大企業も中小企業もオウンドメディアや採用サイトなど複数サイトを運用することが増えてきた昨今、サイバー攻撃へのリスクも同時に高まっています。
攻撃の手法は年々複雑化しているため、起こりうる脅威に備えた多方面への対策が非常に重要です。「サイバー攻撃への対策」と聞くとファイアウォールなどセキュリティ対策ツールの導入をイメージするかもしれませんが、仕組みづくりや社員教育など人的な脆弱性への対応なども重要な時代となりました。
「うちの会社は大丈夫」と他人事に思わず、全員が注意を払って対策に協力することでリスクヘッジが大きな効果をあらわします。今回紹介する対策ができているかチェックし、サイバー攻撃への備えを万全にしておきましょう。
1.サイバー攻撃とは
サイバー攻撃とは、インターネットを通じて不正に他者のシステムに侵入し、内部システムの破壊や個人情報の窃盗、Webサイトの改ざんなどを行うことを指します。
目的は単純な嫌がらせから金銭の詐取、機密情報の売買まで多岐にわたります。
2.サイバー攻撃の種類
一口にサイバー攻撃といってもさまざまな種類があります。マルウェア攻撃や標的型攻撃についてなど、網羅的な内容は「サイバー攻撃の種類をカテゴリごとに詳細解説! 」にてご紹介していますが、今回は対策を行うにあたって知っておいた方がいい攻撃手法を簡単に解説します。
| 攻撃の種類 | 攻撃手法 | |
|---|---|---|
| フィッシング攻撃 | 偽メール、偽サイトを使って個人情報を不正に入手・マルウェアで攻撃 | |
| Webサービスを使った攻撃 | 脆弱性を悪用した攻撃 | プログラムの不具合などによって生じた脆弱性を利用して攻撃 |
| なりすまし、不正ログインを使った攻撃 | パスワードの脆弱性をついて不正にログインし、サイトの内部を攻撃 | |
| DoS攻撃・DDoS攻撃 | サーバーに負荷をかける攻撃 | |
フィッシング攻撃
偽メール、偽サイトを使ってマルウェアを含むファイルに誘導したり、個人情報を不正に窃取したりしようとするサイバー攻撃のこと。
フィッシングは電子メールが登場した時期から存在する古典的な手法でもありますが、近年は手口が複雑化しており、標的を定めてスパムメールの信ぴょう性を高める「標的型攻撃」が流行しています。
Webサービスを使った攻撃
「企業サイトから顧客情報が漏えいした」といったニュースを聞いたことはないでしょうか。
Webサイト等が攻撃を受けて別のフィッシングサイトに改ざんされてしまうなど、さらなるサイバー攻撃の発信源となってしまうこともあります。会社の信頼度を守るためにも、サイトのセキュリティには十分注意を払っておきましょう。
脆弱性を悪用した攻撃
バッファオーバーフロー、SQLインジェクション攻撃、ディレクトリトラバーサル、クロスサイトスクリプティング(XSS)など。
プログラムの不具合などによって生じたサイトの脆弱性を悪用して攻撃を仕掛けます。
なりすまし、不正ログインを使った攻撃
パスワードリスト攻撃、ブルートフォース攻撃(総当たり攻撃)、リバースブルートフォース攻撃など。
パスワードの脆弱性をついて不正にログインし、サイトの内部を攻撃します。
DoS攻撃・DDoS攻撃
ターゲットに大量のアクセスやデータを送り、負荷をかける攻撃手法です。攻撃されたサイトはアクセス過多になり、サーバーダウンなどの不具合を起こします。
単一のコンピューターから攻撃することを「DoS攻撃」、複数のコンピューターから攻撃することを「DDoS攻撃」と呼び、近年はより対策の難しいDDoS攻撃の報告数が増加しています。
3.企業が行うべきサイバー攻撃対策(仕組み編)
企業が行うべきサイバー攻撃対策として真っ先に優先すべきなのは「仕組みを整備すること」です。
従業員個人のモラルや知識にゆだねるのではなく、業務の一環としてルールの策定や社員教育を行うことが重要となります。
対応方針・ルールを定める
情報セキュリティポリシーを定めてルールを明文化するのは社員へのセキュリティ管理の手段として非常に有効な手段です。
ポリシーに記載すべき社員個人を対象としたルールについては後述しますが、ウイルス対策ソフトの導入や機密情報管理などの実施項目を具体的に定めることが重要です。また、インシデント発生時の対応や責任者の策定など、組織としての方針についても決めておく必要があるでしょう。
予算を確保する
特に中小企業では「サイバー攻撃への対策に割く予算がない」というケースが散見されます。しかし万が一悪質な被害に遭った場合を想定すると、顧客の喪失や損害賠償などによってかかる負のコストは対策にかかる予算をはるかに上回る可能性が高いことは明白でしょう。
最悪の場合、会社が倒産に追いこまれるような事態になることも考えられます。将来的なリスクに備えた保険の一種だと捉えて一定の予算を捻出し、必要に応じて社内教育や外部のセキュリティサービスの利用も検討するべきです。
取引先のセキュリティを確認する
サイバー攻撃への対策が十分にできていると思われる企業でも、セキュリティ管理の浅い取引先や子会社から情報が洩れてしまうことがあります。このように関連企業を媒介して行うサイバー攻撃を「サプライチェーン攻撃」と呼びます。
