情報セキュリティ10大脅威において必要なマインド
「情報セキュリティ10大脅威」は、IPA(情報処理推進機構)が毎年公開しているもので、前年に発生したセキュリティ事故や攻撃の状況などから脅威を選出し、投票により順位付けして解説した資料です。10大脅威は、個人向けと組織向けでそれぞれ選出さています。
情報セキュリティ10大脅威 2022「個人」および「組織」向けの脅威の順位
攻撃を受けてしまうと企業に重大な影響を与える脅威が並んでいますが、その多くは従業員の心構えや気づきで回避することができます。ここでは、2022年の組織向け10大脅威の上位にランクインした脅威から、従業員の心構えで影響を軽減できるものを解説していきます。
1位 ランサムウェアによる被害
・ランサムウェアの特徴と被害事例
ランサムウェアはマルウェアの一種で、感染するとパソコン内のファイルを暗号化して使えなくし、復号のために“身代金”を要求します。身代金は高額ですが、業務が止まってしまうので支払ってしまう企業も多くあります。しかし、すべてのファイルが復元できる可能性は低く、逆に“身代金を払う企業”としてマークされ、再三にわたり被害を受けることも多いようです。
・従業員に必要な意識・マインド
ランサムウェアの多くは、メールを介して侵入します。巧妙な“なりすましメール”を使うので、うっかり添付ファイルを開いたり、本文にあるリンクをクリックしたりしてしまい、感染します。この手法は、マルウェア「Emotet(エモテット)」やフィッシングと同じですので、まずは怪しいメールに気づけるよう感度を高めておくことが重要です。
2位 標的型攻撃による機密情報の窃取
・標的型攻撃の特徴と被害事例
標的型攻撃とは、特定の組織(官公庁、民間団体、企業等)を狙う攻撃のことで、機密情報等の窃取や業務妨害を目的としています。そのため、標的となる企業などに対して十分な下調べを行い、人間関係や使用しているソフトウェアなどを熟知した上で攻撃を行います。攻撃者は社会の変化や、働き方の変化に便乗し、状況に応じた巧みな攻撃方法で機密情報等を窃取しようとします。
・従業員に必要な意識・マインド
標的型攻撃は非常に巧妙な攻撃を行い、気づかれないように潜伏することが特徴です。標的のために新種のマルウェアを使用することも多く、セキュリティ対策ソフトの検知をすり抜けます。また、標的がよくアクセスするWebサイトを改ざんしてマルウェアに感染させる“水飲み場攻撃”を行うこともあります。従業員としては、ランサムウェアと同様に不正なメールに気づくことが重要です。また、サイバー攻撃者はSNSでも情報収集を行うので、SNSへの書き込みにも注意が必要です。
4位 テレワーク等のニューノーマルな働き方を狙った攻撃
・特徴と被害事例
新型コロナウイルスのパンデミックによって、多くの企業がテレワークを導入しました。これにより、エンドポイントのパソコンが何重ものセキュリティで守られた企業ネットワークの外に持ち出されることになりました。テレワークでは基本的に、VPNで企業ネットワークにアクセスし、そこからインターネットに接続するケースが主流です。しかし、業務の多くがクラウドサービスにより行われる現在、直接インターネットに接続した方が速度も速く快適であることも確かです。
また、テレワークは自宅だけとは限りません。出張先やワーケーションなどで、公衆無線LAN(Wi-Fi)を利用することもあります。Wi-Fiの中には、通信が暗号化されていないケースや、セキュリティ対策が不十分なケースもあるので、利用には注意が必要です。一方、自宅では業務用のパソコンを家族が使用してしまうケースもあります。それでマルウェアに感染してしまうこともあります。
・従業員に必要な意識・マインド
自宅では気が緩みがちですが、テレワークのパソコンは会社のものであることを認識し、テレワーク時の注意点をしっかりと把握して正しく使用することが重要です。家族には触らせず、業務以外のことには使用しないようにしましょう。知らない間にマルウェアに感染し、出社の際に企業ネットワークにつないだとたんマルウェアが企業内に拡散することも少なくないのです。
5位 内部不正による情報漏えい
・内部不正の特徴と被害事例
