標的型攻撃対策で急ぐ3つのこと、ラックが提言

日本年金機構での情報漏えいから、企業・組織が最低限取り組むべきという3つのポイントを挙げている。

[ITmedia]

CTOの西本逸郎氏による提言。同氏は年金機構やNISCなどによる報告書が対策のヒントになるとも評価している

　セキュリティ企業のラックは8月31日、日本年金機構などが情報漏えい事案の調査報告を公開したことを受けて、標的型攻撃対策で企業・組織が最低限取り組むべきポイントについて提言を行った。被害前提の対応準備が大事だとしている。

　同社は、標的型攻撃によるウイルスの侵入に「完全に防ぐことが困難なだけでなく、自分たちでは感染に気づくことすらできない」と指摘。侵入されても被害を最小限に抑え込むことや、組織ガバナンスが適切に働いたことを証明できるようにすべきことが求められるという。

　そのためのポイントでは（1）ルール違反の放置が発生しないように適切に管理し、それを経営レベルで監督する仕組みを構築すること、(2）外部から何らかの異常を知らされたときに的確に対応できるよう、対処方法について十分理解して準備し、訓練を行っておく――ことがスタート地点となるとt提言。さらに、標的型攻撃では“低レベル”の手法も使って攻撃者が狙い先の組織を油断させるため、（3）職員や従業員の「デジタル力」を向上させる教育を実施することも重要――とアドバイスする。

　（2）に関してはWebサイトの改ざんなど企業・組織のIT環境が攻撃者の踏み台にされるケースもあり、「経営レベルでその対応方針を決めておくべき」と解説している。