セキュリティ意識を
高める組織づくり
さらに、こうしたログ取得や監視などのツールの導入に加えて、「従業員のセキュリティの感度を高める組織づくりが必要です」と舘野氏は強調する。
例えば、通常の取引先のはずなのに、件名やフッターに不審な点があるメールが届いた場合。取りあえずはシステム部門に知らせるという行動が身に付いていれば、システム部門がメールの内容をチェックし、社内に攻撃の注意喚起を通達するといった対策が可能になる。昨今、標的型攻撃に備えた模擬メール訓練を実施する企業が増えているが、それは実被害を防ぐだけでなく、従業員の意識を高める効果ももたらす。
また、従業員のセキュリティ意識の低さに起因する脅威もある。複数のWebサイトや社内システム利用時に忘れないように、同一のID、パスワードを使い回している人もいるだろう。
こうした隙を突き、攻撃者が盗み取ったID、パスワードを悪用し、本人になりすまして不正アクセスする攻撃も多発している。そこで、パスワードの使い回しを禁止するなど、適切なパスワード管理を従業員に徹底する必要がある。
情報セキュリティ対策で注意したいのが、PCの基本ソフトWindows XPの問題だ。4月9日にサポートが終了したが、XPで動作する業務システムを利用しているといった理由により、まだ使い続けている企業はないだろうか。
セキュリティ対策が脆弱なPCは標的型攻撃の踏み台になるリスクも高まる。舘野氏は「どうしてもXPを使い続けなければいけないのであれば、用途を限定すべきです」と助言する。
例えば、他の社内システムとネットワークを分けるほか、監視を厳重にするなど、XPを利用する部署のセキュリティ意識を高める必要があるという。
攻撃がますます巧妙化する中、従来のセキュリティ対策ツールでは対応できない脅威があることを認識し、人的、組織的にカバーすることが重要になる。企業資産を守る情報セキュリティ対策の強化は、組織体制の見直しから始まるといえるだろう。
標的型攻撃とは
特定の企業・組織を狙ったサイバー攻撃で、複数の手法を組み合わせて繰り返し攻撃してくる点が特徴。機密情報や技術情報などを盗み取り、第三者に転売するなど金銭目的の攻撃が増えている。攻撃の対象が限定的なことや手口が巧妙化、複雑化していることから、標的にされた企業が被害に気付かないことも多い。海外では金融機関など重要なシステムを狙った攻撃も発生し、深刻な事態となっている。
多くの場合、攻撃は段階的に行われる。例えば、標的とする企業の管理職などにウイルスを埋め込んだメールを送り付けて感染させ、乗っ取る。その後、指令サーバからその端末を操り、IDやパスワードを盗んだり、システムの脆弱性を突いたりして機密情報を盗み出す。
攻撃の振る舞いを仮想的にシステム内で再現して検知する方法や、入り口から出口まで複数のセキュリティ対策を組み合わせる方法など、さまざまな防御策が提案されている。
