IPAは、機密情報に対する攻撃は年々巧妙になっており、情報漏えいや金銭窃取の被害が後を絶たないとして、被害の多くは、メールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が原因であり、特定のセキュリティ対策製品を導入しただけでは被害を防ぐことができない場合があると指摘している。
個人情報や機密情報を扱う業務やその他重要な業務においては、ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策を多層で行う多層防御の必要があるとしている。
多層防御による管理・運用の見直しを実施し、ウイルス感染や内部不正が発生しても、被害を回避・低減にできるシステム設計や運用ルールになっているか、ルールが徹底されているか、PDCAサイクルに沿って見直していくことが重要だとしている。管理・運用見直しのポイントを次のようにあげている。
1. ウイルス感染リスクの低減
ウイルス感染の防止が難しいとはいえ、ウイルス感染は極力回避する必要があり、そのためには以下の対策が有効だという。
・ソフトウェアの更新の習慣化および徹底:脆弱性を狙ってウイルスを感染させる攻撃からPCやサーバーを保護するために、ソフトウェアの更新による脆弱性の解消を習慣化する。必要に応じて端末の状態を監視する資産管理や更新管理(パッチ管理)製品を導入することも検討(→参考情報1、5)。
・セキュリティソフトウェア(ウイルス対策ソフト)の導入:流行しているウイルスの感染を予防するためには必要不可欠であり、パターンファイルの常時更新も必要(→参考情報1)。
・メールの添付ファイルのブロック:メールサーバーやメールゲートウェイで不審な添付ファイルをブロックすることでウイルス感染するリスクを低減させる。
・ウェブフィルタリング:業務に必要のないウェブサイトの閲覧を制限することで、ウェブ経由でのウイルス感染するリスクを低減させる。
・教育や訓練:手口を知るための教育や標的型攻撃などを想定した訓練の実施により、攻撃に気付く知見や能力を養うことで、ウイルス感染するリスクを低減させる(→参考情報 4)。
2. 重要業務を行う端末やネットワークの分離
万が一、ウイルス感染があっても、被害を緩和できるように、端末単位やネットワークで分離することが有効な対策になる。
・一般の端末と重要業務システムとの分離:情報の重要性や機密性に応じて、一般の端末(メールの確認やインターネットのウェブサイトを閲覧する端末)は、重要業務のシステムから分離する(→参考情報 3)。重要業務のシステムと一般業務のネットワークが分離されている場合も、運用によって端末やサーバー間のデータの移動が許容されていては、分離されている意味がない。運用の見直しも必要。
・部署など業務単位でのネットワークの分離:ウイルスの感染拡大などの攻撃を局所化するために、L3スイッチなどのネットワーク機器で部署などのグループ単位でネットワークを分離する(→参考情報 3)。
3. 重要情報が保存されているサーバーでの制限
・共有フォルダのアクセス権の設定:重要な情報が保存されているフォルダは、その情報の機密性の格付けや閲覧範囲を決定し、その範囲の業務担当者のみが閲覧できるようにアクセス権を設定する(→参考情報1、2)。
・データの暗号化やパスワードによる保護:データが持ち出されても読むことができないようにすることで、漏えい後のリスクを低減させる(→参考情報2)。
4. 事後対応の準備
・体制の整備:有事の際に迅速に対応するための体制を整備しておく(→参考情報 2)。
・手順書や外部の連絡先の準備:有事の際に迅速に対応できる手順書や関係省庁や調査会社などの連絡先を準備しておく(→参考情報2)。
