見えざる悪意―3つのサイバー攻撃から会社を守る！

　企業に対するサイバー攻撃に対して、具体的にどこから対策をとって良いのかわからないという経営者は多いでしょう。そこで、サイバー攻撃の手口と対策を紹介しながら、包括的なセキュリティ対策を施すための方法について考えてみます。

急増するサイバー攻撃―その手口とリスク

　サイバー犯罪の手口は年々高度化しており、情報資産の価値が増大していることから、サイバー攻撃が企業に与えるダメージも深刻になっています。そこで、まずはサイバー攻撃の手口とリスクについて知っておきましょう。

　2018年時点において代表的なサイバー攻撃の手口は、「DDoS攻撃」「ランサムウェア」「不正アクセス」次の3つにまとめることできます。

　DDoS（Distributed Denial of Service attack）攻撃は、「DoS攻撃」の発展版といえる手口です。DoS（Denial of Service attack）攻撃は、サーバーに大量のデータや処理要求を送り付け、一時的にサーバーダウンを引き起こします。DDoS攻撃ではこれをさらに拡大・大規模化させ、複数の拠点から同時多発的に対象を攻撃します。

　また、DDoS攻撃に加担するPCは、所有者が気づかないうちに攻撃者の支配下におかれ、「踏み台」にされます。DDoS攻撃は攻撃対象を被害者にするだけではなく、多数の端末所有者を「加害者」にしてしまうという特徴があります。企業のウェブサイトやサービスを狙った大規模な攻撃としては、最も防御が難しい手口といえるでしょう。

　2つめのランサムウェアは、「身代金要求型マルウェア」と言い表すことができます。ソフトウェアの脆弱性やウェブサイトを通じてPCやモバイル端末に感染し、ネットワークを通じて感染対象を増やしていきます。ランサムウェアに感染したPC・モバイル端末は、内部のデータを暗号化されてしまい、外部からの操作を受け付けない「ロック状態」に陥ってしまうのです。このロックを解除するためには、攻撃者が提示する条件（主に金銭やデータの要求）を満たすか、ウィルス対策企業から復元ツールが提供されるのを待つしかありません。2017年5月に大流行したランサムウェア「ワナクライ」は、日本を含む世界各国の官公庁・民間企業にダメージを与えました。

　最後の不正アクセスは、特定のデータにアクセスする権限がない第三者が、不正な手段を使ってデータを閲覧・改ざんしてしまう行為全体を指します。前段階としてDDoS攻撃やランサムウェアが用いられることもある一方、極めてアナログな手段によっても引き起こされます。たとえばディスプレイに貼ってあるパスワードを盗み見たり、PC・モバイル端末のロック解除用IDカードを盗んだりといったやり方です。不正アクセスは重大な情報漏えいに繋がりやすく、結果として企業の信用やブランドイメージを著しく低下させてしまいます。2017年10月には、米Yahoo!が抱える30億ものアカウントが不正アクセスに遭っていたことが判明し、事業の売却額が3億5000万ドルも低下しました。

　3つの手口の中でも、企業に与えるダメージの大きさという意味ではトップクラスかもしれません。

　このようにサイバー攻撃による影響はビジネスそのものへと拡大しています。企業にとって、情報セキュリティ対策は最重要課題のひとつなのです。

IoT時代のサイバー対策はPCのみでは不十分

　では、こういったサイバー攻撃から情報資産を守るには、どういった対策が必要なのでしょうか。数年前までは、主に業務用PCに対するアンチウィルスソフトのインストールや、ファイアウォールの構築などで対応できていたといえるでしょう。しかし今後はこういった対策のほかに、IoTを意識した対策が求められます。

　IoTとは「Internet of Things」の略称で、直訳すると「モノのインターネット」です。あらゆるモノがネットワークに繋がり、相互に情報交換する様子を表しています。スマートフォン、タブレット端末、Webカメラ、解錠システム、その他オフィス用什器などがネットワークに繋がる現代は、まさにIoT時代と呼ぶにふさわしいでしょう。当然、情報セキュリティ対策にもIoTに即した内容が求められます。保護されるべき対象がPC以外へと広がっているのです。

　仮にこういったIoTデバイスが外部からの攻撃を受けると、そこから社内ネットワークへの侵入を許し、情報漏えいやシステムダウンといった被害に繋がりかねません。また、扉や窓の解錠システムやWebカメラが乗っ取られると、物理的な被害に繋がる可能性も出てきます。

　IoTデバイスは前述した3つの手口全ての対象となる可能性があることから、包括的なセキュリティ対策が求められています。

自社運用は本当に得なのか？

　しかし、仮に社内のIoTデバイスに対し、全て自社でセキュリティ対策を施すのは難しいかもしれません。セキュリティ対策は「漏れなく」かつ「持続的に」行うのが鉄則で、どちらが欠けても成立し得ないからです。

　もちろん、社員の中に情報セキュリティのエキスパートが存在し、充分な人的リソースがあれば対策は可能です。しかし、監視ソフトのインストールと設定、ネットワーク全体を監視し続ける運用監視チームの結成、さらに実際の運用まで含めると決して小さなコストでは収まりません。

　特に運用面は、24時間監視・緊急時の原因究明・復旧対応などが必要なため、コストが大きくなりがちです。したがって、社内に専門スキルを持つ人材を抱えていたとしても、実際の対策や運用は外部のサポートを受けるほうが得策というケースが多々あります。このあたりは自社が持つリソースと求めるセキュリティ体制、万が一攻撃を受けたときのリスクなどを天秤にかけながら考える必要があるでしょう。

　たとえば基本的なセキュリティ対策と監視体制の設計のみを自社で行い、実装（サーバ構築、監視設定適用）や運用（監視業務、障害対応）は外部に任せるという方法です。いずれにせよ、リスクとコストのバランスを考慮しながら、できるだけ強固なセキュリティ体制を維持しなければいけません。

　ネットワークに繋がる全てのIoTデバイスを攻撃から守るには、「包括的かつ永続的なセキュリティ対策をどれだけのコストで実現するか」というバランス感覚が重要になってくるでしょう。

※掲載している情報は、記事執筆時点（2018年3月11日）のものです。