約4割の企業が直近3年間でセキュリティー事故に遭遇
ITハードウェア製造大手のデルは、中堅企業を対象に、セキュリティーに関する調査を実施し、「セキュリティー事件簿」としてケーススタディーをまとめている。同社広域営業統括本部でデジタルセールス本部長を務める木村佳博氏は次のように説明する。
広域営業統括本部
デジタルセールス本部長
木村佳博
「2018年の調査で、直近の3年間にセキュリティー事故のあった中堅企業が、全体の約30%に上ることが判明しました。そのため、どういった事故が発生しているのかを調べた結果が『セキュリティー事件簿』です」
同社によると、19年の調査では、セキュリティー事故は前年から約5ポイント上昇。両年ともランサムウェアの被害がトップだったが、19年はSNSへの軽率な情報公開や不正ログイン、不正利用のほか、内部不正による情報漏洩など、社内の人的な問題やオペレーションのミスから発生する事故が増えている。こうした事故は、必ずしも情報システム(以下、情シス)部門の担当者が対策を怠った結果ではないという。
「われわれがヒアリングしてみると、誰かが悪いわけではないという場合も多く、現場がよかれと思ってやったことが、ピンポイントで狙われたケースもあります。どの企業でもセキュリティー事故に遭遇する可能性があることに警鐘を鳴らしたいとの思いから、『セキュリティー事件簿』を作成しました」
では、実態はどうなのか。同社が約1200社から行ったヒアリングによると、セキュリティー事故は、シチュエーションによってその発生原因が大きく3つに分かれるという。
IT利用における倫理観低下が招いた事故
CASE 1
海外に拠点を持つ日本企業A社で、機密情報が漏洩した。海外に駐在する取引先とメールで商談していた際に、CCに入っていた日本語のわからない取引先の現地担当者が原因だった。
この担当者は、ローカル翻訳サイトでメール全文を翻訳。そのキャッシュが残ってしまっていたため、検索サイトから全文が漏洩してしまったのだ。
A社は、現地取引先への注意勧告を行うとともに、海外の取引先も注視しなければならないことを社内で改めて確認したという。
CASE 2
B社では、従業員がオンラインストレージ経由で取引先とデータを共有しようとした際に、機密情報が漏洩した。
従業員が個人で使用しているチャットソフトで、関係のない企業にIDとパスワードを誤送信してしまったのだ。これは、クラウドやWebサービス利用における倫理観の低下に起因する、単純なオペレーションミスである。
B社は、クラウドサービスを利用する際のルールを取り決め、利用制限を強化した。
IT化の広がりは、事業変革の取り組みを加速させるなど、ビジネスに大きなメリットをもたらした。しかし、「誰もが」「どこからでも」「気軽に」使えるサービスを、倫理観なく気軽に使用してしまうと、事故につながるリスクが高まってしまうのだ。
まだまだ継続するランサムウェア感染の被害
CASE 3
C社では、情シス担当者のPCがランサムウェアに感染。
この担当者は、多忙を極めていたことに加え、感染源のメールが取引のある物流業者を偽装したものだったため、内容をよく確認せず添付ファイルを開いてしまったのだという。
CASE 4
D社では、従業員がランサムウェア感染に気づかず、感染ファイルをファイルサーバーにアップロードしたため、この従業員が所属する部門の権限配下におけるファイルがすべて感染し、大量のデータを失ってしまった。
D社は、従業員のセキュリティー意識向上のため、標的型攻撃メールを模したメールを2カ月に1回程度配信し、開封率の低さを競う取り組みを開始。当初は9割もあった開封率が、啓蒙活動により減少した。
また、事故発生から30分以内に報告するエスカレーションルールなどを整備した。
ランサムウェアは、メールの添付ファイルから感染するケースが一般的だ。なかでも最近は、発信先を偽装したメール経由の感染が多く、C社のケースのように物流業者を偽装したものがとくに多いという。
中堅企業が直近3年間でセキュリティー事故の被害に遭った割合
基本的な対策を怠ったことで発生したセキュリティー事故
CASE 5
「うちの社員は大丈夫」と性善説を前提とし、社員のデータの取り扱いに注意していなかったE社では、競合企業に転職した元社員が、大量の顧客データを持ち出した。
競合企業が、E社の顧客に強力な営業をかけ始めたため、不審に思い調べたところ、持ち出しの事実が発覚したのである。
E社は遅ればせながら、ログの取得・監視を行うサービスの導入を検討している。
CASE 6
F社では、ネットに接続するPCのみ最新OSを使用していたが、ネットに接続していないPCについては古いOSのまま使用していた。
そのため、従業員は個人のスマホやタブレットを使って、情報検索したり、ホワイトボードに書き込んだ商談情報を撮影して個人のPCにメールで送ったりしていたという。従業員が誤送信した結果、商談情報の画像が外部に流出してしまった。
個人のデバイスの管理は難しいため、F社はすべてのPCのOSを最新化するとともに、個人のデバイスによる機密情報の撮影を禁止するなど、新たなルールを設定した。
