お役立ちコラム

サイバー脅威はすぐそこに ~ 攻撃耐性を備えた IT の利活用でビジネスを加速

皆さんは、身の安全、家財の安全を確保するためにコストを払いますか? たとえば、ドア鍵が旧式のピッキングに弱い鍵であれば頑丈な鍵に付け替えたり、また、泥棒が入らないように人感照明やカメラを設置する、警備保障会社と契約する場合もあるかと思います。また、万が一病気になった場合や自然災害に遭った場合に備えて、保険を掛けるということもあるでしょう。実際に強盗に入られたり、病気や事故、天災のリスクに遭遇したりする確率はそれほど高くはないかもしれません。しかし、いざという時のために私たちは「投資による備え」を行っています。

コンピューターの世界も同様に備えてほしいのです。自分は被害に遭わない、たいした資産価値もないので攻撃されないと考えたり、もしくは、今のシステムで問題なく使えているし、最新の備えをしなくてもきっと何も起きない (起きないでほしい) と考えるのが人間の心理かと思いますが、サイバー犯罪の世界はめまぐるしく進化しており、今やだれでも PC 1 台あれば手軽に攻撃が行え、その ROI はドラッグ ビジネス以上に高いといわれています。そして、世界中がつながるネットワークにより国境の隔てなく、日本にいる私たちも世界中から狙われ攻撃を受けています。

 

数字あれこれ

企業の 7 割はセキュリティ事故を経験、9 割は未知の脅威が侵入済み、という情報があります[i]。一方で、侵入から発見されるまでの日数は 242 日 (中央値)[ii] とも、153 日 (平均値)[iii] とも言われています。ただし、これは侵入を発見できた場合についてです。侵害に関するさまざまな調査で「実害はなかった」と回答している組織が 4 割~6 割ありますが、実害に気づいていないということも往々にあるようです。また、一般的な標的型攻撃では、最初にメールを開いた社員の PC 感染から 8時間後には他のクライアント端末がすべて乗っ取られ、24 時間後にはサーバーが、そして 48 時間後にはドメイン コントローラーが乗っ取られるというスピード感で攻撃者は活動しています。企業が被るデータ侵害に対する平均的なコストは 4.2 億円ともいわれています[iv]。

 

中小企業も狙われています

中小企業は狙われないというのはもはや神話の世界です。むしろ、セキュリティ対策にあまりコストをかけられず対策があまり進んでいない中小企業は、よく知られた基本的な攻撃手法による大多数への攻撃に引っかかりやすく、攻撃側にとってはたいした苦労をせずに一定量の対価が得られる対象なのです。

フィッシング、Web 閲覧、メールによる感染、ランサムウェア、内部犯行、などさまざまな脅威を通して、金銭が盗まれたり、顧客や取引先の情報が漏えいしたりします。昨今ではマイナンバーの取り扱いも企業にとって懸念事項の 1 つでしょう。また、攻撃を受けるだけでなく、気が付かないまま PC が操作もしくはロボット化され、勝手に取引先にメールを送るなど、自身が踏み台となり感染拡大そして攻撃をしてしまうというのが実情です。

 

基本対策

大多数を狙うよく知られた基本的な攻撃手法には、基本的な対策を行うことで効果があります。以下にまとめておきます。

  • OS やアプリケーションは最新の状態で利用する
    • セキュリティ更新プログラムを適用し、穴をふさぐ
    • Java や Flash などの更新も忘れず
    • 「MyJVN バージョン チェッカ」を使って、最新のバージョンかをチェックできますhttp://jvndb.jvn.jp/apis/myjvn/vccheck.html (IPA 提供)
  • マルウェア対策ソフトは最新の状態で利用する
    • 製品購入時の試用版は、期限が切れていないことも確認する
  • ファイアウォールなどのビルトイン セキュリティ機能を有効にする
    • 既定で有効になっているセキュリティ機能は無効化しない
  • アカウントやパスワードの管理をきちんと行う
    • アカウントの共有は避け、不要になった ID は削除する
  • 機密データには暗号化、万一のためのバックアップを取得する、など

 

侵入されている” 前提で一歩先の対応を

基本対策はもちろんですが、積極的な対策のためには、OS やアプリケーションはベンダーが提供している最新のバージョンの製品を利用することが望まれます。目には見えませんが、最新の製品は “攻撃される” 前提で、現在の攻撃手法に対抗する防御機構が組み込まれています。これにより、たとえ攻撃を受けたとしても、攻撃コードの実行を防ぎ、データ流出を防ぐなど、攻撃への耐性が格段と上がるのです。

 

ms3

Windows OS のセキュリティ多層防御の進化 (左から Windows XP、7、8.1、10)

 

 

