ICT環境が充実し、従業員がさまざまな場所や端末から利用するなど、社内データの活用方法が多様化すると同時に情報セキュリティリスクも多様化しています。『情報セキュリティ10大脅威 2023』(IPA)の組織部門における、3位「標的型攻撃による機密情報の窃取」、4位「内部不正による情報漏えい」、5位「テレワーク等のニューノーマルな働き方を狙った攻撃」、7位「ビジネスメール詐欺による金銭被害」などは、社内教育と情シスによるITガバナンスがその防止において非常に重要な項目であり、1位「ランサムウェアによる被害」などもその感染原因の一つに人的要因が含まれることは間違いありません。
そこで本記事では社用PC活用時のNGパターンを5つピックアップし、情シス、ユーザーはどうすれば被害を防げるのかについて解説します。
「ID・パスワードはいつも決まったものを使いまわしているAさん。業務システムグループウエアのログインにも同じものを利用しており、不正アクセスの原因となってしまった」
『令和4年におけるサイバー空間をめぐる脅威の情勢等について』(警察庁)によると、「不正アクセス行為(識別符号窃用型)に係る手口別検挙件数」のうち47.7%が「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」したもの。ID・パスワードを初期設定のまま使う、簡単なものを使いまわす、紙に書き出して手元に置くなど、流出の要因となる不用意なID・パスワードの取り扱いは枚挙にいとまがありません。
対策としては、情シスとシステムでid・パスワードの管理体制を強化することが挙げられます。パスワード生成ツールで使いまわしのできない強固なパスワードを生成し、パスワードマネージャーで管理します。また、多要素認証とシングルサインオンを組み合わせ、パスワード頼りに留まらないセキュリティと利便性を両立させるのも効果的でしょう。
「業務上の利便性を優先し、特に報告することなく顧客リストをUSBメモリで社外に持ち出したBさん。その晩、USBメモリの入ったカバンを紛失してしまった」
2022年6月に尼崎市で全市民46万人分の個人情報が入ったUSBメモリが紛失されてしまった事件について、記憶に新しい方も少なくないでしょう。USBメモリやSDカード、モバイル端末など、情報を持ち歩くことのできる端末は増加・多様化し、インシデントの原因となっています。
「このくらいなら大丈夫だろう」という意識が大きな問題につながるということを、全社員に教育するとともに、ルールを周知、さらにDLP(Data Loss Prevention)などのツールを用いて、データの持ち出しを監視する体制を構築することが重要です。退職者のデータ持ち出しについても秘密保持契約などで禁じるとともに、IDなどと紐付けて情報の持ち出しを管理していることを周知しましょう。もちろん、ルールに従って情報を持ち出す必要がある際には、万が一紛失した場合に備えて暗号化を施しておくことも大切です。
「実行ファイルが添付されたメールが届いたCさん。ダウンロードしたまま忘れて数日後、重要なファイルはすべて暗号化され、解除キーと引き換えに3,000万円を要求するメッセージが表示された」
メールを用いた標的型攻撃(特定の個人や組織を狙ったサイバー攻撃)により、ランサムウエアの被害に遭ってしまったパターンです。実行ファイルだけでなく、WordやExcelなどの文書ファイルやPDFファイルをダウンロードしたことをきっかけに、PCの標準機能を利用して攻撃を行うファイルレス攻撃も近年増加しています。「.exe」などの実行ファイルだけでなく、不明なファイルは基本的にダウンロードしないこと、もしダウンロードしてしまった場合はすぐに上司や情報システム部門へ報告する事、また情報システム部門はそのような事態に備え、報告窓口や心理的安全性を確保しておくことが求められます。
また、ウイルス対策ソフトやOS、Java、Flashなどを最新バージョンへアップデートし、EDRも導入するなど、多層的な防御体制を構築することが効果的でしょう。メールを開いただけで感染することを防ぐためHTMLメールを開かない・プレビューしない設定を施しておくことも重要です。
「普段使っているメールアドレスに取引先から『アンケートのお願い』というタイトルでURLが送られてきたDさん。クリックした数日後、情報システム部から呼び出され、偽サイトへのアクセスによるマルウエアの感染が確認されたと告げられた」
Dさんは、巧妙にメールアドレスや文面を偽装したなりすましメールに騙され、不正なサイトにアクセスさせられてしまいました。送信者名や文面だけでなく、少しでも違和感を覚えたら送信経路なども確かめ、場合によってはセキュリティ担当者に相談する、先方に問い合わせるなどの対策を取ることをおすすめします。また、インターネット上のサイバー攻撃には組織や個人がよく訪れるウェブサイトに不正なプログラムを埋め込む「水飲み場攻撃」や広告にマルウエアを埋め込む「マルバタイジング」なども存在します。OSやセキュリティソフトを最新バージョンに保つとともに、レピュテーション機能なども活用して不正なサイトを避けられる環境をつくりましょう。
「起動の手間がかからないようにと、帰宅時にはモニターの電源を切るだけでPCをつけっぱなしにしていたEさん。後日、社内PCがマルウエアに感染し、EさんのPCから情報のほとんどが略取されていたことが発覚した」
PCの電源が入りっぱなしになっていることは、電気料金やエコの観点から問題であるだけでなく、サイバー攻撃者にとって絶好の不正アクセスの侵入経路となります。夜間だけでなく、休憩時間など利用しない時間は基本的にPCの電源を切った方が良いでしょう。全社的なサイバーセキュリティ対策においてはルールを設定するだけでなく、それによってどんなリスクがあるのかを周知することはかかせません。
社用PCの5つのNGパターンとその対策について解説してまいりました。いずれのパターンも聞いてみれば「当然避けるべき」と考える方がほとんどでしょう。しかし、実態としては気のゆるみや習慣などを理由に、NGパターンが放置されている場合も少なくありません。
セキュリティインシデントがどんな結果を引き起こすのか、それを防ぐためにどのような監視体制やルールが設けられているのか、「当たり前」だからこそ社員教育とガバナンスを徹底することが求められています。