サイバーセキュリティ対策の動向
- 役職名
- 主任研究員
- 執筆者名
- 新納 康介
2017年11月28日
2017年5月に発生したランサムウエアWannaCryは、世界で150ヵ国、PC30万台以上という過去最大規模の被害をもたらした。このようなサイバー攻撃が今後起こらないという保証はない。本稿では最近のサイバーセキュリティ対策の動向について報告する。
経営戦略上の重要課題
経産省が「サイバーセキュリティ経営ガイドライン」で述べているように、サイバーセキュリティ対策は、 事業継続性の確保やサイバー攻撃に対する防衛力の向上のために、どの程度投資をすべきかの判断が求められる企業戦略上の重要な課題となっている。
ひとたび企業がサイバーセキュリティ対策に取り組むとなると、体制整備に始まり、ポリシー策定、社員の教育、機器・ソフトウエアの導入、アウトソーシングまで、 その実施検討項目は多岐にわたり、それらにまつわる課題も山積する。
企業がサイバーセキュリティ対策に手間取る一方、世界のサイバー攻撃者は今日も新たなマルウエア(悪意のあるソフトウエア)を開発、投入している。 セキュリティベンダーのPalo Alto Networks社は現在、毎月200~300万件の新しいマルウエアを認識しているという。
経営戦略上の重要課題
情報処理推進機構(IPA)の調査によれば、マルウエアの感染経路が「Eメール」と回答した日本企業は約85%である(図表)。
サイバー攻撃者は、企業の従業員の「Eメールの内容を確認する」という基本動作を突いて攻撃する。 従業員は受信したEメールのうち、業務上重要と思われるものについては、内容を確認するために、添付ファイルや本文中のリンクを開くのが常である。 しかし、それが有害なものと気づいたときはもう手遅れかもしれない。
企業のEメールセキュリティ対策で重要なのは、従業員の教育ということは世界中の共通認識である。 しかし、不審なEメールに騙されないように従業員を教育する企業と、巧妙なEメールで従業員を騙そうとするサイバー攻撃者の知恵比べでは、企業の勝ち目は薄い。 訓練によって不審メールの開封率が下がっても、企業のPCが1台でもマルウエアに感染してしまえば、サイバー攻撃者の勝利なのである。
最近の欧米企業の従業員向けのEメール訓練は、不審なEメールを開かないことと、「発見したらすぐ報告する」習慣づけを重視しているという。 不審メールの情報が企業のセキュリティ担当者に早く伝わることで、被害の最小化および早い回復が可能となる。欧米企業の訓練は100%の防御の実現よりも、レジリエンスの向上を重視していることが窺える。
エンドポイントセキュリティ
従業員の教育の他に注力すべきは、従業員の使用する端末(エンドポイント)のセキュリティといわれている。 従来のウイルス対策ソフトでは、特定の標的に対してカスタマイズされたマルウエアや未知の攻撃を検知・防御することは難しいという指摘がある。
そこで、近年登場した「次世代」エンドポイントセキュリティソリューションは、Eメールの添付ファイルの分離・無害化、機械学習によるマルウエア検知、 マルウエアの実行ブロックなどの機能によって、より強固なセキュリティを実現するとしている。
そのようなソリューションの一つであるAppGuardは、米国の政府機関および陸軍等で使用されており、「18年間破られたことが無い」、「世界最強」と謳われており、注目を集めている。 AppGuardを扱う日本のBlue Planet-works社は2017年4月の設立から8月末までに航空、旅行、生損保などの各社から総額110億円の資金調達を行っている。
アメリカ、ロシア、イスラエル発の新興セキュリティベンダーは、「サイバー部隊出身者が設立した」、「ホワイトハッカー集団が支援している」、 「政府や軍で採用されている」などの売り文句でその信頼性を誇示する傾向がある。新興セキュリティベンダーに出資する日本の一般企業が、それらの実力を正しく評価できているかどうかは不明である。
業務手順の見直しによる対策
2016年よりEメールに、パスワード付きZIPファイルを添付したサイバー攻撃が確認されている。これは巧妙な手法であり注意が必要である。
パスワードで暗号化されたZIPファイルは、基本的にウイルス対策ソフトでは解析できない為、有害なファイルでも検知されずEメールに添付されて届くことが多い。
また、日本企業はWordなどのファイルをパスワード付きZIPファイルに変換してEメールに添付し、そのパスワードをEメール本文に記載するか、後に同じ件名のEメールで送ることが多い。
サイバー攻撃者はそのような手順を把握したうえで攻撃を行う。有害なファイルを、パスワード付きZIPファイルにすることで業務上重要なものと思わせることが狙いである。
サイバーセキュリティコンサルタントは、日本のビジネス慣習である「パスワード付きZIP」と「パスワードのEメール配信」について、セキュリティ上の危険を指摘する。
上記のような攻撃は、業務手順の見直しで充分に防御が可能である。企業がセキュリティ対策のために行っていることを、サイバー攻撃者に逆手に取られないように注意しなければならない。