連載
» 2020年03月31日 07時00分 公開

半径300メートルのIT:「リスクの見える化」は誰の仕事? ――遠隔で働くあなたを守るのは

危機に乗じた犯罪が増え続けています。社会の混乱を“商機”と捉える悪質な犯罪者に屈しないために、われわれ組織人が今一度考えるべきサイバーリスクを見直しましょう。

[宮田健,ITmedia]

 新型コロナウイルス感染症(COVID-19)の影響が日本でも広がる中、終わりの見えない状況を狙う者がいます。それは「サイバー犯罪者」。悲しい話ですが、混乱に乗じて攻撃を仕掛けてくる例が増えてきています。

 情報処理推進機構(IPA)は2020年3月25日、「企業のCISO等やセキュリティ対策推進に関する実態調査」の報告書を公開しました。各企業のCISO(最高情報セキュリティ責任者)に対してセキュリティに関する事業リスク評価の実施状況やリスク分析状況をヒアリングした結果をまとめたもので、日本企業の現状を赤裸々に表現しています。これによると、CISOにおける課題認識として「リスクの見える化が困難/不十分である」と答えた企業が全体の45.7%にのぼりました。

「企業のCISO等やセキュリティ対策推進に関する実態調査」報告書 「企業のCISO等やセキュリティ対策推進に関する実態調査」報告書(出典:IPA)

 IPAはこのレポートに加え、「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」も公開しています。CISOのバイブルともいえる「サイバーセキュリティ経営ガイドライン」、副読本としての「CISOハンドブック」などとあわせて、ぜひご確認ください。

プレス発表 CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%:IPA 独立行政法人 情報処理推進機構

サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版:IPA 独立行政法人 情報処理推進機構

急変する世界を狙う、さらなる「リスク」

 前述したレポートは、2019年10月に実施した結果調査をまとめたものです。つまり(当たり前ですが)COVID-19に特化したリスクについてのものではありません。ただし「テレワーク」や「BYODにおける情報漏えい対策」「オンライン会議をベースとした仕事」などをどう考えていたかを推測するヒントになるでしょう。CISOの役割には「BCP(事業継続計画)の支援」も含まれ、今回の件についても、決して無関係ではありません。

 COVID-19との関連でいえば、この大きな話題に乗じた「詐欺」が想像できます。例えば「新型コロナウイルス感染症に関する注意」や「オンライン会議の招集」「首都封鎖に関する情報」などを装ったフィッシングメールは、すぐに実行可能かつそれなりに開封率が高そうです。

 偽メールでマルウェアを実行させ、脆弱(ぜいじゃく)性が残る端末を踏み台にして社内のより重要なサーバに侵入するのは不正アクセスの常とう手段。アップデートの実施やフィッシングメール対策、マルウェア対策がこれまで以上に重要になるでしょう。

 さらに気を付けたいのは、いわゆる「ビジネスメール詐欺」(BEC)です。リモートでの情報共有に不慣れな状況を狙って経営幹部を装い、電話やメッセンジャーツールで振込先の変更を指示する「CEO詐欺」が考えられます。テレビなどで放送されたインタビュー映像から音声を抽出し、音声を合成するといった手口も研究されているそうです。

 有名人のスキャンダルなどをかたるフィッシング詐欺は日常的に行われています。世界中がCOVID-19の話題に注目する今、犯罪者にとってこれ以上の「ネタ」はないでしょう。それだけに、情報に潜む「悪意」に敏感になっておくことは重要と考えています。

これまで発生した脅威の延長線上で考えて

 これまでは顔をつき合わせて行っていた情報共有が急にオンライン化され、戸惑っている人も多いでしょう。ネットの先でやりとりしている相手が「本当に同僚なのか」を確認するのは、実は難しいのです。慣れないツールを使っている間の「緊急かつお金を動かす指示」については、電話や他部署への確認を怠らないなど、アナログな手法も並行して対応すべきでしょう。

 混乱に乗じた攻撃は非常にやっかいなものです。しかし対策は「アップデートの実施」や「既知の脆弱性の管理」「フィッシング対策として攻撃者の手口を知る」「IDとパスワードをしっかり管理し、可能な限り二要素認証などを適用する」など、普段から重要なものがそのまま有効です。リスクをしっかり把握した上で、これまでの対策をしっかり行い、さらに強化しましょう。

 COVID-19対策に関しては、セキュリティベンダーを始め多数の参考資料が公開されています。テレワークの合間のちょっとした息抜きに、ぜひこういった資料を読む時間も取ってみてください。きっといろいろな発見があるはずです。

気を付けたい、テレワーク時のセキュリティ7つの落とし穴 | セキュリティ対策のラック

ビジネスメール詐欺の実態調査報告書(JPCERT)

企業をBECから守る方法 | カスペルスキー公式ブログ

テレワーク(在宅勤務)を安全に実施するには | カスペルスキー公式ブログ

テレワークにおけるセキュリティの注意点と8つの対策 | トレンドマイクロ is702

日本と海外の「新型コロナウイルス」便乗脅威事例 | トレンドマイクロ セキュリティブログ

自宅から仕事?在宅勤務の安全を確保する5つのポイント

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