情報漏えいを未然に防ぐ対策

ランサムウェアによる二重脅迫

ランサムウェアの脅威は、もはやデータやデバイスの暗号化にとどまりません。昨今では、「機密情報を闇サイトで公開する」などという脅迫で金銭を要求する手法も増えています。この脅威に対抗するには、基本的なアンチウイルス対策やデータのバックアップだけではなく、侵入を検知し、侵害を最低限に抑える対策が有効です。

脆弱性を狙う攻撃

VPN機器やネットワーク機器、PCやサーバなどには、日々新しい脆弱性（セキュリティホール）が発見されています。攻撃者は、これらを用いて組織のネットワークに不正に侵入し、機密情報の窃取やマルウェア感染を実行します。脆弱性対策の基本は、脆弱性情報が公開された後できるだけ早く修正パッチを当てることです。そのためには、組織にどのようなシステムやデバイスが存在し、未対応の脆弱性がないか管理することが重要です。

ビジネスメール詐欺

本物の担当者になりすまして送られた、偽の送金依頼やマルウェアが仕込まれたメールを気づかずに開いてしまい、被害にあうケースが報告されています。非常に巧妙に作成されたメールが送られてくるため、従業員のリテラシー教育だけでは見破れず、結果として多額の被害につながってしまいます。ビジネスメール詐欺への対策には、システムやセキュリティソリューションによって偽メールを見破る体制が必要です。

不正サイトを用いた攻撃

個人向けのスパムメッセージとしても認知されているフィッシングやスミッシングも、法人組織向けの攻撃手法として知っておくべき脅威です。法人をターゲットにする場合、攻撃者の狙いとしてSSOやグループウェアのID/パスワードが挙げられます。この攻撃が成功すると、攻撃者は正規のID/パスワードを用いて組織のネットワークに侵入することが可能になり、更なる被害の拡大につながるため、注意が必要です。    

標的型攻撃・APT攻撃

標的型攻撃やAPT（Advanced Persistent Threats）攻撃は、非常に巧妙かつ慎重に攻撃が行われます。そのため、攻撃者による侵害が発生していることに気づかず知らない間に情報が漏えいしていた、という事態になりかねません。標的型攻撃の被害拡大を防ぐためには、侵入を防ぐ対策だけではなく、できるだけ早く攻撃者の侵入を検知し封じ込めるための対策が必要となります。

サプライチェーン攻撃

サイバーセキュリティは、自社の対策だけでまかなえるものではありません。昨今では、比較的セキュリティが脆弱な関連中小企業を踏み台にして大企業に侵入する、サプライチェーン攻撃による被害も確認されています。関連会社、協力会社にセキュリティが脆弱な企業がないか確認するとともに、サイバー攻撃の起点になりやすいメールのセキュリティや認証を強化したり、侵入を想定したセキュリティ対策を実施するなど、セキュリティの強化を行いましょう。

シャドーIT

組織で許可されていないクラウドサービスやファイル共有サービス、私用デバイスを利用して情報を持ち出す「シャドーIT」は、情報の不正持ち出しが起こる大きな要因の１つです。社用の端末から許可されていないクラウドサービスへのアクセスを禁止したり、許可されていないデバイスが社内ネットワークに接続できない仕組みを整えることが対策の基本となります。
SaaSであると認識せずサービスを利用していたり、IT部門以外の各部門で勝手にSaaSを契約して利用するなど、必要なチェックを経ずに利用されているSaaSの利用もセキュリティリスクを高めます。IT部門で適切な監査や管理ができないため、たとえ設定ミスがあったり機密情報がアップロードされたりしていても気づくことができないためです。ネットワークの監視などによってシャドーITが存在していないか、チェックが必要です。

サンクションITの不正利用

サンクションITとは、会社での利用を許可されているクラウドサービスやデバイスなどを指します。許可されているクラウドサービスだとしても、個人アカウントでログインできてしまう場合情報が簡単に持ち出せてしまいます。この場合は、同じクラウドサービスでもアカウントによるアクセス制御対策が必要です。
会社で許可されているクラウドサービスなどのサンクションITであっても、個人のアカウントでログインしていないか、機密情報をアップロードしてよいか、など、利用状況をチェックする仕組みが必要となります。クラウドサービスは便利な反面、使い方次第でリスクが急激に高まる可能性があるため、十分な社内教育とシステムによる管理を行いましょう。

クラウドの設定ミス

IaaS/PaaS/SaaSはその利便性の高さから多くの企業で利用されていますが、設定１つでそのサービスへのアクセス権限範囲が大きく変わってしまったり、クラウドサービスの提供側が仕様変更したりすることで想定していたセキュリティレベルが保てなくなる場合があります。日々さまざまな業務に追われるシステムやセキュリティの担当者が全てのサービスを完璧に確認することが困難な状況にある今、クラウドセキュリティ管理に特化したツールの必要性が高まっています。

紛失・盗難

PCや社用端末の紛失は、昔から繰り返されるセキュリティインシデントの１つです。特に昨今スマートフォンからアクセスできる機密情報はPCとほとんど変わらない状況になっており、スマートフォンを含むデバイス管理は欠かせないセキュリティ対策の1つです。デバイス管理ソリューションによって強固なパスコードを必須にしたり、万が一の時にリモートワイプやデバイスの暗号化などが早急に行える体制を用意しておくことが重要です。

協力会社への不必要な情報共有

パートナー企業とともにプロジェクトを進める際、必要以上の機密情報が共有フォルダに入っていたり、誤った権限管理によって機密情報が見られる状態にあることも、情報漏えいリスクの１つです。信頼関係がある企業だとしても、情報漏えいができない状態にしておくことで、気の迷いやうっかりミスによる漏えいを防ぎ、良好な関係を保つことができます。

USBに機密情報をコピー

手軽に情報を外部に持ち出せるUSBを用いた不正持ち出しも注意するべきポイントのひとつです。業務でUSBを利用している場合でも、必要な範囲の情報かどうかまで検証する必要があります。必要がない場合はデバイスコントロールでUSBの利用を無効にしたり、大量の機密情報が持ち出せないようなDLP対策も行いましょう。

個人端末から社内へのアクセス

業務上必要だからといっても、会社のネットワークやサーバに個人端末からアクセスできる環境は、内部不正を誘発するリスクが高まります。内部不正を許さない仕組みづくりには、セキュリティ対策をきちんと行った社用端末を利用させることや、アカウント情報での認証だけでなく把握していないデバイスからの接続をさせない仕組みなどが有効です。

機密情報の印刷

IT資産として厳重に管理していても、紙媒体で持ち出されてしまうケースもあります。オンプレミス、クラウドにかかわらず、ファイルの権限管理を行い、場合によっては印刷等も制限する必要があるでしょう。また必要に応じて、個人のPC上での挙動を監視するソリューションの導入も有効な対策の一つです。

メールでの外部送信

日常的に外部とのやり取りが発生するメールでは、機密情報を外部送信したり、自分の個人アドレスに送ったりしても怪しまれにくいという弱点があります。また外部からの攻撃と異なり、組織内部の人間による不正な情報送信は検知しづらいため、内部不正専用の対策が必要となります。

機密情報かどうかの誤認

機密情報だと認識していなかった、機密情報をアップロードしてはいけないと知らなかったなど、従業員教育が必要なケースもあります。セキュリティ対策は、「人」と「ソリューション」の両輪で回っています。適切なセキュリティ教育を定期的に行い、不幸なインシデントを回避しましょう。