクがあることを想定しておこう
・メディアや顧客への通知など危機管理広報の対応
・情報漏えいに遭った被害者への損害賠償対応
・信用の失墜からの取引停止や解約、顧客の流出
・ネット遮断や原因調査による業務停止、業務効率の低下、従業員の士気低下
うわぁ…
うちくらいの規模の会社なら倒産の危機になるかもしれない…!
ヤバイ!
すぐにセキュリティ体制を整えないと!
でも、どうしたらいいんだ?何から始めたらいいんだ?
誰かぁぁ!助けてぇぇぇ!
落ち着け、にのまえ!
情報セキュリティ対策をしたいが、何から始めて良いかわからない企業こそ押さえてほしい5つのポイントがある!
え!?そんなのあるんですか!?
早く教えてくださいよ!!
1.OSやソフトウェアをアップデートし、最新の状態に保つ
まずはこれだ!
業務に使っているパソコン、買ったときのまま何もしていない…
なんてことはないだろうな…?
必ず更新プログラムやアップデート通知があるはずだ。
むやみに消したり、最新の状態に更新しないまま使い続けるのは危険だ
うちの会社ではWindowsを使っているから、修正や更新プログラムはWindows Updateで各自プログラムを 自分のパソコンにかけてもらうようにしてます!
パソコンだけでなく、スマートフォンも気をつけてくれ。
MacやiPhoneならソフトウェア・アップデート、AndroidはOSのバージョンアップをチェックするように。
その他にもPDFを閲覧・編集するAdobe ReaderやJavaなどのソフトウェア、業務で使っているツールもアップデート通知が来るものは必ずチェックして更新しよう
2.パスワードの強化を行う
誕生日や名前など推測されやすいパスワードは突破されやすいため、 避けたほうが無難だ。また、最近は複数のWebサービスで同じパスワードを使うこと、 つまりパスワードの使いまわしも問題になっているぞ。 どこかのサービスからID・パスワードが流出したことにより、芋づる式に他のサービスに不正にログインされるケースが増えているんだ
僕は好きなグラビアアイドルが何人かいるので、彼女たちのスリーサイズを各サイトのパスワードにしてるので大丈夫です!
そ、そうか…
パスワードは英数字だけでなく、
記号を含めて10文字以上にしておくといい。
長く複雑なものを設定することがポイントだ。
とはいえ、個人に任せるとつい覚えやすいパスワードを設定しがちだ。
社内では、パスワードの設定方法を情報セキュリティ規則として
ルール化しておくといいだろう。
3.ウイルス対策ソフトを導入する
これは一番大切だと思って、まっさきに導入しました!
ファイルを勝手に暗号化されて変な警告が出るウイルスとか流行りましたもんね!他にも社員が勝手に海外サイトで素材をダウンロードしたら感染しちゃってたり…
ウイルス対策ソフトは導入したら終わりではなく、ウイルスの定義ファイルを最新に保つことも忘れないようにな! ウイルス定義ファイルとは、新しいウイルスやさまざまなウイルスの攻撃パターンなどが入ったファイルだ。 これがあることでウイルス対策ソフトはさまざまな攻撃を検知できる。
パソコンのOSやソフトウェアアップデートと同じく、
ウイルス対策ソフトも最新の状態に保つ必要があるんですね!
4.共有設定の見直しをする
インターネット上にデータを保管できるクラウドサービスや社内で共有しているハードディスク(NAS)を業務で使っている企業も多いだろう。 こうしたデータ保管先へのログインやファイル閲覧の権限を 正しく設定しないと、誰でも機密情報が閲覧できる状態になっていたり、 関係ない人に情報を覗かれる可能性がある。
そういえば、
退職した社員が勝手にクラウドのファイル保管庫を覗いていて
問題になったことがあったな…
従業員の異動や退職があったら、必ず共有範囲の設定を見直して権限の変更やアカウントの削除を行なうことが大切だ。 また、ネットワークに接続されているコピーなどの複合機やカメラも要注意だ!
便利になったぶん、気を付けないといけないですね!
台数が増えるほど抜け漏れが出そうだから管理簿をつくっておこう…
5.セキュリティ情報から脅威や攻撃の手口を知る
標的型攻撃メールもそうだが、 近年はサイバー攻撃とわからないような巧妙な手口が増えている。 例えば、いつも使っている通販サイトからセールのお知らせが来て、 アクセスしてみたら実は本物そっくりの偽サイトでID・パスワードなど 個人情報を盗まれたというケースなどだ。
多田野部長とかブランドもの大好きだから、飛びつきそう…
こういうのはどうすればいいんでしょう?
僕だけが気をつけていても仕方ないような気が…
もちろん、会社の中でキミひとりだけが 気を付ければいいという問題ではないが、 まずは担当となった以上は情報収集をすることが大切だ。 セキュリティ専門機関のサイトやメルマガを読んだり、 ITニュースをチェックしてみよう。 あとは、利用している店舗やサービス機関、取引先からセキュリティに 関するお知らせが届くことがある。 こうした通知も見逃さず、きちんと中身を確認することだ。
─────────────
この5つのポイントなら、確かにうちの会社でもできそうです! でも、ひとつひとつ別のツールを使ったり、 Excelとかで管理簿をつくる…となると、ちょっと面倒だなぁ。 ウイルス対策ソフトも予算とってなかったから、 慌ててフリーのものを入れたっきりだし…
おい!にのまえくん!
