Webサイトの改ざんや標的型攻撃メールなど、巧妙な手口で企業を狙うサイバー攻撃は近年多発している。こうしたサイバー攻撃の恐ろしい点は何といっても、企業の保有している個人情報や機密情報の漏洩だ。狙われた企業の管理体制の脆弱性や情報セキュリティ対策が大きなニュースとして取り上げられることが増えてきたが、まだまだ大企業や有名企業の事例が中心。だからこそ、中小企業にとっては実感のわかないケースばかりかもしれない。そんな“対岸の火事”よろしく、のんびり構えている情シスがここにもひとり─────

にのまえ はじめ

(カップラーメンをすすりながら)
ふーん…あの大手企業が情報漏えいかぁ…
原因は企業や特定の個人にあたかも関係ありそうなメールを送り、 開封するとマルウェアに感染する「標的型攻撃メール」ねぇ… 怪しそうに見えるけど気づかないもんなのかなぁ ま、多田野ぶちょーなら(もぐもぐ)
開けちゃいそうだけどっ…(もぐもぐ)
うちにはかんけーないね!(もぐもぐ)

多田野部長

お疲れさま!にのまえくん!

にのまえ はじめ

ぐっ、ぐふっ…(口に含んだ麺を何とか飲み込む)
たっ、多田野部長…
な、なんでしょうか~?ハハハ
(さっきの聞かれてないよな…?)

多田野部長

私にこんなメールが来たんだが…
私よりキミが読むべきメールだと思ってねキミに転送しておいたよ

にのまえ はじめ

んんん?何ですかこのメール?
先月ご依頼いただいた中小企業のセキュリティ現況調査について…?
こんなの頼んだかなぁ?

多田野部長

なに!?にのまえくん、何のメールか覚えてないのか!?
しょうがないやつだなぁ…
ここに添付ファイルがあるから見てみればわかるだろう
じゃあ、よろしく頼むよ!

──── 数時間前 ────

Dr. Protocol

(とある雑誌を広げながら)
なになに?
週刊ハッカーくんによると、いまトレンドなのは標的型攻撃メール…
ククククッ…!
これは面白そうだナ!試しにいくつか送ってみるか!
セキュリティのあまそうな小さな会社と…
いつも間抜けなアイツの会社にも送ってやろう!
ククククッ!

~Dr.Protocol Equipment①:マルチLANハンド

伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。

Dr. Protocol

よし、これで私のラボのサーバーをめいっぱい使って
色んなところに攻撃メールを送ってやろう!
内容はセキュリティ調査結果の送付!
今の時期なら健康診断結果の送付メールなんかも良いナ…
ククククッ騙されてくれよ

にのまえ はじめ

よろしく頼むよって、部長も適当だなぁ…
本当にこんなの頼んだ覚えないんだけど
でも勉強になりそうだし、えーい!ポチッと…

Joshisu Man

押すな!そこのキサマ!

にのまえ はじめ

!?
あ、あなたはJoshisu Manさん!
お昼どきに来るなんてめずらしいですねそしてキサマ呼ばわりって…

Joshisu Man

この近くの激辛ラーメン店に並んでいたんだが、危険を察知してかけつけたんだ…!
おかげで今日は食いっぱぐれそうだ!というわけでキサ…
いやキミ、そのメールがどこの誰から送られてきて、何が目的で、中身が何のファイルなのかわかっているのか?

にのまえ はじめ

こ、これですか?
さっき部長から転送されてきたセキュリティ調査結果のメールですよくは知りませんけれど……ハッ!
これってまさか…!?

Joshisu Man

そうだ、
標的型攻撃メールだ

にのまえ はじめ

げげーーっ!ぶ、ぶちょー!
今すぐさっきのメール消してくださーーーい!

──── 数分後 ────

にのまえ はじめ

な、なんとか猛ダッシュして部長の机に滑りこみ…
部長が添付ファイルを開く寸前で止めて削除できた…っ!
(ゼェ…ハァ…)つ、疲れたぁ…!

多田野部長

おい!にのまえくん!これは一体どういうことだ!?
標的型攻撃メールだか何だかわからないが、
いきなり危険だからメールを消せだなんて…!
まさか、今テレビで流れている大手企業と同じ状況なのか!?
それはまずい!
すぐに社内に最適なセキュリティ体制を考えてくれ!
頼んだぞ!

