標的型攻撃がサイバー脅威の最上位にランクしている。情報処理推進機構(IPA)は毎年、社会的に影響が大きい情報セキュリティ関連の事案をピックアップし「情報セキュリティ10大脅威」にまとめる。2020年版の「組織」部門の脅威のトップは「標的型攻撃による機密情報の窃取」だった。実は標的型攻撃は組織部門ができた2016年から、5年連続で1位にランクし続ける。国内で企業や団体などの組織が、最も注意すべき脅威は標的型攻撃なのだ。
標的型攻撃という言葉は目にしても、内容まではきちんと理解していないかもしれない。簡単に標的型攻撃の概要を説明しておこう。従来型のサイバー攻撃の多くは「バラマキ型攻撃」だった。コンピューターウイルスに代表される、悪意あるソフト「マルウエア」をメールやWebサイトに仕掛け、引っかかったパソコンやシステムに悪さをするものだ。特定の個人、企業や団体を狙ったものではなく、不特定多数を対象にした攻撃で、バラマキ型と呼ばれる。
一方で、標的型攻撃は、特定の企業や団体を狙う。機密情報などを窃取するのを目的に、攻撃する対象を十分に調べた上で、通常の業務のやり取りで“ありそうな相手”からの業務メールを装って攻撃を仕掛ける。
あなたの企業や組織にぴったりフィットさせたテーラーメードの攻撃というわけだ。こればかりは、ぴったりフィットしていると喜んでいられない。2020年初頭には、日本でも複数の防衛関連企業が不正アクセスを受けていた報道が出たように、セキュリティ対策意識の高い企業や団体でも、標的型攻撃に狙われると守りきれないケースがある。
調査で判明。8割の中小は社員教育未実施で社員の意識低い
標的型攻撃を守りきれないケースが頻発する理由の1つは、セキュリティの抜け穴として、「人」に関連するからだ。ネットワークを介してコンピューターそのものの動きをハッキングするサイバー攻撃の場合は、不正侵入検知システム(IDS)や不正侵入防御システム(IPS)などのセキュリティシステムや、それらの機能を備えた統合脅威管理(UTM)機器の導入で、かなりの対策が打てる。一方、「取引先の担当者を名乗るメールに添付された見積書のファイル」や「会社近隣の飲食店から届いた自社限定の割引クーポン」が、偽装したマルウエアだった場合は厄介だ。従業員がそれを標的型攻撃のメールではないかと疑って、「ファイルを開かない」行動を必ず取れるように対策を講じているか。標的型攻撃の怖さは、こうした「人」の抜け穴を突かれるところにある。
人の心理を突いたサイバー攻撃への対策で効果的なのは、なんといっても従業員教育を繰り返すことに他ならない。標的型攻撃に使われるメールのパターンを周知するだけでなく、実際に訓練用の標的型攻撃メールを従業員に対して送り、だまされないかどうかを試すテストも必要だ。こうした標的型攻撃に対する社員教育を適切に施し、「これは怪しいのでは?」と感じる力を身に付けてもらい、本当に攻撃が来たときに引っかからない体質をつくり上げるとよい。
●総合的な情報セキュリティ対策
ところが、日経BPコンサルティングが実施した企業の情報セキュリティ対策意識調査2020で、がくぜんとする現実が見えてきた。セキュリティに関する対策として、従業員への研修実施は、従業員1万人以上の企業で66.7%。従業員規模が少なくなるにつれて比率が下がり、従業員100人未満では、わずか13.9%しか実施していない。「人」という面でのセキュリティ対策は、非常に心もとない状況といえる。
人への訓練とシステムのセキュリティ対策をトータルで実施
そうは言っても、中小企業にとってセキュリティ対策は、業績に直結しない一方的なコスト負担増という意識が高いのも事実だ。それでも、なんとか情報システム面では、外部からの脅威を社内外の境界で遮断するゲートウエイセキュリティとしてUTM機器を導入したり、パソコンやスマートフォンなどの端末の感染を防ぐエンドポイントセキュリティの対策を施したりとコストはかけている。その上に、人的な標的型攻撃への対策も実施しなければならないとなると、悲鳴を上げる中小企業は少なくない。
中小企業にとって、標的型攻撃メールの訓練のプログラムを新しく導入し、継続して運用するとなると負担が大きい。それでも、システムの守りと人の守りをトータルで考える必要がある。両面をサポートしてくれるセキュリティ対策プランを活用して、負担をできる限り抑えた上で、総合的なセキュリティレベルの向上が求められる。システムのセキュリティ対策というハード面と、「人」の訓練というソフト面を合わせてカバーするサービスを、中小企業こそ、一刻も早く導入すべきだろう。
