サイバー攻撃によって、個人情報が流出してしまう事件が度々起こっています。訴訟や賠償問題に発展するケースもあり、セキュリティ対策は企業にとって不可欠であるといえるでしょう。しかし、中にはあまり対策をとってない企業もあるかもしれません。
そこで今回は、実際に企業でセキュリティ対策に最前線で関わっている担当者4名に、どのような対策を行っているのか、そのためにはどのような苦労があるのか、話を伺いました。
[出席者プロフィール]
Aさん:金融会社に勤務する男性。ITの統括と新規事業企画、データマネジメントの3つの業務を担当している。
Bさん:製造会社に勤務する男性。ITセキュリティグループのリーダーとして、情報セキュリティソリューションの導入を決裁する立場にある。
Cさん:小売会社に勤務する男性。社内ITの全般を統括。情報セキュリティソリューションの導入を決裁する立場にある。
Dさん:専門商社に勤務する男性。IT部門全体のマネジメントを行っており、事実上、情報セキュリティソリューションの導入を決裁する立場にある。
――みなさんは業種の差はあれど、企業の情報セキュリティを担当する役割を担っていますが、どのようなものを「リスク」と感じていますか。対策方法と併せて教えてください。
Aさん:当社の場合、サイバー攻撃による情報漏えいをリスクとしています。自社のWebサイトはほぼ毎日のようにサイバー攻撃を受けており、IDS(不正侵入検知システム)・IPS(不正侵入防御システム)でモニタリングを行って、常に攻撃をブロックしています。モニタリングを行うプログラムは日々更新しており、その作業はセキュリティベンダーに依頼しています。
Bさん:我が社も機密情報が流出しないよう、セキュリティベンダーの力を借りて、セキュリティを強化しています。内部からの情報漏えいが起こらないことにも気をつけています。
Cさん:当社は小売業を営んでいるため、数十万件の個人情報を取り扱っています。そのため、外部の攻撃による個人情報の流出を最大のリスクと考えており、それを防ぐためにセキュリティベンダーを利用しています。ただ、ほかのことに関してはあまりセキュリティコストをかけていないため、心配な部分がありますね。
Dさん:我が社も、個人情報の流出防止を重要視していますが、リスクとしては外部要因よりも、社員の情報リテラシーが低いことが大きいと感じています。最近流行しているランサムウェアの被害に遭わないようにするため、社員の情報リテラシーを上げていかなければならないと考えています。外部のセキュリティベンダーについては、今のところ利用していません。
――Aさんの会社では「毎日サイバー攻撃を受けている」とのことですが、自社と外部セキュリティベンダーだけで、攻撃は防げるものなのでしょうか?
Aさん:実は金融業界では、金融機関同士でサイバー攻撃などの情報を共有するための「金融ISAC」という組織があり、ここの協力を受けています。金融ISACは、標的型攻撃やフィッシング詐欺、不正送金、DDoS攻撃、ゼロデイ攻撃などの手口や被害に関する情報を提供しており、そこから受け取った情報をもとに、当社のセキュリティの専門部署が調査し、対応する形になっています。
Bさん:さすが、金融機関ならではの万全な情報セキュリティ施策ですね。
Aさん:金融庁からきちんとしたリスク管理体制を敷くよう指示されていることも大きいです。リスク管理体制にコストをかけるのが会社から認められているのも、これが大きな要因です。
――サイバー攻撃を受け、実際にビジネスに被害が及ぶようなことはありましたか。実害はなくとも、ヒヤリとした経験でもいいので教えてください。
Bさん:当社はDDoS攻撃を受けたことがあり、ネットワークやサーバーが止まるほどはんかったもの、自社サイトや社内ネットワークのレスポンスが悪くなったことがあります。海外拠点では、サーバーがランサムウェアに感染したところもあったようですが、ビジネスの基幹となるサーバーは、オフラインのバックアップを取るように日ごろから指導していたため、すぐに元に戻すことができ、大きな問題とはなりませんでした。
Dさん:当社もDDoS攻撃を受けることはよくあります。ただし、ネットワークやサーバーのパフォーマンスが少し落ちる程度で、情報漏えいなどの実害はありません。
――サイバー攻撃を受けた場合、どうやってそれを検知し、どう対処していますか?
