やるべきことは従業員教育ではなく、システム側の対策
本連載の第1回目では、セキュリティ教育の限界について取り上げました。その中でも紹介したように、とにかくお伝えしたいことは、どんなに知識があっても「人間は間違える」ということです。もちろん、セキュリティに関する豊富な知識を有することに越したことはありません。しかしながら、従業員にしっかりとしたセキュリティ教育を施して意識を高めたとしても、誰か一人が1回でも間違えてマルウェアが仕込まれたファイルを開いてしまえば、ハッキングされてしまうのです。
逆に、セキュリティ教育をおこなったことで、従業員が攻撃の仕組みや対策について「わかった」と思い込んでしまう危険性も考えられます。サイバー攻撃は日々進化しており、今この瞬間も巧妙化、複雑化しています。いくら教育したとしても一般従業員のセキュリティ知識は、サイバー攻撃を日々研究し新しい手法を生み出しているハッカーには到底およびません。
この点を十分に理解しておけばセキュリティ教育にお金をかけるよりも、攻撃を防ぐことができるシステムや仕組みを構築することに対して投資をする必要性がわかるかと思います。また、セキュリティ対策については、やるべきことは大企業でも中小企業でも大きな違いはありません。
アンチウイルスソフトが入っているから大丈夫! 実はそれも大きな間違い
セキュリティ対策と聞いたときに、アンチウイルスソフトを思い浮かべる方も多いのではないでしょうか。しかしながら、アンチウイルスソフトにも限界があります。アンチウイルスの基本は、既知のマルウェアや攻撃プログラムのパターンマッチにより、攻撃を未然に防ぐことにあるからです。つまり、パターン検出のファイルは日々更新されていますが、既に判明しているマルウェアのみへの対策ともいえます。
最近では、パターンマッチだけでなく攻撃のプロセスを検知して防御するような仕組みも登場していますが、常に進化するハッカーとのイタチごっこの様相を呈してしまっています。
もう一つ、よく知られているセキュリティ対策が、公開されているOSやソフトウェアの更新プログラムをすぐに適用することです。もちろん、これは絶対にやっておくべき対策の1つですが、これだけで安心してはいけません。なぜなら、最新のサイバー攻撃は「ゼロデイアタック」へと変化を遂げているからです。
ゼロデイアタックとは、OSやソフトウェアなどにおける脆弱性が発見された瞬間に、その脆弱性をついた攻撃を行うことを指しています。ベンダーが修正プログラムを公開する前に、既に攻撃を開始しているため、脆弱性に対するアップデートの適用が間に合わないのです。
では、こうした最新の攻撃手法はもちろん、巧妙化するサイバー攻撃に対してどのように対応すればよいのでしょうか。
