SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2016 講演レポート

もしも社長がセキュリティ対策を聞いてきたら?経営視点から考える安価で効果的なサイバーセキュリティ対策

できるだけ安価かつ効果的に、ポイントをおさえたセキュリティ対策を

 それでは「結局、何を守ればいいのか」。その問いに対し、蔵本氏は、「攻撃の着弾点となるパソコン」「被害拡大の要因となるID」そして、「データを第三者が読めないように」の3点をあげる。他のレイヤーも有効であり、必要だが、まずはこの3点が大きな費用対効果を期待できるという。

出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より

 「サイバー攻撃対策とワークスタイル変革とは関係性が深く、予算の取り方としてもセキュリティではなく、ワークスタイル変革とすることも可能だろう。ノートパソコンを置き忘れても情報漏洩しない仕組みを導入すれば、必然的にワークスタイルも変えられる。そうした発想で経営陣と話せば、予算の出所も様々な可能性が考えられる」(蔵本氏)

 企業のセキュリティはコストとの戦いだ。時間とお金をかければ、容易にセキュリティ対策は可能かもしれない。とはいえ、費用を掛ければ掛けた分だけ絶対に改善されるとは限らない。どんなものが自社には必要で、どのくらい安価におさえつつ、どのくらい効果をあげられるか。そこを考えるのが重要というわけだ。

 そのために、蔵本氏は「サイバー攻撃の流れ」を理解する必要があるという。非公開のメールアドレスに対して個別の宛名が書かれた攻撃メールがくることもある。つまり、事前調査がかなりしっかりなされているということだ。

出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より

 今はまだおかしな言葉遣いをしている攻撃メールが飛んでくることも少なくないが、洗練されていくことは間違いない。また、マルウェア自体を添付でつける場合でも、アイコンの偽装等、ユーザーを視覚的に騙すテクニック等を使用されると「怪しいメールは開くな」といわれても、なかなか徹底できないのは当然のことだろう。

 そうしてハッキングに成功した後はIDアカウントを抜き、隣のパソコンへと浸蝕していく。この時に多く使われるのが、キッティングの際に使われた共通のIDとパスワードだ。サイバー攻撃では、ごく一般的な手法なので、自社のPCをキッティングする際に使用しているIDパスワードが全台同一の場合は大急ぎで変更する必要がある。このようにメールが着弾して組織のPC全体に広がるまでの時間の平均はわずかに8時間。さらに平均48時間後にはドメインごと乗っ取られる可能性がある。蔵本氏は、標的型メールで1台が感染し、横に展開していく様子をシミュレーションしてみせ、さらに暗号化された圧縮ファイルの暗号解読を2秒で行う方法を見せた。

 それでは、パソコンを感染させない方法はないのか。手法の1つとして、蔵本氏は「ホワイトリスト」を勧める。つまり、許可されたアプリケーションのみが動作可能となり、それ以外は使えないというものだ。たとえばOfficeのみOKとなっていれば、他のアプリケーションが立ち上がろうとしても難しい。また、ID とパスワードを抜けないようにIDパスワードの盗難防止ソリューションを導入したり、IDパスワードの不正利用を検知するソリューションを導入するのも効果的だろう。1万台を守ろうとするとお金も時間がかかる。そこで、入ってきても横展開しにくく、早期検知し、被害を極小化していくソリューションが有効だという。

 それでは、機密情報を取得しようとする動きからはどのように守るべきか。まず、要因として「ファイルサーバーの使用」がある。IDとパスワードが盗まれたら、一気にフリーパスになってしまい、入り放題となってしまう。そこで、電話認証を有効にしたポータルの利用などの対策法が有効だ。つまり、IDパスワードでアクセスすると、登録した電話番号へコールバックがあり、その認証のもとファイルを取得できるというものだ。また、ファイルの暗号化についても、IDと紐づいた認証を必要とする手法を用いることで、容易にアクセスできないようにすることができる。つまり、スマートフォンを併用した多要素認証だ。電話以外にもアプリやSMSを利用した認証ももちろん効果的だ。

 また、データのバックアップも重要であり、万一ランサムウェアによる妨害があっても、すぐに全部をクリアにしてバックアップからもとに戻せばいい。そうした「事故にあうことを前提に」被害を縮小する方策を取っておくことで、セキュリティ対策そのものの精度が向上するというわけだ。

 こうしたセキュリティ施策の優先度のために、蔵本氏は定量リスク分析手法として、製造業で活用されているFMEA(Failure Mode and Effect Analysis)を紹介した。つまり、影響度に発生頻度や防御困難度を掛け合わせることでリスク値を出し、それが高いものほど優先度が高いとするものだ。

 最後に蔵本氏は「セキュリティは重要な経営課題であり、コストは重要な課題。どうしたらコストを減らしつつ、最も有効な手が打てるのか、それを考えながら取り組んでいただきたい」と強調した。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8578 2016/11/14 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング