サイバー攻撃はシステム対応だけでは防げない

 情報漏洩を防ぐためにセキュリティ対策をきちんと施すことが大切だと多くの専門家は言いますが、実は完全なセキュリティ対策はありません。

 それどころか、せっかくお金をかけて環境を整えたにも関わらずそれらが徒労に終わる可能性があります。

 その理由は、人間は必ずミスを犯す生き物だからということと、高度な訓練を受けてあるいは独自で研究してインターネットを知り尽くしたサイバー犯罪者が多いからです。

 まずはミスをすることができない環境づくりと、攻撃を受けること前提でのルールづくりをすべきではないでしょうか?

サイバー攻撃の原因のほとんどが人的ミス

 怪しいメールを開けてしまった!大切な書類や端末を置いてきてしまい、そこから攻撃を受けてシステムに侵入された!など人為的ミスによる情報漏洩が後を絶ちません。

 そもそも人間はミスを犯すのですから、セキュリティ教育を徹底するという方法では限界があると思います。

 そこで、どんなミスが多いのか?

 それらを回避するための方法について紹介します。

身に覚えのないメールは即削除!ができていない

 仕事に関するメールならば必ず件名に、内容がわかるような文章が記載されているはずです。

 たとえ知っている人からのメールだとしても、「何だろう?」「何のことだろう?」と思った際には必ず送信元の人に、メールを送ったかどうか確認してください。

 そもそも送信元の人物に心当たりがないならば、即削除すべきです。

 しかし多くの人は「もしかしたら自分が忘れているだけかもしれない」と考えメールや添付ファイルを開いてしまうでしょう。

参照元:警察庁「〜平成30年におけるサイバー空間をめぐる脅威の情勢等について〜」より

 そんな時には、あらかじめ仕事に関係のないアドレスからは一切メールをもらわないようにすればいいのです。

 そのためには「SPF」を導入することをお勧めします。

 「SPF(Sender Policy Framework)」は、なりすましメール対策として大変有効な手段で、まずは自社のメールサーバに使用するメールアドレスをあらかじめ登録しておきます。

 たとえばA社と名乗るところからメールが送られてきた場合、受信側は来たメールがなりすましメールではないかどうか、実際にA社のサーバに確認します。

 しかしこの機能にはデメリットがあります。

 それは送信側と受信側の双方で導入する必要があるということです。

 社内メールならば導入は可能ですが、顧客先や取引先とのメールの場合は出来るだけSPFを導入してもらうよう交渉するか、導入できないならば厳重なメールフィルターを設けるべきです。

被害に遭った報告が遅れる


参照元:警察庁「〜不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況〜」より

 たとえ自らの行為によって被害にあったわけではないにしろ、誰でも被害にあったという報告はしたくないものです。

 けれどもこの報告が、その後の体勢を立て直すまでの時間に大きく左右します。

 というのも、まず被害にあった場合は主に以下のことをすべきであり、かつこれらを全て完了するにはおよそ1〜2日ほどかかります。
・対象の端末および近くの端末をインターネットから切断
・自社に設けているセキュリティー部門に状況を伝える
サイバーレスキュー隊(J-CRAT)などセキュリティの専門家に状況を伝える

 ここで大切なことは、決して社内だけで解決しようとしないことです。

 報告が遅れる例で最も多いのは、社内だけで解決しようと専門家への相談を後回しにしたばかりに、解決できずに被害にあってから数日後に専門家へ相談したというケースです。

 サイバー攻撃を受けて情報漏洩したことが発覚し、謝罪会見を行うニュースを見たことがあると思います。

 詳細を見てみると、被害にあってから措置を取るまでが長すぎると感じたことはありませんか?

 これらのほとんどが、事後対応を後回しにした結果でもあるのです。

 報告を受けた側も、報告者に対して威圧的な態度を取るよりも、被害拡大を防ぐために動く方がより効果的ですし食い止められる情報漏洩もたくさんあります。

 それらを徹底的に守りましょう。

セキュリティを意識すると業務が非効率になる!?

 たった一つのことをするだけなのに、何回ものパスワード認証に何十ものロック解除に申請にめんどくさいですよね?

 ならばいっそのことパスワードは全て同じにしたり、申請せずこっそり端末を持ち出したりした方がより効率よく仕事ができます。

参照元:警察庁「〜平成30年におけるサイバー空間をめぐる脅威の情勢等について〜」より

 このようにセキュリティを意識すると業務効率が非常に悪くなることがあり、これらがセキュリティルールが守られない要因になります。

 パスワードや認証においては生体認証を導入することをお勧めします。

 導入にはコストがかかりますが、パスワードのように流出する危険性も少ないですし、最近は精度がかなり上がってきているので認証までがスピーディーです。

 申請においても紙や書類を使用した申請ではなく、社内システムやソフトを導入したワンクリック申請に変更すると、申請への抵抗がなくなるでしょう。

セキュリティをかいくぐる攻撃方法が日々編み出される

 近頃はセキュリティ環境を整えなければならないという意識が定着してきたためか、アンチウイルスソフトの導入、ファイアーウォールの設定など個人情報を取り扱う会社ならば最低限の対策は施している企業がほとんどです。

 しかしそれでも攻撃者は、既存のアンチウイルスおよびセキュリティシステムについて日々研究しており、それらを上回る攻撃方法を編み出しているのです。

パターンファイルにないウイルスで攻撃

 最も多く出回っているアンチウイルスソフトの仕組みは、パターンファイル(ウイルス定義ファイル)に記載されているウイルスと、外部から入ってくる情報とを照合してウイルスを判別する仕組みです。

 パターンファイルは定期的に更新され、パターンファイルに合ったウイルスを確実に駆除します。

 しかし、裏を返せばパターンファイルに記載されていないウイルスは検出されないということです。

 それを防ぐためにも、アンチウイルスソフトには様々な機能がついていますが、それでもそれらをかいくぐってきてしまうウイルスが日々作られています。

 きちんとアンチウイルスソフトを導入し、更新していたにも関わらずそれらのウイルスに感染し、情報が流出した企業が少なくありません。

攻撃者に先回りされてゼロデイ攻撃を受ける

 どんなシステムやサービスにも必ず製作者のミスやバグが存在します。

 攻撃者は常にそれらの粗探しを行なっており、見つけ次第攻撃します。

 粗探しを行うのは攻撃者だけではなく、システムを製作した企業の研究者やそれらを発見することで得られる報酬を目当てに探すリサーチャーと呼ばれる人もいます。

 この人たちは積極的にシステム製作企業にバグの箇所を伝え、対策を取るよう呼びかけてくれます。

 その情報をもとにシステム製作企業は新たなセキュリティパッチや更新プログラムを出すというわけです。

 しかし攻撃者が先にバグを発見し攻撃した場合、それがゼロデイ攻撃になり得るのです。

 セキュリティパッチや更新プログラム等の対策が行われていない中、ゼロデイ攻撃を受ければ回避のしようがありません。

 これが、システム対応だけではサイバー攻撃を完全に防ぐことができない理由の一つです。

まとめ

 サイバー攻撃を完全に防ぐ手段は存在せず、特に新種のウイルスやゼロデイ攻撃からはシステムを守る術がありません。

 けれども安心してください。

 防げないと肩を落とすのではなく、大切なことはミスをしないルールづくりと攻撃を受けた後の対処をきちんと行うことで、被害を最小限に抑えることができます。

 まずは一度、サイバー攻撃は必ず受けるものだと考え、受けた後のルールづくりを見直してみてはいかがでしょうか?

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
月額5,000円から利用できるサイバー保険付帯サービス
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。