セキュリティ専門家の上原教授に聞く「メールセキュリティ対策の基本と情シスならではの経営層を動かす“秘策”」輝ける情シスになるためには何が必要か〜求められる人材に変化しよう〜(6)

企業活動に深刻な影響を与えるサイバー攻撃の中でも、メールボックスを狙った不正アクセスや電子メールでのランサムウェア送付には注意すべきだ。立命館大学教授の上原氏に、メールセキュリティの問題点と情シスがメールセキュリティを強化するための秘策を聞いた。

» 2023年03月02日 10時00分 公開
[PR/ITmedia]
PR

 事業活動に深刻な影響を与えるサイバー攻撃が多発している。VPNの脆弱(ぜいじゃく)性を突いた攻撃も多いが、メールボックスに不正アクセスを受けたり、電子メールの添付ファイル経由でランサムウェアに感染したりするケースも多く存在する。

 「輝ける情シスになるためには何が必要か〜求められる人材に変化しよう〜」の第6回の本稿は、セキュリティの専門家の上原 哲太郎氏(立命館大学情報理工学部 教授)にメールセキュリティの問題点やその対策、情シスならではのメールセキュリティを強化するための秘策を聞いた。

相対的に比重を増すアタックベクトルは何か?

 上原氏によると、攻撃者の侵入経路、いわゆる「アタックベクトル」はここ十数年間大きく変化していない。1つ目はインターネットに公開されているシステムの脆弱性を突く方法。2つ目はID/パスワードなどの「クレデンシャル情報」をフィッシングやリスト型攻撃によって突破する方法。3つ目が何らかの手段を用いてマルウェアを送り込み、利用者に実行させる方法だ。

 かつて、悪用されやすく影響も大きい脆弱性がOSに存在していることが判明し、インターネット経由で感染する「ワーム」などに悪用されていた。OSベンダーやセキュリティ企業による対策が進んだ結果として深刻な脆弱性は減り、仮に悪用されても簡単には管理者権限を悪用されない仕組みも実装された。

上原 哲太郎氏(立命館大学情報理工学部 教授)

 「OSの大きな脆弱性は少なくなり、素早く対処される運用も整ってきました。かつては標的にされやすかった『Microsoft Outlook』のようなメールクライアントも同様に堅牢(けんろう)になってきています。さらに、メールシステムのWebサービス移行が進んだことで、メールクライアントの脆弱性を突いた攻撃は減少しています」(上原氏)

 だがアタックベクトルが一つ減ったからといって攻撃が減ったわけではない。「新しい脅威が生まれたわけではなく、残ったベクトルの比重が高まっているのです」と上原氏は指摘する。

電子メール関連の「人」を狙った攻撃にどう対処するか

 近年、システムの脆弱性を突く攻撃手法の代わりに、クレデンシャル情報をフィッシングなどで窃取したり、電子メール経由で言葉巧みにユーザーを誘導して端末をマルウェアに感染させたりする「人」を狙った攻撃の比重が大きくなっている。

 「人を狙った攻撃手段は攻撃者にとって一番効率的です。情シスがいくら注意を喚起してもフィッシングに引っ掛かったり、添付ファイルを開いてしまったりする従業員は後を絶ちませんので、対策が非常に難しい問題です」(上原氏)

 こうした人を狙った攻撃の中でも「Gmail」をはじめとしたクラウド型メールボックスのクレデンシャル情報をだましとり、メールボックスの中身を抜き取るといった手口には特に注意が必要だ。昨今、脆弱なパスワードの利用やパスワードの使い回しなどが原因でメールアカウントが不正アクセスを受け、取引先に関する情報が外部流出したというニュースが連日報道されている。

 「不正アクセスやランサムウェア攻撃による被害は今や経営問題であり、特に中小企業では経理や取引のデータが全部吹き飛び、短期間で復旧できなければ廃業に追い込まれ、従業員が路頭に迷うケースもあり得ます」(上原氏)

 そのため、情シスが強固なメールセキュリティを構築する第一歩としては、テレワークによって管理の目が行き届かない中でも対策を従業員の努力に任せず、クラウド型メールボックスのアクセス制御にシングルサインオンや多要素認証などを組み合わせて、不正アクセス対策を講じることが非常に重要になる。

電子メールの使われ方の根本的な見直しを

 ではメールボックスの不正アクセス対策などでメールセキュリティを強化すれば十分なのか。上原氏はさらに一歩踏み込み、「業務における電子メールの使われ方」の見直しを提言する。

 「メッセージングツールの中で電子メールより優秀なものはありません。インターオペラビリティーの高さや確実性、データを自由に送れる利便性を考えると電子メールは便利です。便利であるが故に皆が好き勝手に利用し、さまざまなワークフローに潜り込んだ状況が生まれています」(上原氏)