CASE 7
G社は、個人情報を流出させないために、基幹システムには社外からアクセスできないようにしていた。しかし、現場の営業担当者は、外出先で個人情報や在庫データがないと必要な判断ができないため、実際には、基幹システムにアクセスできるバックオフィスの従業員に頼んで、USBでデータをもらいPCに保存、外部に持ち出していたのだ。
営業担当者がPCを社外で紛失したため、こうした実態が発覚。しかも「情報漏洩は絶対にない」という前提で、ログを取得していなかったため、紛失した情報の内容を把握することができず、顧客にも報告ができていないという。
G社のようなケースは、情シス担当者があまりITに詳しくない場合、つまり、ユーザーにどこまで権限を与えていいのかわからず、アクセス権を過剰に抑制してユーザビリティーが低下したときに起こりやすいという。
最後の3つのケースは、OSの管理やログの監視など、基本的な対策を怠っていたために発生した事故だ。裏を返せば、基本的な対策を取っていれば、事故を防げた可能性は極めて高いケースといえるのではないだろうか。
セキュリティー事故の具体的内容。依然としてランサムウェアによる被害は多い
業務革新と競争力強化はセキュリティー対策から
企業の情シス担当者が最も頭を悩ませているのは、セキュリティーに関する啓蒙だという。ただ単に、勉強会を実施して禁止事項を説明するのではなく、「セキュリティー事故が発生すると利便性の高い環境を維持できなくなる」と、具体例を挙げて説明し、ユーザー自身の業務への影響を認識させるようにするなど工夫が必要だ。
また、いくらセキュリティー対策をしていても、企業のロイヤルティーや倫理観を向上させなければ、事故を水際で防ぐことはできない。
ここで紹介してきた、「知っていれば防げたかもしれない」という事故を起こさないことや、事故発生後の対策も重要で、そのような意味において、「セキュリティー事件簿」としてケーススタディーをまとめることには意義がある。
デルはさらに、セキュリティー事故の脅威にさらされている企業に対し、ランサムウェア対策に必須のOSアップデートはもちろん、多岐にわたるソリューションを提供し、事故対策を支援している。
例えば、最新型のビジネスノートパソコン「Latitude 7400 2-in-1」は、電源ボタン内蔵の指紋リーダーと顔認証が搭載されており、ログインまでの時間を大幅に短縮する。
Intel® Context Sensing Technologyで実現されるPC近接センサーによって、ユーザーがPCに近づくと顔認証されてスリープから自動的に復帰し、離れると自動的にロックする。
これらは、パスワード解除の煩わしさから解放するだけではなく、人的ミスを最小限にとどめることで、セキュリティーと生産性を同時に高めることができる。
また、ビッグデータとAIを駆使して高い検知能力を発揮する「CrowdStrike」を展開。既知のものはもちろん、未知の脅威・攻撃からもエンドポイントを守ることができるだけではなく、脆弱性の可視化に優れ、運用負荷も極めて小さいことも特徴である。
さらに、グループ企業のセキュリティーベンダーであるSecureworks社のマネージドサービスを組み合わせると、脅威に対する対処を迅速かつ適確に実行でき、専門家がいなくてもセキュリティー対策を総合的に推進することが可能だという。
「多くの企業で働き方改革が推進される中、複数拠点でのクラウド利用やデジタルトランスフォーメーションが重要な経営課題となっていますが、セキュリティー問題が足かせになって、前に進めない企業が少なくありません。つまり、企業にとってセキュリティーはリスク対策にとどまらず、業務の革新を進めるためには不可欠で、競争力強化という意味でも対策を取る必要があるのです。われわれは今後も、お客様と向き合い、適切なソリューションを提供することで、企業の成長に貢献したいと考えております」
第9世代インテル® CoreTM vProTM プロセッサー・ファミリー搭載PCにアップグレードして、Windows 10への移行を最適化
Windows 10への移行時に、第9世代インテル® Core™ vPro™ プロセッサー・ファミリー搭載PCにアップグレードすれば、生産性もセキュリティーも手に入れることができます。
Intel、インテル、Intel ロゴ、Ultrabook、Celeron、Celeron Inside、Core Inside、Intel Atom、Intel Atom Inside、Intel Core、Intel Inside、Intel Inside ロゴ、Intel vPro、Itanium、Itanium Inside、Pentium、Pentium Inside、vPro Inside、Xeon、Xeon Phi、Xeon Inside、Intel Optane は、アメリカ合衆国および / またはその他の国における Intel Corporation またはその子会社の商標です。
