筆者プロフィール:石井英男
テクニカルライターとして、ASCII.jpやITmedia、PC Watchなどハードウェアからモバイルまで幅広い分野で執筆。最近は、VRやドローン、3Dプリンタ、STEM教育などに関心を持っている。
2016/11/04
昔はあまり耳にすることがなかったサイバー攻撃という言葉を、ニュースなどで頻繁に聞くようになってきた。特に最近は、ランサムウェアと呼ばれる新しいタイプのマルウェアの被害が増えている。ランサムウェアは、中小企業や個人への攻撃が多いことも特徴であり、被害を受けないようにしっかり対策を立てておくことが重要だ。そこで、インテル セキュリティ(マカフィー株式会社)のシニアセキュリティアドバイザーの佐々木弘志氏に、最新のセキュリティ事情についてお訊きした。
[PR]
文/石井英男
マカフィー株式会社
セールスエンジニアリング本部
サイバー戦略室
シニアセキュリティアドバイザー
CISSP
佐々木弘志氏
ウイルスやハッキングといったサイバー攻撃は、年々高度化してきているが、中でも最近はランサムウェア(重要なファイルを暗号化し、その復号化に身代金を要求するマルウェア)の被害が急増している。その理由は、攻撃者側にエコシステムが確立してきたことにあると、インテル セキュリティのシニアセキュリティアドバイザー・佐々木氏は語る。
「誰でも簡単にランサムウェアを作れるツールが配布されており、そのツールを作る人、実際にランサムウェアをばらまく人は別なんですね。そしてお金の受け取りはビットコインを使うことで、安全なやりとりが可能です。お金儲けの仕組みとして洗練されてきたことによって、急増していると考えられています。ランサムウェアのターゲットは、実は中小企業が多いんです。要求される金額は莫大なものではなく、払える範囲の金額にすることで、支払って解決してしまおうという心理を突いてきています。そういった意味で、非常にやっかいな状況になりつつあります」(佐々木氏談)。
今年の第2四半期もランサムウェアの勢いは衰えず、過去最高を記録した。出典:McAfee脅威レポート:2016年第2四半期
従来は、顧客名簿などの重要データを盗み出すための標的型攻撃が企業に対する大きな脅威であったが、ランサムウェアは、ログインができなくなったり、データが暗号化されて読めなくなるなど、可用性が失われることによって会社に損失を与える。こちらは、ランサムウェアが実行されてしまうと、基本的に手遅れとなるため、従来のマルウェアとはまた異なるセキュリティ対策が必要になる。
もちろん、メールなどを偽装する従来からの標的型攻撃も依然として数は多い。最近でも、大手企業の情報漏洩が相次いで発覚しているが、当然これらの企業もセキュリティツールは導入している。しかし、単にセキュリティツールを導入しただけでは、サイバー攻撃から会社を守ることができないと、佐々木氏は指摘する。
「サイバー攻撃から会社を守るには、PCやスマートフォンなどのIT機器を利用する社員全員の意識を高める必要があります。標的型攻撃であるフィッシングメールに添付されてきたファイルに対し、訓練を重ねたあとでも、1割ぐらいの人が開いてしまうという調査結果もあります。攻撃側がどんどん巧妙になっていますし、IoT化によって、より多くのデバイスを持ち歩くようになりますが、小さなデバイスでは、リソースの制限により脆弱性があることも多いため、そうしたデバイスが踏み台にされる恐れもあります」(佐々木氏談)。
モバイルのマルウェアはこの1年で151%も増加している。出典:McAfee脅威レポート:2016年第2四半期
社員全員の意識を高めるためには、まず「経営層」が率先してサイバーセキュリティに取り組む必要がある。その理由として、佐々木氏は次の3つを挙げた。
1つ目が「サイバーセキュリティは『経営リスク』であるから」で、2つ目が「サイバーセキュリティは『組織全体の問題』であるから」、3つ目が「サイバーセキュリティは『投資』であるから」である。
サイバーセキュリティは、「事業の存続、成長」にとって、もはや無視できない課題である。
1つ目の理由だが、セキュリティインシデントによって情報漏洩や情報改ざん、サービス停止などが起きると、多額の損失が発生するだけでなく、株価下落による企業価値の減少、評判低下による顧客減少などが起こり、事業の存続に影響する可能性もある。これはれっきとした経営リスクであるが、調査結果によると日本企業の経営者は、海外に比べてサイバーセキュリティに対する認識が低いという。
2つ目の理由は、セキュリティインシデントに対する備えは、組織全体で継続的に行う必要があるからだ。情報システム部のようなセキュリティ対策を行う部署だけが意識を高めても、ほかに穴が残っていては意味がない。また、攻撃側も日々高度化しているため、対策もそれにあわせて強化・改善していかねばならない。つまり、サイバーセキュリティに関してもPDCAサイクル(Plan(計画)→ Do(実行)→ Check(評価)→ Act(改善)といった管理業務を円滑にする手法)を回すことが重要であり、そのためには経営層の「正しい現状認識」が必要になる。
そうした観点から、サイバーセキュリティは企業の成長のための投資と捉えることができる。これが3つ目の理由だ。企業のIoT化を推進するにはセキュリティ対策が必須だが、適切なセキュリティ対策を実施することで、その分のコストアップを差し引いても、利益の増加が期待できる。