内部不正とは、従業員や元従業員など組織の関係者が機密情報を持ち出したり、それを悪用したりする行為です。従業員が退職する際に情報を持ち出し、転職先に渡すケースもあります。内部不正が発覚すると、企業の社会的信用やブランドが失墜して株価に影響を与えたり、億単位の損害賠償が必要になったりします。正規の人間が正しい手順で情報を持ち出すので気づきにくいという問題もあります。
・従業員に必要な意識・マインド
内部不正は犯罪ですので、機密情報を持ち出した当人は逮捕されます。従業員はそれを常に意識して業務を行うべきでしょう。また、内部犯罪はモラルの問題でもあるので、企業としては人的管理とコンプライアンス教育の徹底、情報取扱ポリシーの作成、内部不正者に対する懲戒処分等を規定した就業規則などの整備を行い、従業員に対する教育を定期的に実施することが必要です。その際には、従業員に秘密保持義務を課す誓約書を作成させることも重要です。
従業員への教育手段
どこの企業でも、入社時の新入社員研修は実施していると思われます。また、毎年実施している企業も多いでしょう。しかし、働き方が多様化している現在は、情報セキュリティに特化した研修も必要です。ただ、研修のために時間を割くことが難しいことも事実です。ここでは、どのような教育手段があるのか。メリット、デメリットとともに紹介します。
内部講習
全従業員あるいは部署を対象とした内部講習で、外部から講師を招くこともあります。全員参加となるので、全員を同レベルに教育できる反面、講習を受けるために業務を中断する必要があるのがデメリットといえます。外部から講師を招く場合はそれなりのコストもかかるので、実施のスケジュールや人数をよく検討する必要があるでしょう。
外部セミナーへの参加
情報セキュリティ業界の企業などは、しばしばセミナーを開催しています。無料で開催しているケースも多いので、こうした外部セミナーへの参加も方法の一つです。サイバー攻撃やその対策について最新の情報が得られるメリットはあります。但し、参加人数が限られたり、セミナーによって内容が異なったり、基本的には開催企業のソリューションの宣伝になるので、内容が偏っていることも多くあります。
Webコンテンツの活用
講習の時間が取れない、全員で集まることが難しいといった場合には、Webの教育コンテンツを活用する方法もあります。比較的安価で時間も長くなく、各自の空いた時間に受講できるので、より現実的な方法といえます。ただし、視聴するよう指示するだけではなかなか見てもらえないことも多いので、期限を設定することが望ましいでしょう。また、各自がしっかり視聴しているか把握が難しいことも課題です。
セキュリティ資格の取得
従業員にセキュリティ関連の資格を取得させることも、スキルやリテラシーの向上に役立ちます。資格には、国家資格、公的資格、ベンダーによる資格などがあり、それぞれ対象範囲やレベルが異なります。例えば、基礎的なITの知識が得られるITパスポート試験の取得を勧める企業は多くあります。報奨金や資格手当などを設定して取得を促すこともリテラシーの向上につながるでしょう。
システムやサービスの活用
研修という形ではなく、特定の脅威に関する啓発サービスもあります。例えば、標的型メールやフィッシングメール対策として、これらの疑似メールを不定期に送信し、開いてしまった従業員に対してその場で短い啓発動画を表示するようなサービスがあります。こうしたサービスによりメールを疑う習慣がつき、うっかり添付ファイルを開いたり、リンクをクリックしたりすることを防ぐことができます。
まとめ
IPAの「情報セキュリティ10大脅威[組織編]」を見ていくと、多くのサイバー脅威がメールを介していることが分かります。こうしたメールは巧妙化が進み、従来のセキュリティ対策ソフトでは防ぐことができません。不審なメールかどうかを見破るためには、メールを受信した従業員自身が違和感を持つ必要があります。うっかり引っかかってしまうと重大なインシデントにつながる可能性もあるので、企業のセキュリティ対策において、従業員のリテラシーは非常に重要です。そのためにはシステム面での対策だけでなく、従業員に日頃からセキュリティ意識を植え付ける施策が必要であり、全員が一定のレベルになるよう教育を実施することが重要であるといえるでしょう。