エアバッグの搭載されていない車に乗り続けますか? ピッキングに弱い 1 つ鍵を、問題なく使えているからと使い続けますか? というのと同様、コンピューターの世界でも、時代に合った進化したテクノロジを利用するのは非常に理にかなったことなのです。

 

ビジネスの加速、という視点

セキュリティ対策の一環で最新の製品やサービスを導入するといっても、そう簡単には予算が確保できない、経営層が首を縦に振らない、具体的に何をしたらよいかわからないなどの悩みがあると思います。そんなとき、セキュリティ対策のための費用としてではなく、少し視点を変えて、ビジネスを加速するための「投資」として捉えアプローチしてみてはいかがでしょう。昨今はグローバル化が進み、めまぐるしいスピードでビジネスの仕方や機会も変化しています。市場や顧客の迅速な分析、意思決定、生産性の高い働き方を追求し、最新の IT やクラウドを積極的かつ効果的に利活用する組織が、新しいビジネスのチャンスもまた手にしているように見えます。

 

クラウドの活用

賢くクラウドを活用することは、ビジネスの加速だけでなく「セキュリティ対策」としても大きな効果が期待できます。Security as a Service として、運用がたいへんなセキュリティ対策はクラウド ベンダーがサービスとして提供してくれるためです。煩雑なことは専門業者に任せてしまうのです。

従来の運用で「USB やスマホは禁止」とか「端末はインターネットにつなげない」など、あれもこれも規制ばかりでは、生産性も損なわれ、新しいビジネス チャンスも喪失するリスクがありますよね。クラウドをうまく導入することで生産性を向上しビジネスを加速しながらセキュリティも担保できるのです。またクラウドはコスト面でも初期投資が大きく抑えられるメリットがあります。運用コストも、従来の IT メンテナンスの人件費に比べれば少ないものです。

会社の大切な事業資金や重要書類は、金庫ではなく銀行に預け、安心を買うように、デジタル データもまた、会社のサーバーではなくセキュリティやバックアップ対策が施されたクラウドに保管するというのは、ビジネスの安全や信頼を確保する上での 1 つの有力な選択肢なのです。

 

【参考情報】

中小企業のクラウド活用事例 https://www.microsoft.com/japan/msbc/Express/solution/BizTheater/default.aspx?page=page3

500 社以上の中小企業のクラウド活用事例を紹介しています。業種、地域、規模、製品別にクラウドの活用成功事例を検索、参照できます。

 

クラウドで守る情報セキュリティ~中小企業が抱えるセキュリティの課題~ https://www.microsoft.com/japan/msbc/Express/solution/campaign/security/default.aspx

中小企業が抱える課題とクラウドの利活用についての情報、またセキュリティ ガイドブックなどの読みものもご参照いただけます。無料での相談先も掲載していますのでお気軽にご活用ください。

 

ビジネスに役立つ資料ダウンロード https://www.microsoft.com/japan/msbc/Express/contents/enterprise_security/

情報セキュリティの基本的な考え方や組織に合った対策などのヒントが盛りだくさんのガイドブックや、マンガでわかりやすく解説したサイバー攻撃対策読本など、さまざまな読みものがご覧いただけます。

  • セキュリティ ガイドブック ~クラウド時代の IT 基盤づくりとセキュリティ (2016 年 4 月版)
  • Windows 10 セキュリティリスク抑制効果調査報告 Phase 1 [株式会社 FFRI]
  • 【中小企業必見】マンガ & 解説でよくわかる! 知識ゼロからのサイバー攻撃対策読本

 

クラウドはセキュリティ強化の切り札~監査制度で「安全」と「信頼」がさらに向上する

http://special.nikkeibp.co.jp/atclh/ITP/16/microsoft0801/

 

 

おわりに

今やサイバー攻撃はだれもが関係するテーマであり、データ侵害や踏み台のリスクはいつでもだれにでもあります。物理世界で強盗などの被害に遭うよりよほど高い確率で攻撃を受け、カフェで横に座った人がサイバー攻撃を行っている (かもしれない) という世界に私たちはいます。

基本対策はもちろんのこと、今後のビジネス損失リスクの回避、そしてビジネスの加速のためにも、”攻撃” を前提に開発された最新の製品やクラウドを効果的に活用し、自社の管理コストとサイバー攻撃のリスクを下げ、柔軟性と安心を買ってみてはいかがでしょうか。

 

 

[i] トレンドマイクロ IT Japan 2015 (2015 年 07 月)

[ii] McKinsey & Co. 高度ネットワーク社会でできることとそのリスク: 企業への示唆 2014 年 1 月

[iii] Trend Labs 2015年 年間セキュリティラウンドアップ

[iv] Ponemon Institute Releases 2014 Cost of Data Breach