感染・攻撃被害に備え
全社で“避難訓練”を

 前述の「情報セキュリティ10大脅威2021」(組織)では、1位の「ランサムウェアによる被害」に続き、2位が「標的型攻撃による機密情報の窃取」、3位が「テレワーク等のニューノーマルな働き方を狙った攻撃」となっている。VPNなどテレワーク向け製品の脆弱性を悪用した攻撃や、急速なテレワークへの移行により、ルール整備やセキュリティ対策のノウハウが不十分なことなど、テレワーク環境が狙われる要因についてIPAでは例示している。

 ランサムウェアや標的型攻撃をはじめとするサイバー攻撃は、巧妙化、増大することはあっても、なくなることはない。そこで、被害に遭った場合を想定して日頃から訓練をしておくことが重要だ。「地震や火災などに備えた防災訓練と同様に、サイバー攻撃の“避難訓練”をお勧めします」と満永准教授。訓練には情報システム部門だけでなく、営業や総務、法務、広報などの各部門も加わり、「実際にインシデントが起こった場合に誰がどんな役割を担うのか、対応手順を訓練しておくのがよいでしょう」と続ける(図)。

図 ウィズコロナ時代のセキュリティ対策

 こうした訓練とともに、テレワーク環境のパソコンやネットワーク機器の感染被害を防ぐセキュリティ製品の導入や、従業員に対するセキュリティ教育の実施なども必要になる。自社だけでは対応が難しい場合、外部のセキュリティ専門家の力を借りるなどしてセキュリティ対策を強化しておくべきだ。