さっきのメール、総務部が開けたって言ってるぞ!
何か変な文字が出てるって!
すぐにどうにかしてくれ!
え!?い、いきなり、何なんですか!?
…まさか部長、総務部にも転送してたんですか!?
げげーーっ!絶対マルウェアに感染したんだ…!
もうやだ…情報セキュリティ対策って大変…
おい!しっかりしろ!
企業に向けられた脅威はこうして内部拡散されやすい点も恐ろしいポイントだ!
だからこそ、日ごろの情報セキュリティ対策が大切なんだ!
仕方ない…ここは私に任せろ!
光ファイバーテイル!ネットワークに入るぞ!
~Joshisu Man Equipment③:マルチセキュリティツール~
Joshisu Manのベルト部分についているカード型のセキュリティツール。カードについているボタンを押して、共通鍵や秘密鍵の生成はもちろん、カードそのものをかざすことでデータ通信やセキュリティの制御と操作ができる。また、カードを取り外してルーターウォール、光ファイバーテイルに差し込むことで機能をパワーアップ&拡張できる
光ファイバーテイルを振りかざし、Joshisu Manがネットワーク空間に入っていくと見覚えのあるシルエットが浮かび上がってきた。
ククククッ…!いいぞ!
誰かがマルウェアに感染してくれたようだナ!
いっきにこのまま広まれェェェェェ!
またおまえの仕業か!
DR.プロトコル!
ククククッ…!
情報セキュリティ対策をしっかりしていないほうが悪いんだ!
自分のところは大丈夫って思っているヤツほど、突然のトラブルにどうしていいかわからなくなるんだからナ!
だからと言って、悪行を働く理由にはならないぞ!
カードを光ファイバーテイルにセット!
クラウド型アンチウィルスソリューション「エフセキュア アンチウィルス」展開!
同時に「PCセキュリティ」インストール!
ククククッ…!マルウェアの感染力はすさまじいぞ!
追いつけるかナ!?
クッ…!しかし、トラブルに気づいて初動が早かったぶん
何とかなりそうだ…!
「エフセキュア アンチウィルス」スキャン完了!
マルウェアファイルを完全隔離!
ククククッ…!
今回はここまでだ!
攻撃の手口はまだまだある…!
この会社は穴だらけだ!楽しみにしていろ…!
(ブォン)
今回はあっさり引いたな…
しかし、あの不敵な笑みはなんだ…?
─────────────
よかった…!総務部のパソコンの不審な動作、止まったみたいです!
…ん?げげーーっ!
逆に僕のパソコンがなんだか変です!見覚えのない管理画面が…!
おちつけ!
これは「PCセキュリティ」のレポート画面だ!
ぴ、「PCセキュリティ」?
「エフセキュア アンチウィルス」はウイルス対策ソフトですよね「PCセキュリティ」って何ですか?同じセキュリティソフトっぽいけど…
「PCセキュリティ」はIT資産管理ソリューションだ。
各パソコンの情報やソフトウェアのライセンスを管理したり、パソコンの操作ログやUSBの使用制御をしたりすることができる。
ひとつひとつの管理が面倒、手がまわらないなら、こうしたソリューションを導入するのも手だ。
なるほど!こんなのがあったんですね!
これは便利だ!
さっそく、社内の情報セキュリティ対策を策定してみます!
ありがとう!Joshisu Man!
無事、解決したようだな…
強い情シスが企業を伸ばす!
また会おう!さらばだ!
情報セキュリティ対策はどこから手を付けていいのか、また、どこまでやればいいのか判断が難しいもの。特に中小企業では担当者を任命したものの他業務と兼任していて手が回らなかったり、コストが厳しかったりするだろう。紹介した情報セキュリティ対策5つのポイントは、中小企業が最低限講じておくべき要点を押さえている。まずは、この5つのポイントからチェックしてみるといいだろう。また、中小企業では、規模の拡大や支社増設に伴った情報セキュリティ対策の見直しができていない場合も多い。急な成長でマンパワーが追いつかない、ISMSやPマーク取得などとにかく情報セキュリティ対策の構築が急務といった場合は、USENが提供するセキュリティソリューションの導入を検討してみてほしい。
「USEN GATE 02 ― エフセキュア アンチウィルス ―」
・高度な防御力を持ち、Web上で管理できるクラウド型ウイルス対策サービス
・サンドボックス機能で未知のウィルスも検知可能
・パターンファイル更新だけでなく、ソフトウェアのアップグレードまで全自動
・Windows、Mac、Linux、Androidなどの各種OSに対応
「USEN GATE 02 ― PCセキュリティ ―」
・手間とコストをかけずに会社のIT資産をクラウドで管理
・操作ログの収集、分析、レポートまでパソコン経由の様々な情報漏えい経路を監視
・勤怠管理やソフトウェアのライセンス管理などオフィスに適した機能も搭載
・USB制御機能やWindowsパッチ強制アップデートなど社内セキュリティ環境の強化も支援
TO BE CONTINUED…