サイバー攻撃から会社を守る、企業が最低限守るべき安全基準づくりを
「メールからのウイルス感染程度」と侮ってはいけない。感染したPCを拠点として、外部にある攻撃側のサーバーからさらに悪質なプログラムを取り込み、重要情報のありかを探り出し、アクセス権を取得していく。そういった動きは極めて静かに進行するため、表面的にはわからない。
しかも、ガラパゴス携帯の延長感覚でセキュリティ意識の抜け落ちたスマートフォンユーザーが急速に増大し、それを自発的に業務に利用する動きが増えている。こうなると、いくら入退室管理などの物理的管理やパスワードなどでアクセス権限の管理を厳しくしても、玄関脇に鍵のない勝手口がいくつもあるようなもので、管理不能に陥ってしまう。
もちろん、基本の入り口対策は重要だ。だが、それだけではもはや対応できなくなっているのだ。特に日本企業は、無防備にもネット環境下に顧客データや技術資料などの重要な知的財産を置くケースが多い。一方、攻撃側の開発スピードは恐ろしく速い。来年の予算で何とかセキュリティ対策を……、というスピード感覚では遅すぎる。
海外から日本企業を狙ったサイバー攻撃は、技術情報や製品情報が目当てであることが多いという。それだけにターゲットを絞って攻めてくる。メーリングリストなどでメールアドレスや仕事の内容などを知った標的企業の社員宛てに、実在の団体名を使った巧妙な成り済ましメールで、いかにもその団体が書きそうな文体で、相手が興味を持ちそうな内容を送りつける。「うっかり添付ファイルを開いてしまいたくなる」(IPA技術本部セキュリティセンター研究員の渡辺貴仁氏)という。
実際、これだけ情報セキュリティ問題が取り上げられているにもかかわらず、2割前後の人が不用意に添付ファイルを開いてしまうという。ソフトウエアの脆弱性を狙うクロスサイトスクリプトやSQLインジェクションを応用してウイルスを埋め込む手法も現れている。
意外なことに、日本のインターネットプロバイダは、DDoS攻撃など一時に大量のデータを送りつけて回線をパンクさせるタイプの攻撃には案外強い。ネットワークの構築手法や仮想化など、一時的に相互補完するなどの仕組みがあるからだ。
社会的に容認できる安全基準を