Bさん:攻撃者が社内データを抜き取る際、C&Cサーバーを操作しようとしますが、その時に発生する異常な通信トラフィックを見つける仕組みを整えています。ただ、最近は社内データを大量に抜き取るのではなく、少しずつ抜き取る手口もあると聞きます。これをどう検知すれば良いのかと心配しています。
Aさん:最近は24時間365日、常にトラフィックを監視するシステムにしています。以前は、攻撃者は夜間や休日に社内データを抜き取ろうとする傾向にあったため、トラフィックの異常を見つけやすかったのですが、最近は平日の勤務時間中でも抜き取りにくるケースが増えています。
Cさん:当社のECサイトはしょっちゅうDDoS攻撃を受けています。その際は、いったんインターネットから切り離して、どこから攻撃されているかを調査し、対応しています。サービスの一時停止は痛手ですが、情報漏えいはもっと大きな問題になるので、このような対策となっています。
Cさんの企業の場合、「DDoS攻撃を受ける度にECサイトを落としている」とのことですが、これでは攻撃を受けている間、ECサイトで商品の販売ができないことになり、経営にマイナスのインパクトを与えることになりかねません。
DDoS攻撃を受けている間もECサイトのサービスを続けるためには、抜本的な対策を講じる必要があります。Bizコンパスでは、このことについて過去に詳しく取り上げていますので、まずは下記の記事を一読いただけますでしょうか。
・日々増加中!「DDoS攻撃」の傾向と対策
ECサイトがDDoS攻撃を受けた場合、その間、顧客からの注文を受けられないことになり、大きな損失が発生するでしょう。またWebサイトが長期間に渡って停止することになれば、ブランドイメージの失墜を招き、それに伴う顧客離れ、売上の減少につながる可能性も十分に考えられます。こうしたDDoS攻撃に対抗するためには、ネットワークの「上流」で対策を施すことが重要になります。
――セキュリティ対策としては、外部からの攻撃はもちろん、内部の人間のミスを防ぐことも重要な要素のひとつです。社内のスタッフに対するセキュリティとして、どのような対策を行っていますか?
Dさん:当社はスタッフに貸与しているノートPCに社内のデータを保存していましたが、紛失の危険が常につきまとっていたため、現在はシンクライアント化し、PCにデータが残らない仕組みを取り入れました。データはクラウドで管理するため、端末を紛失しても情報漏えいの心配がなくなりました。
Cさん:当社では必要な部門だけPCをシンクライアント化しています。シンクライアント化していない部門でも、基本的に個人情報はPCに保存しないというルールを設けています。
Aさん:当社ではスタッフが危険なサイトにアクセスしないよう、社内から外部にアクセスできるWebサイトを、すべてホワイトリスト化しています。社員は自分が閲覧したいWebサイトを、専門の部署に申請しないとアクセスできない仕組みとなっています。
Dさん:当社でも、Aさんの会社のように、閲覧できるWebサイトを制限しています。
――Webサイトの閲覧制限の話題が出ましたが、利便性の面で問題は起こらないのでしょうか。たとえば、従業員から「このサイトにアクセスできない」と不満の声が届きそうですが。
Aさん: Webシステムを運営する部署には、そのような多くの問い合わせが集まっているようです。私も仕事でWebサイトを調べたい時に、閲覧できなくて困ることもあります。しかし、セキュリティ強化のためには、それぐらい厳しく管理することが必要だと考えています。
Bさん:当社も最近、Webサイトのホワイトリスト化を行いました。中には顧客のWebサイトが見られないケースもあったようで、一部の社員からは不満の声も上がりました。しかし、セキュリティを考えると、すべてのWebサイトを閲覧できる状態にすることは難しいと思っています。
Dさん:当社の場合、ホワイトリスト化による社員からの不満の声はほとんど上がってきませんね。当社は閲覧できない設定になっているWebサイトは本当に仕事と関係がないものばかりなので、社員も声をあげることができないのではないでしょうか。
閲覧サイトの制限方法としては、リストに載っていないサイトを制限する「ホワイトリスト」方式のほか、リストに載っているサイトを制限する「ブラックリスト」方式もあります。
ブラックリストで閲覧サイトの制限を行っている企業もあるかもしれませんが、すでに、ブラックリストを“無力化”する手口が広がっています。こうした手口を防ぐにはどのようにすれば良いのでしょうか。その対策については、以下の記事で詳しく説明されているので、ぜひ一度ご覧ください。
・人工知能を活用する最新セキュリティソリューション
たとえPCがマルウェアに感染されたとしても、不正なサーバーのドメイン名が記録された「ブラックリスト」を用いることで、リストに登録されているサーバーへの接続を検知し、その通信を遮断できます。
最近では不正サーバーのドメイン名を次々を切り替え、ブラックリストを無力化する手口も広がっていますが、その切り替えパターンを分析し、ブラックリストに頼ることなく通信を遮断するサービスも登場し始めています。
――情報セキュリティに関する問題が発生した時は、経営陣にその責任が及ぶケースもありますが、経営陣からセキュリティに関して何か具体的なリクエストが届くことはありますか?