企業の経営層にサイバーセキュリティの重要性を認識させるためには、どうしたらいいのだろうか。佐々木氏は、その第一歩として、経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」を経営層に読んでもらうことを薦めている。
経済産業省が公開した「サイバーセキュリティ経営ガイドライン」より。
「このガイドラインは、エンジニアではなく経営者をターゲットに書かれたことと、IPAではなく経済産業省から出されたということが、非常に画期的です。経済産業省はご存じの通り、経済を管理している省庁ですが、いろんなライセンスを出している省庁でもありますので。お上というわけではありませんが、そういう規制官庁でもある経済産業省から、ガイドラインが出てきたということで、かなりインパクトがありました。ワールドワイドで見ても、経営者に絞って書かれたガイドラインはそんなに多くありません」(佐々木氏談)。
このガイドラインは、経営者に向けて分かりやすく書かれており、巻末には用語解説もある。また、セキュリティ対策に対するROI、費用対効果は算出できないとハッキリ書いてあることも、佐々木氏は高く評価している。
「経営者にとっては何もかもがROIの観点で判断するわけですが、セキュリティ対策のROIを算出するのは非常に難しいんですよね。だから、ROIは算出できませんと、国がはっきり言ってくれたことはありがたいです」(佐々木氏談)。
このガイドラインは、大企業から中小企業まで広い範囲の経営者をターゲットに書かれたものだが、IPAからは、中小企業の経営層をターゲットにした「中小企業の情報セキュリティ対策ガイドライン」が公開されている。
こちらは、より実践的な内容であり、具体的なセキュリティ対策について解説されているほか、「5分でできる中小企業のための情報セキュリティ自社診断」などの付録も公開されているので、中小企業の経営者やIT担当者は、さきほどの経済産業省のガイドラインと併せて読むことをお薦めしたい。
IPA(情報処理推進機構)による「中小企業の情報セキュリティ対策ガイドライン」より。
「IPAの資料は、具体的な対策を含めて、サイバーセキュリティのPDCAサイクルをどうやって回したらいいかということについての基本的な考え方が書かれています。また、サイバーセキュリティの相談や問い合わせ窓口も紹介されていますので、中小企業の経営者は、是非サイバーセキュリティ経営ガイドラインと併せて目を通していただけるといいと思います」(佐々木氏談)。
企業におけるセキュリティ対策については、「サイバー攻撃から企業を守る「インテル セキュリティ」のセキュリティソリューション」を参照してほしい。
テクニカルライターとして、ASCII.jpやITmedia、PC Watchなどハードウェアからモバイルまで幅広い分野で執筆。最近は、VRやドローン、3Dプリンタ、STEM教育などに関心を持っている。
もっと知りたい! Pickup スマートワーク用語
第4回 ペーパーレス化と電子印鑑
【第91回】テーマを変更してMicrosoft Officeを楽しく使おう
【第92回】実はかなり便利なMacのMicrosoft Office(1)
コロナに負けない!【9】東京都豊島区
全国の自治体から問い合わせが相次ぐ、「テレワーク先進区役所」
池澤あやかのサブスク研究室-第1回
サブスク乱用で経理が涙目! 救世主となる「iKAZUCHI(雷)」って何?
ジャイアン鈴木の「仕事が捗るガジェット」 - 第46回
小規模店舗でリーズナブルにWi-Fi環境を構築する無線LANルーター「Aruba Instant On AP11D」
【第3回】ベンチャー女優・寺田有希さんから学ぶ――これからのビジネスパーソンに求められる働き方
【第2回】ベンチャー女優・寺田有希さんから学ぶ――これからのビジネスパーソンに求められる働き方
提案側にもスキルが求められている!今、把握すべきリモートワーク未導入・未定着企業の課題と対策方法
【第25回】差し込み印刷を使えるようにしておこう(1)
スマホを存分に使い倒せる20GBプランの使い道を本気で計算すると……
仕事も遊びもスマホで完結する超大容量50GBプランで何ができるか計算してみた
【第11回】Excelから簡単に分析できるPowerBI超入門(1)
【第34回】スマホのExcelでここまでできる(1)
【第90回】Excelで組織図などをサクッと作成できるアドイン
【第85回】ChromebookでOfficeを使う(1)
Microsoft Teams で完結! スケジュール共有機能「ScheduleLook for Microsoft Teams」
Surfaceとケーブル1本で接続 生産性が上がるSurface専用EIZOモニター
デュアルディスプレイ環境による業務効率化をUSB Type-Cとデイジーチェーンで実現
Wordで作成した重要文書の改訂作業を効率化するプラグインソフト
WindowsやMacなど複数のPCで周辺機器を共有できる切替器
Office365にアドオンして使える勤怠管理「ネクストセットタイムカード」
社内打ち合わせ・商談・大規模な会議まで使えるWeb会議「Zoom」
複写帳票を社内のプリンターで印刷できるノーカーボン用紙
ビデオカメラや一眼レフカメラをWebカメラとして活用できるキャプチャーユニット
13.3インチのモバイルディスプレイでテレワークの業務環境を改善