にのまえ はじめ

げげぇっ!これまた急なジャストアイデアやめてくれよ~!
でも…もし、さっきのメール添付を開いていたらどうなっていたんだろう…?

Joshisu Man

間一髪、何ごともなくて幸いだったな!

にのまえ はじめ

またどこからともなく現れてくれましたね…
急に社内のセキュリティ体制を整えろって言われちゃいましたよ、まったく そもそも、うちにそんな大切な情報ってあったか…?

Joshisu Man

そんなことを言っているようでは甘いぞ!
にのまえ!
こんな情報がキミの会社にもあるんじゃないか?

【調査】~MISSION!~

セキュリティ対策するほど大切な情報なんてない…と思っている企業こそCheck!
こんな情報を持っていないだろうか?

・セキュリティ対策するほど大切な情報なんてない…と思っている企業こそCheck!
こんな情報を持っていないだろうか?

・従業員データ(例:氏名・電話番号・住所・メールなどの連絡先、マイナンバー、給与明細、健康診断結果などの機微な個人情報)

・顧客データ(例:氏名・電話番号・住所・メールなどの連絡先)

・取引先データ(取引額や卸額などの取引内容、取引先から預かった資料など)

・機密データ(自社サービスや新製品の開発資料、設計図、調査資料、論文など)

にのまえ はじめ

げげっ…!
確かに守らなきゃいけない情報って意外にいっぱいありますね…! パソコンでのデータ管理がほとんどだし、流出したらすごいことになりそう…

Joshisu Man

そうだ。たかがサイバー攻撃…と侮っていると非常に危険だ!
こんなリスクがあることを想定しておこう

にのまえ はじめ

うわぁ…
うちくらいの規模の会社なら倒産の危機になるかもしれない…!
ヤバイ!
すぐにセキュリティ体制を整えないと!
でも、どうしたらいいんだ?何から始めたらいいんだ?
誰かぁぁ!助けてぇぇぇ!

Joshisu Man

落ち着け、にのまえ!
情報セキュリティ対策をしたいが、何から始めて良いかわからない企業こそ押さえてほしい5つのポイントがある!

にのまえ はじめ

え!?そんなのあるんですか!?
早く教えてくださいよ!!

1.OSやソフトウェアをアップデートし、最新の状態に保つ

Joshisu Man

まずはこれだ!
業務に使っているパソコン、買ったときのまま何もしていない…
なんてことはないだろうな…?
必ず更新プログラムやアップデート通知があるはずだ。
むやみに消したり、最新の状態に更新しないまま使い続けるのは危険だ

にのまえ はじめ

うちの会社ではWindowsを使っているから、修正や更新プログラムはWindows Updateで各自プログラムを 自分のパソコンにかけてもらうようにしてます!

Joshisu Man

パソコンだけでなく、スマートフォンも気をつけてくれ。
MacやiPhoneならソフトウェア・アップデート、AndroidはOSのバージョンアップをチェックするように。 その他にもPDFを閲覧・編集するAdobe ReaderやJavaなどのソフトウェア、業務で使っているツールもアップデート通知が来るものは必ずチェックして更新しよう

2.パスワードの強化を行う

Joshisu Man

誕生日や名前など推測されやすいパスワードは突破されやすいため、 避けたほうが無難だ。また、最近は複数のWebサービスで同じパスワードを使うこと、 つまりパスワードの使いまわしも問題になっているぞ。 どこかのサービスからID・パスワードが流出したことにより、芋づる式に他のサービスに不正にログインされるケースが増えているんだ

にのまえ はじめ

僕は好きなグラビアアイドルが何人かいるので、彼女たちのスリーサイズを各サイトのパスワードにしてるので大丈夫です!

