中小企業の情報セキュリティ対策、駆け込み寺は「商工会議所」？ 専門家が解説（1/2 ページ）

[谷井将人，ITmedia]

　本特集の第1回で、ランサム攻撃の被害件数は大企業より中小企業の方が多いという話を紹介した。インターネットイニシアティブ（IIJ）の秋良雄太さん（セキュリティ本部）によれば「（攻撃者は）情報セキュリティ対策が弱く侵入しやすいところを探して攻撃していることが多い」からという。

　中小企業が攻撃をかわすためには情報セキュリティ対策が必要だ――というのは言わずもがなだが、人手不足などで情報システム部門が1人しかいない企業や、そこまで情報セキュリティに詳しくないのに担当として任命されてしまった人もいるだろう。

　知識が不十分だと、対策に必要な情報をどうやって探せばいいか、その情報をどう読み解けばいいのかが分からないまま、問題を放置してしまいかねない。攻撃者に狙われるのは、まさにその放置された問題箇所だ。

　今回は前回に引き続き、情報セキュリティ初心者が知っておくべき情報源と、困ったときの相談先についてIIJに聞いた。

特集：ランサムウェア徹底解説　流行りの侵入経路と最新対策

Log4j 2の脆弱性やEmotetの再流行、ロシアのサイバー犯罪グループの活性化などを背景に、企業を狙い撃ちにしたランサムウェアの脅威が高まっている。いま流行りのランサムウェアについて、侵入経路や侵入後の挙動、最新の対策方法を探っていく。

情報収集は、狭く深く・広く浅くの2ルートで

　ランサム攻撃者は、ネットワーク機器などの“外部接続点”の脆弱性を狙って攻撃を仕掛けてくることが多い。脆弱性を放置していると、システムに侵入する裏口が残ってしまうため、迅速な修正が必要不可欠だ。

　では、その脆弱性情報はどこで仕入れるのか。一つは、使っている製品やサービスの提供元が出しているメールや発表資料だ。丁寧なベンダーは、脆弱性が見つかってすぐに、対処方法までメールなどで通知してくれる場合がある。一方、公式Webサイトに小さく掲示して終わりというところも存在する。

　秋良さんによると、製品を売るのが目的の企業よりは、サービスを継続的に提供する企業の方が能動的に情報発信をする印象があるという。

　もう一つの情報源が、IPA（情報処理推進機構）やJPCERT/CCといった情報セキュリティの専門機関が出す注意喚起だ。

　「まずはIPAやJPCERT/CCなどの存在を知ることが本当に重要です」（秋良さん）

　脆弱性の情報は、IPAなら公式Webサイトトップページの「重要なセキュリティ情報」、JPCERT/CCなら「注意喚起」や「脆弱性関連情報」に、具体的な情報と対策方法が掲載されている。

IPAのトップページ　「緊急」の記事は特に重要度が高い

　ベンダーからの情報と専門機関が出す情報は少し性格が違うという。ベンダーが出す脆弱性情報は、製品個別の問題をユーザーに知らせるものだが、専門機関の情報は、広く使われているサービスに関わるものや、マルウェアなどに関するものが多い。

　例えばIPAやJPCERT/CCは5月に、米Microsoft製品の脆弱性対策や、マルウェア「Emotet」の感染状況などを知らせている。脆弱性情報を収集する際は、ベンダーの情報と専門機関の情報を両方チェックしておくのが望ましい。