 ビジネスメール詐欺(BEC)などは、電子メールと業務フローが一体化している状況に付け込む典型例だ。紙とFAXで実施していたワークフローをそのまま電子メールに置き換え、海外の取引先との間で「電子メールにインボイスが添付されていれば振り込む」といったやりとりをする限りBECはなくならない。

 上原氏は「ビジネスで電子メールを使うのをやめて、ワークフローを変えるしかないかもしれません」と指摘する。EDI(電子データ交換)を積極的に活用して企業間取引の電子化を推進する。次善策として電子署名を活用し、互いに秘密鍵を適切に管理した上で電子署名されたメッセージを送り合う、といった方法だ。

 「電子メールの用途を絞り、どうしても電子メールを残さなければならない場合はメールセキュリティ製品やオンラインストレージとの併用を検討すべきでしょう」(上原氏)

 上原氏はメールセキュリティ製品としては“なりすまし”を防止し、信頼できる相手とやりとりしていることを証明する送信ドメイン認証やレピュテーションチェックを備えたものを薦めている。

 オンラインストレージには、送受信経路の暗号化やダブルチェックなどによる誤送信を抑制する機能、URLへのアクセスに有効期限を設定できる機能が備わっており、セキュアに機密性の高いデータのやりとりが実現できるため利用を推奨している。

 「オンラインストレージ側でマルウェア対策やストレージ内の暗号化がされているサービスも存在しています。電子メールと併用する製品を選定する際には、安全性と利便性が両立できているかどうかを追求した方がいいと思います」(上原氏)

必要なのは情シスの力 本質を理解してDX推進とセットで対策を

 ワークフローそのものを見直して適切な技術を導入するという変革を進めるには情シスの「力」が必要不可欠だ。しかし残念ながら、情シスは「コストセンター」と見なされて徐々に予算も人員も減らされている企業も多いだろう。「何でもやります、お任せください」と言ってくるシステムインテグレーターや「業者さん」が存在し、情シスが囲い込まれてきた部分もある。そんな中で「業者さんが持ってきた中から良さそうなものを入れるだけ」の状態になってしまった情シスの力は低下しているのではないかと上原氏は懸念する。

 「これから本当に大事になるのは、電子メールやデータは自社のものであり、自分の目で安全かどうかを確認しなければいけないことを認識した上で、きちんとツールやサービスを選定できるモチベーションを保つことだと思います」(上原氏)

 電子メールやデータは自社のものである以上、「どこかに任せる」のではなく自社の責任としてやるべきだという自覚を持ち、「選択力」「見る力」を身に付けることが重要だという。

 そんな「見る力」が問われる一例が、「PPAP」(暗号化ZIP添付メール)だろう。データを保護するための方法と位置付けられてきたが、手間暇がかかる割に何らセキュリティ対策になっておらず、ゲートウェイのアンチウイルスを擦り抜けてしまうことからかえってリスクを招きかねない。

 上原氏は「PPAP問題を考えるときには『そもそも暗号化とは何か』をしっかり理解することが重要です。『暗号化』は魔法の言葉で、『暗号化しているから大丈夫です』と言えばそれで皆納得します。しかし、暗号化において一番大事なのは鍵管理です」と語る。

 暗号化すると、送信者と受信者だけがそのファイルの内容を読める状態になる。それには、送信者と受信者だけに通用する暗号鍵が存在する必要がある。つまり、「暗号鍵を誰と誰が安全に共有するか」を整理して適切に管理することなく、暗号化は成り立たない。

 現実にはその部分がスルーされている。それどころか、「データは暗号化すること」といったセキュリティポリシーだけが整えられ、本来の意味を考えずに「暗号化していますから大丈夫です」とチェックだけで済ませるような運用がまかり通っている。

 それを踏まえて「脱PPAP」を図るなら、「受け取るべき人だけに鍵が渡されるようにユーザー管理されているオンラインストレージを利用する」といった適切な策を取るべきだと上原氏は話す。

 このように本質を捉える知識や目を持って電子メールのセキュリティソリューションを見極め、選択することが重要になる。ただし、セキュリティ強化だけを旗印にしていても、なかなか投資が進まないのが実情だ。上原氏はそんな情シスに「DX(デジタルトランスフォーメーション)を旗印にし、その中でセキュリティにも投資するよう経営層に働き掛けるべきです」と提案する。

 「DXで皆さんの仕事をどんどん楽に、快適にし、手間をどんどん減らして、新しいビジネスに手を出せる状況をつくっていきます、という旗印で進めるのが理想です。日本では新しいことを『怖がる』側面もあります。危険を減らし、安全に進めるためにもセキュリティが必要であり『DXこそセキュリティです』と訴えるのが秘策です」(上原氏)

 電子メールは身近に存在し、使いやすく便利なツールだからこそ、業務の中に深く入り込み、それが脅威に付け込まれる隙になっている。上原氏は最後に「まずは情シスがシステムインテグレーターやパートナーへの依存体質から脱却して、主体性を持ってセキュリティ改革に取り組んでほしい」とエールを送った。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:HENNGE株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2023年3月27日