Joshisu Man

そ、そうか…
パスワードは英数字だけでなく、 記号を含めて10文字以上にしておくといい。 長く複雑なものを設定することがポイントだ。 とはいえ、個人に任せるとつい覚えやすいパスワードを設定しがちだ。 社内では、パスワードの設定方法を情報セキュリティ規則として ルール化しておくといいだろう。

3.ウイルス対策ソフトを導入する

にのまえ はじめ

これは一番大切だと思って、まっさきに導入しました!
ファイルを勝手に暗号化されて変な警告が出るウイルスとか流行りましたもんね!他にも社員が勝手に海外サイトで素材をダウンロードしたら感染しちゃってたり…

Joshisu Man

ウイルス対策ソフトは導入したら終わりではなく、ウイルスの定義ファイルを最新に保つことも忘れないようにな! ウイルス定義ファイルとは、新しいウイルスやさまざまなウイルスの攻撃パターンなどが入ったファイルだ。 これがあることでウイルス対策ソフトはさまざまな攻撃を検知できる。

にのまえ はじめ

パソコンのOSやソフトウェアアップデートと同じく、
ウイルス対策ソフトも最新の状態に保つ必要があるんですね!

4.共有設定の見直しをする

Joshisu Man

インターネット上にデータを保管できるクラウドサービスや社内で共有しているハードディスク(NAS)を業務で使っている企業も多いだろう。 こうしたデータ保管先へのログインやファイル閲覧の権限を 正しく設定しないと、誰でも機密情報が閲覧できる状態になっていたり、 関係ない人に情報を覗かれる可能性がある。

にのまえ はじめ

そういえば、
退職した社員が勝手にクラウドのファイル保管庫を覗いていて 問題になったことがあったな…

Joshisu Man

従業員の異動や退職があったら、必ず共有範囲の設定を見直して権限の変更やアカウントの削除を行なうことが大切だ。 また、ネットワークに接続されているコピーなどの複合機やカメラも要注意だ!

にのまえ はじめ

便利になったぶん、気を付けないといけないですね!
台数が増えるほど抜け漏れが出そうだから管理簿をつくっておこう…

5.セキュリティ情報から脅威や攻撃の手口を知る

Joshisu Man

標的型攻撃メールもそうだが、 近年はサイバー攻撃とわからないような巧妙な手口が増えている。 例えば、いつも使っている通販サイトからセールのお知らせが来て、 アクセスしてみたら実は本物そっくりの偽サイトでID・パスワードなど 個人情報を盗まれたというケースなどだ。

にのまえ はじめ

多田野部長とかブランドもの大好きだから、飛びつきそう…
こういうのはどうすればいいんでしょう?
僕だけが気をつけていても仕方ないような気が…

Joshisu Man

もちろん、会社の中でキミひとりだけが 気を付ければいいという問題ではないが、 まずは担当となった以上は情報収集をすることが大切だ。 セキュリティ専門機関のサイトやメルマガを読んだり、 ITニュースをチェックしてみよう。 あとは、利用している店舗やサービス機関、取引先からセキュリティに 関するお知らせが届くことがある。 こうした通知も見逃さず、きちんと中身を確認することだ。


にのまえ はじめ

この5つのポイントなら、確かにうちの会社でもできそうです! でも、ひとつひとつ別のツールを使ったり、 Excelとかで管理簿をつくる…となると、ちょっと面倒だなぁ。 ウイルス対策ソフトも予算とってなかったから、 慌ててフリーのものを入れたっきりだし…

多田野部長

おい!にのまえくん!
さっきのメール、総務部が開けたって言ってるぞ!
何か変な文字が出てるって!
すぐにどうにかしてくれ!

にのまえ はじめ

え!?い、いきなり、何なんですか!?
…まさか部長、総務部にも転送してたんですか!?
げげーーっ!絶対マルウェアに感染したんだ…!
もうやだ…情報セキュリティ対策って大変…

Joshisu Man

おい!しっかりしろ!
企業に向けられた脅威はこうして内部拡散されやすい点も恐ろしいポイントだ!
だからこそ、日ごろの情報セキュリティ対策が大切なんだ!
仕方ない…ここは私に任せろ!
光ファイバーテイル!ネットワークに入るぞ!

~Joshisu Man Equipment③:マルチセキュリティツール~

Joshisu Manのベルト部分についているカード型のセキュリティツール。カードについているボタンを押して、共通鍵や秘密鍵の生成はもちろん、カードそのものをかざすことでデータ通信やセキュリティの制御と操作ができる。また、カードを取り外してルーターウォール、光ファイバーテイルに差し込むことで機能をパワーアップ&拡張できる

光ファイバーテイルを振りかざし、Joshisu Manがネットワーク空間に入っていくと見覚えのあるシルエットが浮かび上がってきた。

Dr. Protocol

ククククッ…!いいぞ!
誰かがマルウェアに感染してくれたようだナ!
いっきにこのまま広まれェェェェェ!

