情報セキュリティの脅威は偶発的なものと意図的なものに分かれる。偶発的なものは障害と人為的なものにさらに分かれる。今回は人為的なミスが引き起こす脅威への対策について考えたい。
社内の情報資産を洗い出し、脅威から情報を保護する情報セキュリティ対策を進めていく中で、難しいのが「人」の問題だ。いくら情報保護のためのルールを策定しても、それが守られなければ「絵に描いた餅」となる。ルールを守らない社員がいると、そこが全社的な情報セキュリティ上の弱点にもなりかねない。メールの誤送信や、顧客情報が保存されたスマホの置き忘れといったうっかりミスが個人情報漏えい事件に発展する時代である。情報セキュリティ対策を強化するITサービスの検討とともに、忘れてはならないのが社員教育だ。
疑似メールを送って社内訓練を実施
メールやWebサイトを悪用した標的型攻撃の被害が後を絶たない。毎年、情報セキュリティの脅威を公表しているIPA(情報処理推進機構)の「情報セキュリティ10大脅威 2017」では、組織向け脅威として「標的型攻撃型による情報流出」が前年に続いて1位となった。
標的型攻撃では、「つい、うっかりしてメールや添付ファイルを開き、ウイルスに感染」するケースが多い。こうした手口は周知のはずだが、それでも引っかかるのは攻撃者の手口が巧妙化しているからだ。例えば、攻撃者が正規のアカウント情報(ユーザーID・パスワード)を盗み、本人になりすましてウイルスを埋め込んだ偽のメールを取引先に送信する。取引先は何の疑いもなくメールの添付ファイルを開いて感染する。標的型攻撃の対策としては、社員に対する情報セキュリティ教育の実施が欠かせない。
メールを悪用する標的型攻撃に備えた社員教育、訓練を実施する企業もある。ある企業ではIT部門が中心となり、会社のメールアドレスを持つ社員を対象にセキュリティ研修を実施。脅威の傾向を学ぶeラーニングに加え、定期的に社員に疑似メールを送り、標的型メール攻撃に対する訓練を行っている。
迷惑メールはフィルタリングをかけて隔離していても、標的型攻撃では送信元を偽装しており、隔離されないケースもある。不審メールを不用意に開かないように、日ごろから社員の訓練が必要だ。また、新入社員の研修時にセキュリティ教育を実施するのも有効だろう。入社時から徹底して社員のセキュリティ意識を高める狙いがある。
不審メールを受信したら担当部門に連絡
疑似メールによる訓練とともに、不審メールを受信した場合、IT部門への報告を徹底指導する対策も重要になる。IT部門は社員からの報告を受け取ったら、メール発信元のアドレスを社内に通達して注意を喚起すれば、標的型攻撃のリスクを低減できる。専任のIT部門がない企業は、IT担当者などに報告し、不審メール情報を社員が共有するだけでもリスクを減らせる。
何かあったときだけでなく、日ごろの情報セキュリティ教育も重要だ。社員自身が定期的にパスワードを変更したり、同じパスワードを使い回したりしないように指導する。一定期間、パスワードを変更しない社員に対して、システムの利用を制限するペナルティーを科すといったルールを決める。あえて厳しい制限を設けて、情報セキュリティに対する社員の意識改革を進めよう。
自社で標的型攻撃の訓練をするのはノウハウもなく難しいという企業もあるだろう。そうした企業向けに予防訓練のサービスもある。例えば、情報セキュリティ会社のラックでは「ITセキュリティ予防接種」サービスを提供。こうした訓練を通じ、怪しいメールを不用意に開かない、不審メールを受け取った場合に担当部署に報告するといった感染リスクを最小限にとどめることが可能になるとしている。また、NTTネオメイトの「AQStage 標的型メール攻撃予防訓練サービス」では、疑似的に標的型攻撃メールを送信し、メールに添付したファイルを開封した社員には教育コンテンツの学習を行う。開封率を基にした対応力のレポートも作成する。
コンサルティングの1メニューとして教育サービスを提供しているケースもある。NTT西日本では、セキュリティコンサルティングサービスの1つとして「セキュリティー教育サポート」を提供している。受講者のレベルに応じた研修により、社員の情報セキュリティ意識の向上や、標的型攻撃を想定した疑似メールによる体験型訓練メニューを用意し、攻撃への具体的な対処法を学べるという。
データ消失のリスクを回避するデータ管理とバックアップ
社員に対する情報セキュリティ教育の徹底とともに、適切なITサービスを利用すれば、「人」をすり抜けた攻撃からのダメージを最小限にできる。情報セキュリティ対策もさらに強化できる。具体的には、データ集中管理のITサービス活用が挙げられる。
データ管理といえば、営業部門の販売データや総務・人事部門の給与データなど、重要データをパソコンや外付けハードディスクで保管・管理している企業もあるかもしれない。ただ、点在する拠点も含めてすべての機器を管理するとなると、膨大な手間がかかる。それぞれの機器からデータが情報漏えいする恐れがあり、情報セキュリティの観点からも問題だ。
こうしたデータ集中管理に適した情報機器にNASがある。NASはデータ保存専用に設計されているため、ファイルサーバーとして利用する。離れた拠点の社員もネットワークを介してデータを共有しながら業務を行える。データを集中管理できるので、情報セキュリティ対策としても効果的だ。
前述のセキュリティー教育サポートを提供しているNTT西日本では、中堅・中小企業向けのNASとして「Biz Box Server」も用意している。オフィスの規模や業務内容によって適切なデータ容量のサーバーが選べるよう3タイプ(OS 2/OS 6/OS 12)をラインアップ。いずれも、信頼性の高いハードディスクを搭載し、高速なデータ処理が行える。データバックアップでは、世代管理が行えるスナップショット機能を装備。パソコンの操作ミスなどでデータを消去してしまった場合にも、遡ってデータを復元できる(OS 2は3世代、OS 6/12は15世代まで)。
さらに、データ管理に不安のある企業向けに「データ安心保管プラン」を用意。NASとUPS(無停電電源装置)を組み合わせて、万一のデータ消失のリスクを回避できる。
NASはログ管理にも有効だ。NASに保存したファイルに対して、誰が、いつ、何をしたのかアクセス履歴を残せる。情報セキュリティの問題発生時にログを分析して原因を究明できる。
定期的な社員教育と、データ管理の仕組みを組み合わせれば、自社の情報セキュリティ対策を高いレベルにまで高められる。社員教育をすでに実施している企業は最新NASの検討を、最新NASを導入したばかりという企業は社員教育の見直しをしてみてはどうだろうか。もちろん、両方ともまだの企業は、一刻も早い導入の検討が望まれる。
※掲載している情報は、記事執筆時点のものです