サプライチェーン攻撃を防ぐための対策として、自社のセキュリティだけではなく社内の機密情報を共有している他社のセキュリティにも気を配っておくようにしましょう。社内にセキュリティポリシーがあれば確認させてもらえるか尋ねてみるのがおすすめです。
社員にセキュリティ教育を施す
ルールを決めたとしても、対策を従業員間で共有できていなければ意味がありません。
想定できる脅威に応じた対策方法を社内教育として共有、徹底しましょう。
| 想定できる脅威 | 主な対策 |
|---|---|
| 情報漏えい | ファイアウォールの導入 |
| インターネット利用時のルール策定 | |
| パスワード・ユーザ権限の管理 | |
| 無線LANのセキュリティ設定 | |
| 不正アクセス | ファイアウォールの導入 |
| パスワード・ユーザ権限の管理 | |
| 二段階認証の導入 | |
| OS・ソフトウェアの更新 | |
| マルウェア感染 | マルウェア対策ソフトの導入 |
| OS・ソフトウェアの更新 | |
| 危険なサイトへのアクセス制限 |
チェックリストを用いて定期的に対策が機能しているか確認するのも有効です。
4.企業が行うべきサイバー攻撃対策(社員編)
社内で共有するセキュリティポリシーには最低限以下のような対策を盛り込むとよいでしょう。
従業員一人ひとりがセキュリティへの意識を持って行動できるようサポートすることが一番重要です。
また社内にセキュリティに関する規定がないような場合でも、サイバー攻撃を防ぐためにまずは個人で出来る対策から始めてみてください。
ソフトウェアのセキュリティ強化
従業員が使っているパソコンなどの端末に入っているソフトウェアのセキュリティを強化するのは対策方法の基本です。具体的な対策例としては、
- 定期的なOSやソフトウェアのアップデート
- ファイアウォールなどのセキュリティソフトの導入
- 不審メールやウェブサイトへのアクセス制限
- 二段階認証の導入
などが挙げられます。全従業員のデバイスで同一基準の対策を行うようにしましょう。
パスワードなどの情報管理
不正な侵入を防ぐためにはパスワードの情報をしっかり管理することが重要です。
特にパスワードの設定方法は「推測されにくいもの」など曖昧な指示では個人の判断によるばらつきが出てしまいます。「大文字小文字を使用する」「単語や生年月日は使わない」などパスワードポリシーを定めて、強度の低いパスワードを設定できないようにすると効果的です。
また、パスワードを固定してID総当たりでログインを試みる「リバースブルートフォース攻撃」という攻撃手法も存在します。一度のインシデントで大きな被害を生まないよう、パスワード使いまわしの禁止も徹底しましょう。
テレワークのセキュリティ管理
新型コロナウイルスの流行を機に、オフィス外の場所で業務を行うテレワークが急速に普及しました。
テレワークは便利な仕組みではありますが、一方で適切な対策を行わないとセキュリティリスクが増加することには気をつけましょう。
支給外端末の使用
自宅等で勤務する場合、支給外の個人デバイスで仕事をする人も一定数います。
勤務用に支給したデバイスではセキュリティ対策ができていたとしても、個人デバイスでトラブルが起きてしまうかもしれません。
個人端末の使用を禁ずるか、利用にあたってガイドラインを規定しておきましょう。
脆弱性がある回線の利用
自宅等の無線LANのセキュリティが確保されているかどうかも大切です。自宅の無線環境にあまり気を配っていない人はかなりいますし、外で仕事をしている場合は傍受される可能性がある公衆LANを使ってしまうことも考えられます。
利用する回線についてしっかりと定め、必要であれば無線LAN環境の整備などを会社側でサポートしましょう。
リテラシーを高める
人為的なセキュリティホールが生まれないよう、セキュリティに関するリテラシーを持つことも重要です。
例えば「会社の機密情報を含んだファイルの公開設定を間違えて全世界で見られる状態になってしまった」といったケースは人的脆弱性に該当します。機密情報の公開設定に関するルールを定め、むやみに公開しないよう徹底しましょう。
また、フィッシング攻撃への対策として不審なメールが来ても添付リンク・ファイルを開かないよう周知するのも有効です。
5.まとめ
サイバー攻撃の手口は年々複雑になってきているため、必要な対策も多様化しつつあります。対策を行い一つ一つ社内でチェックするのはかなり大変ですが、攻撃を受けるリスクを考えるとなるべく早いうちから対処しておくと安心です。
また、サイバー攻撃への対策としてセキュリティ専門家と連携をとることも検討してもよいでしょう。当社のサービスでは、WordPressを用いたサイトのセキュリティを保持し、定期的な診断レポートの提出を含めた安心の保守サポートを提供しています。
サイトへの不正ログインを防止する二段階認証システムや、サイトの改ざんを検知するシステムも導入可能です。くわしくはサービスページをご覧ください。