Joshisu Man

またおまえの仕業か!
DR.プロトコル!

Dr. Protocol

ククククッ…!
情報セキュリティ対策をしっかりしていないほうが悪いんだ!
自分のところは大丈夫って思っているヤツほど、突然のトラブルにどうしていいかわからなくなるんだからナ!

Joshisu Man

だからと言って、悪行を働く理由にはならないぞ!
カードを光ファイバーテイルにセット!
クラウド型アンチウィルスソリューション「エフセキュア アンチウィルス」展開!
同時に「PCセキュリティ」インストール!

Dr. Protocol

ククククッ…!マルウェアの感染力はすさまじいぞ!
追いつけるかナ!?

Joshisu Man

クッ…!しかし、トラブルに気づいて初動が早かったぶん
何とかなりそうだ…!
「エフセキュア アンチウィルス」スキャン完了!
マルウェアファイルを完全隔離!

Dr. Protocol

ククククッ…!
今回はここまでだ!
攻撃の手口はまだまだある…!
この会社は穴だらけだ!楽しみにしていろ…!
(ブォン)

Joshisu Man

今回はあっさり引いたな…
しかし、あの不敵な笑みはなんだ…?


にのまえ はじめ

よかった…!総務部のパソコンの不審な動作、止まったみたいです!
…ん?げげーーっ!
逆に僕のパソコンがなんだか変です!見覚えのない管理画面が…!

Joshisu Man

おちつけ!
これは「PCセキュリティ」のレポート画面だ!

にのまえ はじめ

ぴ、「PCセキュリティ」?
「エフセキュア アンチウィルス」はウイルス対策ソフトですよね「PCセキュリティ」って何ですか?同じセキュリティソフトっぽいけど…

Joshisu Man

「PCセキュリティ」はIT資産管理ソリューションだ。
各パソコンの情報やソフトウェアのライセンスを管理したり、パソコンの操作ログやUSBの使用制御をしたりすることができる。
ひとつひとつの管理が面倒、手がまわらないなら、こうしたソリューションを導入するのも手だ。

にのまえ はじめ

なるほど!こんなのがあったんですね!
これは便利だ!
さっそく、社内の情報セキュリティ対策を策定してみます!
ありがとう!Joshisu Man!

Joshisu Man

無事、解決したようだな…
強い情シスが企業を伸ばす!
また会おう!さらばだ!

【解決】~ICT SOLUTION!~

情報セキュリティ対策はどこから手を付けていいのか、また、どこまでやればいいのか判断が難しいもの。特に中小企業では担当者を任命したものの他業務と兼任していて手が回らなかったり、コストが厳しかったりするだろう。紹介した情報セキュリティ対策5つのポイントは、中小企業が最低限講じておくべき要点を押さえている。まずは、この5つのポイントからチェックしてみるといいだろう。また、中小企業では、規模の拡大や支社増設に伴った情報セキュリティ対策の見直しができていない場合も多い。急な成長でマンパワーが追いつかない、ISMSやPマーク取得などとにかく情報セキュリティ対策の構築が急務といった場合は、USENが提供するセキュリティソリューションの導入を検討してみてほしい。

「USEN GATE 02 ― エフセキュア アンチウィルス ―」

・高度な防御力を持ち、Web上で管理できるクラウド型ウイルス対策サービス
・サンドボックス機能で未知のウィルスも検知可能
・パターンファイル更新だけでなく、ソフトウェアのアップグレードまで全自動
・Windows、Mac、Linux、Androidなどの各種OSに対応


TO BE CONTINUED…

この記事に関連するお役立ち資料はこちら

情報システム・セキリティ学びスタートアップガイド

情報システム業務は、たった1人で担当していたり、専門ではない方が兼務で担っている状況も多いはずです。そんな方々に情報セキュリティの基礎を知っていただくことで、少しでもお仕事がスムーズになるお手伝いができればという思いで資料を作成しました。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス