ビジネス ニュース

ビジネスに役立つ情報が満載!「コラム」「漫画で見る」コンテンツを公開中!

2018年4月6日

いまさら聞けない!?情報セキュリティリスク、基本のキホン

  • facebook
  • twitter
  • line

警戒すべきセキュリティ上の「脅威」とは

まずは、企業を取り巻く「情報セキュリティ上の脅威」のトレンドについて触れておく。

日本における情報セキュリティ対策の政策実施機関である独立行政法人・情報処理推進機構(IPA)は先ごろ、『情報セキュリティ10大脅威 2018』(2018年1月30日報道発表/3月30日更新/※)を発表した。それによれば、企業・組織が特に警戒/問題視すべき脅威は下記のとおりであるという。

※:2017年に発生し、社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーから成る「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの

1位:標的型攻撃による被害
2位:ランサムウェアによる被害
3位:ビジネスメール詐欺による被害
4位:脆弱性対策情報の公開に伴う悪用増加
5位:脅威に対応するためのセキュリティ人材の不足
6位:ウェブサービスからの個人情報の窃取
7位:IoT機器の脆弱性の顕在化
8位:内部不正による情報漏えい
9位:サービス妨害攻撃によるサービスの停止
10位:犯罪のビジネス化(アンダーグラウンドサービス)

(資料:情報処理推進機構『情報セキュリティ10大脅威 2018』 別ウインドウが開きますhttps://www.ipa.go.jp/security/vuln/10threats2018.html

上記10大脅威のうち、5位の「セキュリティ人材の不足」や8位の「内部不正による情報漏えい」、10位の「犯罪のビジネス化」などは、セキュリティ用語を知らなくとも何を意味しているかの大枠はつかめる。

ただし、他の項目については、セキュリティ用語に関する基礎的な理解がないと、それがどんな脅威かがわからず、「要警戒」と言われても、何をどうすればよいかがわからない。そこで、上のランキングに含まれるセキュリティ用語について簡単に説明していくことにしたい。

■用語解説:①標的型攻撃
「標的型攻撃」とは、特定の組織に狙いを定めたサイバー攻撃のこと。攻撃を仕掛けてくるのは何者かに依頼を受けたプロの犯罪組織である場合が多く、攻撃の手法は執拗かつ巧妙で、標的にされた組織は攻撃を受けていることさえ気づかぬ場合もあるとされる。

そんな標的型攻撃の典型的な手口は、攻撃用のメールを標的組織の従業者に送り付け、添付ファイルを開かせたり、不正サイトに誘導したりして、攻撃用のプログラムに感染させることである。攻撃者は、攻撃用のプログラムを通じて、感染端末を遠隔操作し、組織内の機密情報・重要情報のありかを突き止め、忍び寄り、盗み、気づかれないように外部へ持ち出す。攻撃用のメールは、標的組織の人や取引先を巧みに装って送られてくる。そのため、標的型攻撃に警戒していても、従業員の誰かが攻撃のワナにかかってしまう恐れは常にある。そのため最近では、標的型攻撃が組織内に侵入したのちの対策を強化すべきとの見解がよく聞かれる。

■用語解説:②ランサムウェア
ここ1~2年の間に急速に被害を拡大させているのが、ランサムウェアである。これは、パソコンやスマートフォンの画面にロックをかけて操作不能にしたり、ファイルに暗号化をかけて読み取り不能にしたうえで、ロックや暗号化の解除と引き換えに、金銭の支払いを要求したりするタイプのウイルスである。かつて、ランサムウェアの主なターゲットは個人だったが、今日では、法人組織も標的にされることが多い。

ランサムウェアの主な感染経路も、標的型攻撃の場合と同じく、不正メールや不正サイトとされている。

■用語解説:③ビジネスメール詐欺
「ビジネスメール詐欺」とは、メールを使って企業の経理担当者などを騙し、不正な口座(攻撃者が用意した口座)に送金させる詐欺行為のことを指す。

海外ではかねてから、この種の詐欺が横行し、相当の被害が出ていたが、ここ2年ほどの間に、日本でも被害が出始めている。手口としては、例えば、会社の経営トップになりすまし、経理担当者に内密かつ緊急での送金を指示するメールを送りつけたり、取引先になりすまして支払口座の変更通知を送りつけ、不正な口座への入金を促したりする、といったものだ。詐欺にかからないようにするには、この種の依頼を受けた際に、依頼主本人に口頭かメールでの確認を必ず行うといったルールを徹底することだろう。

■用語解説:④脆弱性
上述した「10大脅威」の中に、「脆弱性対策情報の公開に伴う悪用増加」「IoT機器の脆弱性の顕在化」という項目がある。この2つの項目にある「脆弱性」とは、サイバー攻撃に悪用されるおそれのあるOS(WindowsやMac OS、Android OS、iOS、など)や各種ソフトウェアの欠陥を指す。また、この欠陥を修正するためのプログラムのことを「パッチ」と呼ぶ。

脆弱性が発見され、正規のパッチが提供されるまでには一定の時間がかかる。その「空白」のときを悪用し、当該脆弱性に対する攻撃を行うことを「ゼロデイ攻撃」と言う。この攻撃を防ぐのは困難だが、少なくとも、使用するスマートフォンやタブレット、パソコン、さらにはサーバのOS/ソフトウェアの更新(つまりは、パッチを適用すること)を小まめに行い、脆弱性が悪用されるリスを最小限に抑えることが重要である。 というのも、脆弱性は、Webサイトの情報漏えいやページ改ざん、ランサムウェアの感染拡大など、さまざまな脅威の元凶と言えるからである。

■用語解説:⑤サービス妨害攻撃
サービス妨害攻撃とは「DoS(Denial of Services)攻撃」のこと。サーバ(主としてインターネット上の公開Webサーバ)などにアクセスを集中させ、サービス停止に追い込む攻撃を指す。この種の攻撃は、古くから存在していたが、最近ではIoT機器として利用されるセンサーやカメラの脆弱性を悪用し、多数の機器を乗っ取り、特定サービスに対して膨大なアクセスを集中させ、サービス停止に追い込む「DDoS(Distributed Denial of Services:分散型サービス妨害)攻撃」も発生している。

以上、企業が警戒すべき脅威について、用語解説のかたちで紹介してきた。この解説からも分かるとおり、今日深刻化する脅威の中には、単一企業の力では、対抗するのが至難なものもあれば、警戒や対策を怠らなければ、リスクを大きく減らせるものもある。自社の状況と照らし合わせながら、適切な対策を検討されてはいかがだろうか。

  • facebookfacebook
  • twittertwitter
  • line

お問い合わせ

メールでのお問い合わせ

お電話でのお問い合わせ

ドコモ・コーポレートインフォメーションセンター

0120-808-539

携帯電話・PHS OK

受付時間:平日午前9時~午後6時(土・日・祝日・年末年始を除く)

  • 海外からはご利用になれません。

このページのトップへ