Dさん:経営陣からの指示はありません。私からリスクの説明をして承認してもらうということがほとんどです。情報セキュリティに関しては、経営者との間で温度差がありますね。
Cさん:当社の場合は、情報セキュリティを気にしていますが、それほど細かいことを言うことはありません。
Aさん:当社も「大丈夫か、大丈夫だろうな」くらいですかね。
Bさん:当社の場合は逆です。株主に対する責任もあり、経営陣は情報セキュリティについてかなり気にかけています。温度差はないと考えています。
――Bさん以外は、経営陣とはあまり意識が合っていないようですが、たとえば新たなセキュリティ対策が必要になった場合、経営陣に対してどのように説明しているのでしょうか。
Aさん:私ははじめに、セキュリティリスクの分析をします。リスクの大きさは「被害の大きさ×確率」の式で表します。あるリスクに対し「予防」すべきなのか、「検知」するレベルで良いのかなど、具体的な対策を検討し、その中で優先順位をつけ、経営陣に提案します。まずは起こりうることを潰しておいて、起こったことは後から対応する、というスタイルです。
Bさん:当社はまずはリスクマネジメントの観点で問題を洗い出し、そこでリスクが発生した時の損失金額がどれぐらいなのかということを算出し、「今年度はここを強化します」という形で対策を決定しています。Aさんと比べれば、セキュリティにかけるお金は桁が違うくらい少ないはずですが。
――最後に、セキュリティの最前線に立っている観点から、セキュリティベンダーに対して「こうしてほしい」「こういうサービスがあったらいいのに」と思うところはありますか。
Bさん:セキュリティツールに関して、業界標準のAPIのようなものをつくってほしいですね。1つのコンソールですべてのツールの状態を把握でき、設定もそれですべて行えるようにしてもらえるとうれしいです。
Dさん:もっと「競争」してほしいということですかね。当社は頻繁にクライアント型のウイルスソフトを変えているのですが、あるベンダーでは検出されなかったけれど、他のもので検出されるということがよくあります。競争することでセキュリティツールの機能や性能が向上するでしょうし、料金も手を出しやすくなるので。
Cさん:通信キャリアがクラウドサービスとして情報セキュリティ全般の面倒を見てくれるといいですね。ログの解析などもすべて任せられるとうれしいです。情報セキュリティに関してすべて請け負ってもらい、自社では何も心配せずにビジネスが行える環境が理想です。
Aさん:AI(人工知能)を使った情報セキュリティソリューションを数多く提供してほしいですね。現在は常に攻撃者が優位に立っていますが、AIを導入することで、予兆を検知して前もって防御できるのではないかと思います。AIを情報セキュリティ分野でも早く導入してほしいです。
今回の座談会の内容をまとめると、サイバー攻撃はどの業種でも脅威にさらされており、かつ手口が巧妙化していることがわかりました。また、社内のセキュリティ対策としては、Webページの閲覧制限は当たり前となりつつあること、そして経営陣とセキュリティの現場担当者とは意識に温度差があることもわかりました。
サイバー攻撃が当たり前となりつつありますが、攻撃を受けたからといって、企業は被害者の立場ではなく、逆に情報を流出させてしまった「加害者」として、世間からは認識されてしまいます。「自社のセキュリティは大丈夫なのか」と不安に思ったビジネスリーダーは、まずは社内でセキュリティに対する意識を合わせてみてはいかがでしょうか。
