2017年5月、世界中に広がったランサムウエア「WannaCry」は、各地に甚大な被害をもたらした。英国では国民保険サービスのコンピューターが被害を受け、病院・医療機関は患者情報へアクセスできなくなり、手術や救急患者の受け入れキャンセルが相次いだ。日本でも、日立製作所のシステムがWannaCryに感染し、業務に大きな支障を来したという。強固なセキュリティ対策を施しているはずの国営サービスや大企業が、なぜマルウエアに感染したのか。
セキュリティ対策がなぜ効かないのか
「水と安全はタダ」といわれた日本でも、近年企業のセキュリティ意識は高くなる一方だ。これは中小企業も例外ではない。2017年5月に独立行政法人情報処理推進機構(IPA)が発表した「中小企業における情報セキュリティの実態と中小企業の情報セキュリティ対策ガイドライン」によると、コンピューターウイルスを「脅威と感じている」という小規模企業や中小企業は89.1%(同ガイドラインP4)。実際に「ウイルス対策ソフト・サービスの導入」を実行している企業は全体で80.4%(P6)と、マルウエアやウイルスに対する防御意識は高い。
それでも悪意あるプログラムによる被害は根絶できない。場合によっては今回のランサムウエアのように世界中に大きな爪痕を残してしまう。その最大の原因は、これまでのセキュリティ対策がほとんど「防御」を主軸にしてきたからだ。
防御頼みの対策には限界がある
セキュリティ対策を考えるとき、ほとんどは「感染しない・させない」という前提から入る。確かに防御を完璧にして「元を断つ」という考えは正しいが、マルウエアやウイルスからの完全な防御は難しい。なぜなら、セキュリティ企業やOSの開発元がどんなに対策しても、悪意ある集団は必ずその隙を突くプログラムを開発するからだ。永遠に終わらない“いたちごっこ”であり、だからこそセキュリティ企業は「最新のセキュリティパッチやパターンファイルをインストールしてほしい」と繰り返し警告する。
しかし、社内のパソコンをすべて最新の状態にしておくのは大変だ。個々の端末のOSやセキュリティ対策ソフトが最新版に更新されていなかったり、担当者が不明で管理できていなかった端末が感染したりして、被害を受ける可能性がある。しかも、OSやソフトウエアを絶えず更新し続ければ安心というわけでもない。ゼロデイ攻撃といって、OSやソフトウエアの脆弱(ぜいじゃく)性が修正される前に、その弱点を突くウイルスが作成されるケースもある。今の時代、セキュリティ対策に100%はない。「感染すること」も前提に事後の対応をしっかり練っておくべきなのだ。
感染を前提とする攻めのセキュリティ対策
“感染前提”のセキュリティ対策とは、一にも二にも、脅威をすぐに検知するための仕組みづくりから始まる。そのためには、社内にある全端末について、一括管理・常時監視できる環境の整備が必要だ。一括管理・常時監視により、感染の疑いがある端末を迅速に検知できるだけでなく、セキュリティソフトやOSの状態も確認・更新できるので、マルウエアへの防御態勢もより強くなる。
感染対策として、定期的なデータバックアップを実行する企業も増えている。もちろん、普段からデータのバックアップを取るのも大切だが、実際にマルウエアに感染したら、システム復旧より先にやるべきは「被害拡大を防ぐ」ことだ。万が一感染した場合、被害を最小限に抑えるために、迅速な対応を取れる人材配置も必要だろう。
このように、感染を前提としたセキュリティ対策とは、決して“一歩引いた”対策ではない。防御を突破された場合も想定して、綿密な対策を施す。絶対に被害を起こさない・拡散させない“攻め”のセキュリティ対策なのだ。
