サイバー攻撃が根絶することは、まずありません。企業が個人情報や重要情報を保有し続ける限り、そうした情報が価値をもち続ける限り、サイバー攻撃は“金になる”ので、この世から無くなることはないのです。そうした中で、企業がセキュリティ対策を構築したり、維持することはとても大変なことです。
しかし、確実なセキュリティ対策を取らなければ、それ以上の損失が発生してしまうことも事実でしょう。皆さんの企業では、現在どのようなセキュリティ対策を取っているでしょうかその対策は適切で、十分なものでしょうか。ここでは、セキュリティ対策の種類について一覧で紹介していきます。「自社に足りてないセキュリティ対策があった」という気づきのきっかけになれば幸いです。
特に悪質なサイバー攻撃の種類
数あるサイバー攻撃の中でも、特に悪質なものが「標的型攻撃」と「Webアプリケーションを狙った攻撃」です。
標的型攻撃については度々報道されているので、ご存知の方も多いと思います。簡単に言えば、特定のターゲットに対しウイルスに感染されたメールを送り付け、端末を感染させ、内部ネットワークへの侵入や情報搾取を行うための攻撃です。
この攻撃が悪質な理由は、非常に狡猾な手口にあります。攻撃者がターゲットとなる人物の身辺調査を行った上で、思わず添付ファイルを開いてしまうようなメールを送信します。取引先を装ったり、ターゲットが興味を持ちそうな内容にしたり、ときにはある程度やり取りをして信頼関係を築いた上で、ウイルスに感染したメールを送り付ける場合があります。
こうした標的型攻撃を、意識対策のみで防御することは非常に困難です。
もう一つのWebアプリケーションを狙った攻撃とは、噛み砕いて言えばWebサイトを狙ったサイバー攻撃のことです。Webサイトを構築するために欠かせないソフトウェアであるWebアプリケーションは、脆弱性(セキュリティ上の欠陥)が多く発見されやすいソフトウェアです。
その脆弱性が発生するのはソフトウェア設計者のちょっとしたミスであったり、Webサイトを構築する際の過程に問題があったりと、理由は様々です。一つ言えることは、どんな脆弱性であれ重大なセキュリティ事件に繋がる可能性があるということです。
加えて、最近では個人情報を保有するWebサイトが増えています。そうしたWebサイトのWebアプリケーションを狙ったサイバー攻撃が、かなり横行している状況です。
意識対策
サイバー攻撃は日常に存在するものだと認識する
サイバー攻撃とは少ないようで、日常に存在するものです。事実、9割の企業は潜伏するサイバー攻撃に気付けず、外部からの報告で初めて認識するという調査結果もあります。さらに、企業規模も問いません。大企業も中小企業も、等しくサイバー攻撃の脅威に晒されています。
サイバー攻撃に対する知識を付ける
標的型攻撃とは何かSQLインジェクション攻撃とは何かこうした知識を身に付けることは、情報セキュリティへの深い理解につながります。何事においても「まず敵を知る」ことが大切なように、サイバー攻撃について知ることも大切です。
サイバー攻撃への対策方法を知る
一つ一つのサイバー攻撃に対して、具体的な対策方法を知る必要があります。その対策を講じるか講じないかは別として、企業のセキュリティ環境を深く考える上では欠かせません。
そうした情報を組織内で共有する
上記のようにして知り得たサイバー攻撃やその対策といった情報は、必ず組織内で共有します。組織全員のセキュリティ意識を高めるだけで、企業のセキュリティ対策は飛躍的にアップします。
少しでも怪しいと感じたらクリックしない
知らないメール、あるいは取引先ではあるがなんだかいつもと違うメール。このように、少しでも「怪しい…」と感じたメールに関しては、クリックしないのが基本です。最近ではメールを開封しただけでウイルスに感染してしまうようなサイバー攻撃もあります。
物理対策
オフィスの施錠管理を徹底する
サイバー攻撃と聞くと、外部ネットワークから社内ネットワークへ侵入しようとするものというイメージが先行しがちですが、実は内部犯行によるサイバー攻撃も少なくありません。従って、オフィスの施錠管理は必須です。
パスワードを難解なものに設定する
セキュリティ対策の基本であるパスワードは、必ず難解なものにします。英数字や記号を組み合わせれば、よほどのことが無い限りパスワードによって端末は保護されます。
パスワードを定期的に変更する
ただし、設定したパスワードを長期にわたって使い続けることは危険です。パスワードクラック(パスワードを割り出す手法)を用いれば、パスワードが漏れてしまうのは時間の問題です。そのため、定期的にパスワードを変更することで、漏えいを防ぎます。
パスワードを人に教えない
たとえ社内の人間であっても、パスワードを教えてはいけません。それが上司であってもです。サイバー攻撃の中には、ソーシャルエンジニアリングといった直接本人からパスワードを聞き出し、悪用するといった事件もあるのです。
外部ネットワーク用の端末を設置する
外部ネットワークからの不正侵入が心配であれば、外部ネットワーク用の端末を設置して、内部ネットワークとは隔離するといった方法があります。端末としての利便さは低下するかもしれませんが、セキュリティ対策は確実に強化されます。
技術対策
SOC(Security Operation Center)を設置する
SOCとは、セキュリティログの監視やセキュリティ事件が起きたい際の対処を専門とする組織です。近年では、このSOCを社内に設置する企業が増えています。SOCを社内に置くことで、スピーディな対処が可能です。
基本セキュリティ対策を怠らない
ウイルス対策ソフトやファイアウォールといった、基本セキュリティ対策を怠ってはなりません。そもそもセキュリティ対策に完璧はなく、複数のセキュリティ対策によってそれぞれの弱点を補うことが大切です。
ソフトウェアは常に最新の状態を維持する
セキュリティ対策において最も基本かつ簡単に行えるのが、ソフトウェアの更新です。古いバージョンをいつまでも使用していることは、脆弱性を放置している状態と同じです。これではいつサイバー攻撃を受け、重大なセキュリティ事件につながるかわかりません。
セキュリティシステムを導入する
Webアプリケーションを守るWAF、社内ネットワークを監視するIDS/IPS、検出したウイルスを隔離するサンドボックスなど、現在多くのセキュリティシステムが提供されています。いずれもセキュリティ対策を強化する上で重要ですが、すべてを導入する必要はありません。
ただし、WAFとIDS/IPSについて積極的に導入を検討するのがいいでしょう。
まとめ
サイバー攻撃に対するセキュリティ対策は、難しいものばかりではありません。今すぐに始められるセキュリティ対策もたくさんあります。むしろそうしたセキュリティ対策こそ、日々のサイバー攻撃防止に繋がると言ってもいいでしょう。
今回紹介したセキュリティ対策の中で「まだ実践していない」というものがあれば、ぜひ実践してみてくだい。そうすれば、今よりもずっと、強力なセキュリティ対策を講じれるはずです。
