本コラムは「Bizニュース（月１～２回配信）」としてメールマガジンでご紹介したコンテンツを再掲載しています。
下記の「Bizニュース配信登録」ボタンから登録いただくと、最新情報をお届けします！

特定の企業や組織を狙った標的型攻撃により、外部へ重要な情報が流出する事故が増えています。こうした事故の多くは、送られてきたメールの指示にしたがって悪意のある動作をするプログラムをパソコンに取り込んでしまうのが事の始まりです。攻撃メールには、いかにも信ぴょう性があるような騙し文句が綴られているため、たとえ警戒心の強い従業員であっても、思わずその巧妙な手口にのせられてしまう可能性があるのです。企業が標的型メール攻撃の被害を防いでいくには、社内のパソコンにセキュリティ対策用のソフトウェアを導入するだけでなく、多面的な備えを徹底していくのが重要となってきています。

ネットを通じた情報流出は何気ないメールのクリックから

大規模な情報流出事故は組織内部からの故意や不注意による要因のほかに、インターネットを通じた外部からのサイバー攻撃によっても発生します。

外部からのサイバー攻撃の場合、企業や組織のサーバーから情報を盗み出すための第一歩は、重要なファイルを探し、流出させる働きをする悪意のあるソフトウェアを社内のコンピューターに忍び込ませようとすることから始まります。これを成功させるのに効果的なのが標的型メール攻撃です、その典型的な手口は、メールの添付ファイルを従業員に開封させたり、本文中のリンクで不正なウェブサイトへアクセスを誘導したりして悪意のあるソフトウェアをコンピューターに取り込ませるものです。

たとえば次のように、いかにも業務に関係するよう見せかけた用件のメールを企業や組織に送りつけて、添付の文書ファイルをクリックして目を通すよう求めてくるのです。

●　新聞社や出版社からの取材申込み
●　就職活動に関する問い合わせ
●　製品に関する問い合わせ

どれも一見すると業務と直接関係する問い合わせメールとして受け取れるでしょう。従業員は内容を疑うことなく信用して、添付のファイルをクリックして開封してしまいます。
従業員も悪意のあるソフトウェアへの注意はしていても、自分が標的型メール攻撃に直面するとまで意識しているとは限りません。それゆえ、あまりの手口の巧妙さに、どんなに警戒している人でも術中にはまってしまうことは起こりえるのです。

パソコンのセキュリティ対策ソフトだけでは不十分

標的型メール攻撃を受けたときに、従業員が誤って悪意のあるソフトウェアをパソコンに取り込まないようにするには、業務で使用しているパソコンすべてにセキュリティ対策用のソフトウェアを導入し、常に最新バージョンのソフトウェアやウィルス定義ファイルを常に更新しておくことが大切です。もちろんこうした対策は多くの企業ですでに実施していることでしょう。

しかし、パソコン自体へのセキュリティ対策だけでは悪意のあるソフトウェアの検知と駆除は追いつきません。セキュリティ対策ソフトの開発会社が自社のデータベースに登録している悪意のあるソフトウェアの数は、2015年時点で4億件以上に上ります。当然ですが、その数は日々増加しているため、社内のパソコンに最新の対策が反映されるまでに時間がかかるケースも出てきます。そのため、パソコン以外でもさらなるセキュリティ対策を講じていかなければなりません。

クラウド型セキュリティで多重の防御

パソコン自体のセキュリティ対策とは別に統括的な対策手段があれば、それを併用することで一層のセキュリティ強化が図れます。この要望に応えられるのがクラウド型セキュリティによるメールの監視と悪意のあるソフトの検知です。

クラウド型セキュリティは、企業のネットワークの入り口で従業員宛のメールすべてを機械的にチェックし、添付ファイルに仕込まれた悪意のあるソフトウェアや、悪意のあるサイトへ誘導するリンクを検出します。そして、すぐにそのメールを隔離したり、警告したりすることができるのです。すなわち、社内のパソコンでメールを受信する前にメールの中身を確認するので、従業員の不注意な操作に依存しないセキュリティ対策が施せるのです。

また、クラウド型セキュリティではサービス事業者が常に最新のシステムや定義ファイルへの更新を担ってくれます。そのため、存在が確認されて間もない悪意のあるソフトウェアの検知にも即応できるのも特長です。

万一の流出事故に備える対策とは

社内のパソコン自体のセキュリティ対策に加えて、クラウド型セキュリティによる二重の防御を施しておけば、悪意のあるソフトウェアによる情報流出を招くリスクの軽減につながるでしょう。しかし、悪意のあるソフトウェアには未確認のものや、全くの新種のものが次々と現れてきます。社内のパソコンとクラウド型セキュリティで対策を併用したとしても常に完璧な対策とはいえず、最悪の場合は、外部への情報流出を引き起こしてしまうかもしれません。そのため、万一の情報流出に備えた対策を打っておくことも大切です。

情報流出を想定したときに、対処しておきたいのがデータの暗号化です。個人情報が読み取れてしまうようなファイルの流出事故が起きれば、企業にとって信用の失墜につながります。だからこそ、個人情報のような機密情報を含んだファイルは確実に暗号化して解読困難にしておくことも必要です。

暗号化に加えて、ファイルを分割して保存するのも有用です。分割されたファイルが同じサーバーではなく複数のサーバーに保存されていれば、流出被害の影響を抑えられます。分割保存と復元を自動的に処理できる専用のシステムを導入することで、従業員は意識せずに、システムが自動的にファイルの保存や復元を実行してくれます。

従業員の警戒意識の向上がカギ

社内パソコンやクラウドで行うシステム的な検知や駆除により、セキュリティ対策は一定の成果を上げることができるしょう。しかし、実際にはこうしたシステムに頼るだけでなく、従業員自身が日頃から標的型メール攻撃への警戒心を高め、安易に添付ファイルを開封したり、不審なサイトにアクセスしたりしないようにする取り組みも重要です。

標的型メール攻撃への警戒意識を高めるには、訓練を実施することも有用です。たとえば、従業員には事前に告知せずに訓練用の攻撃メールを配布します。誤ってファイルを開封したり指定のサイトにアクセスしたりしたときは警告を表示させて注意喚起を促すのです。こうした訓練を不定期に繰り返し行い、その結果を分析して従業員の標的型メールへの対処状況を把握するのも、情報流出の防止に大きく貢献するでしょう。

標的型メール攻撃はますます手口が巧妙になり、悪意のあるソフトの新種も多く出回るでしょう。だからこそ社内で使用するパソコン自体のセキュリティ対策に加えて、さまざまな防御手段で情報流出のリスクを減らすようにしていかなければなりません。クラウド型セキュリティをはじめとするシステムの導入や社内での訓練はその対策として大いに寄与するでしょう。

参考文献

• IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」（独立行政法人情報処理推進機構, 2015年）
• 2014年度情報セキュリティ事象被害状況調査（独立行政法人情報処理推進機構, 2015年)
• McAfee脅威レポート：2015年第2四半期（McAfee Labs, 2015年8月, P33）

※文中に記載した会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。
※当ソリューション・製品に関するお問い合わせ、会員登録リンク、は、NTTソフトウェアのお問い合わせ専用ページ（社外サイ ト：MARKETINGPLATFORM）に遷移します （MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです）。