SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

サイバーセキュリティ対策の現実解-中堅・中小企業のための情報セキュリティ強化策

情報セキュリティ対策の変遷から振り返る、企業をとりまく現在の脅威とは?(前編)

 セキュリティは難しいという言葉をよく聞きます。それは何をどれだけ対策すればいいのかわからない、ということが背景にあるのかもしれません。使っているシステムや取り扱う情報によって、求められる対策は異なります。つまり、企業によって対策も異なりますし、対策にかける費用も変わります。一方で、これまでの情報セキュリティの歴史を考えると、攻撃の手法は次々と変わっていますが、対策方法は変わらない部分もあります。そこで、これまでの脅威と対策を振り返り、現在はどのような脅威があるのかを見ていきます。

コンピュータウイルスへの対策

 1990年代後半からインターネットが一般の人にも普及するにつれて、少しずつセキュリティが話題になってきました。代表的な例がコンピュータウイルスの増加です。実際、IPAによるウイルス届け出件数の推移を見ても、1990年代から2005年頃にかけて大幅に増加していることがわかります。

 一方、2006年以降は一転して減少傾向になっています。これは、ウイルスに対する意識が高まり、ウイルス対策ソフトの導入が進んだことが理由として考えられます。

 図1:ウイルス届出件数の推移[クリックすると図が拡大します]

 ウイルス対策ソフトの導入は必須で、いまや企業でウイルス対策ソフトを導入していない企業はほとんどないと言ってもよいかもしれません。それにも関わらず、昨今では「標的型攻撃」をはじめとする高度な攻撃手段による被害が増えてきました。標的型攻撃の場合、これまでのように不特定多数に向けた攻撃ではなく、特定の組織が狙われます。

 対象の組織でよくあると思われるやりとりを行うメールを使うだけでなく、何度も攻撃を繰り返すのが特徴です。既存の対策ソフトでは検出できないウイルスが使われることもあり、被害が発生しやすい状況だと言えます。

 また、実在する組織や個人名を送信者として詐称する、添付ファイルを開きやすいような文面を用意するなど、メールの受信者が不信感を抱かないようなテクニックが使われます。このため、これまでのように「怪しいメール」を判断する、という対策だけでは防ぐことが容易ではありません。

図 2:標的型攻撃の手法の例

 また、「ランサムウェア」と呼ばれるウイルスも増えています。感染すると、パソコンの中にあるファイルなどが勝手に暗号化され、元に戻すために金銭を要求するタイプで、「身代金ウイルス」とも呼ばれています。このように金銭を狙った攻撃が増え、被害にあったときの損失がこれまでよりも大きくなることも特徴です。

 ウイルス対策で気を付けなければならないのは、未知のウイルスが使われると、対策ソフトを導入していても防ぐことができないことです。届け出件数が減少したことの一因として、ウイルスが高度化したことにより、利用者がウイルスに感染したことに気づかないという事例もあるのかもしれません。

 逆に、ウイルスに感染していないにも関わらず感染したように見せかけるメッセージを表示し、ソフトウェアをダウンロードさせたり、サポートを行ったりすることで代金を請求する詐欺も登場しています。安易にメッセージの表示内容に従うだけでなく、冷静に確認する必要があります。

 このような変化はありますが、既存のウイルスへの対策方法としてできることは今も昔も変わりません。ウイルス対策ソフトを導入することはもちろん、怪しいファイルを開かない、不審なリンクをクリックしない、といった基本は今後も続ける必要があります。

 一方で、ウイルスに「感染することを前提」とした対策が求められるようになりつつあります。ウイルスに感染しても早期に気づくことができるか、情報が外部に流出することを防げるか、流出した際の影響を最小限に抑えられるかがポイントです。

次のページ
情報漏えいへの対策

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
サイバーセキュリティ対策の現実解-中堅・中小企業のための情報セキュリティ強化策連載記事一覧

もっと読む

この記事の著者

増井 敏克(マスイ トシカツ)

増井技術士事務所 代表、技術士(情報工学部門) 1979年奈良県生まれ。大阪府立大学大学院修了。テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」×「数学...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9254 2017/05/25 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング