2020年8月26日

狙われるのは機密情報だけじゃない!サイバー攻撃の目的とは?

◆ウイルス感染の怖さは機密情報の漏洩だけではない

 パソコンのウイルスに感染しても「うちなんか漏洩しても困る情報はない」、「うちみたいな企業が狙われる訳がない」などと考え、しっかりとしたセキュリティ対策を行わない企業がある。

 情報漏洩は大きな問題だが、ウイルス感染によるリスクはそれだけではない。他に怖いリスクとして、現在使用している情報システムやITの仕組みが使えなくなり、業務が継続できなくなることがある。
 社内や工場などのシステムでもウイルス感染の影響を受けた場合、生産ができなくなったり、品質に問題が出たりすることで、本業に支障が出てしまい、売り上げに影響することは経営者にとっては大きな恐怖である。

 また、狙われるのは有名な企業だけではなく、セキュリティ対策が弱い企業から狙われ、その企業を踏み台にして他の企業を攻撃するので、ITを使うすべての企業がセキュリティ対策を行う必要がある。
 テレワークにより、在宅で仕事をする機会が増え、それに伴い、攻撃される経路や場所が増えていくことになるので、これまで以上にセキュリティ対策が重要になる。

◆ウイルス対策が不十分だとこんな被害が

 ウイルス対策は、ウイルス対策ソフトを導入することと、外部からの不正アクセスを防止するファイアウォールを設置するだけでそれ以上の対策が行われていない企業はいまだに多い。

 実際の事例として、ランサムウエア(身代金要求型ウイルス)によって重要ファイルが暗号化され、長期間に渡り業務に支障が発生したケースがある。
 ウイルスに感染した際に、PCに保存していた業務に必要なファイルが暗号化され、長期間に渡り業務が停滞し、売り上げも減少し、対策にも多くのコストがかかった。

 一旦感染したPCやサーバを特定して対策を行い、事件が収束したかと思われたのだが、ネットワークのセキュリティ設定や調査が適切に行われていなかったために、次から次へと別の場所で発症し、収束までに時間がかかる結果となった。

◆セキュリティ対策に効率を求めるには

 セキュリティ対策について、必要最低限の対策を最低限のコストで実施して効果を上げるのは至難の業である。

 なぜなら、ITの仕組みは企業によって千差万別であり、取り扱う情報資産や企業の方針によってどこまで対策を実施すべきなのか大いに異なり、効果的にリスクを軽減させる方法もシステムの構成や運用の実態を把握しなければ判断できないからである。一般の企業の従業員が本業の傍らこれらの対応を実施するのは非常に難しい。
 対策の方針を検討する際など部分的にでもセキュリティベンダーに協力を依頼することが対策の効果を落とさないようにするポイントである。

 もう一つのアプローチは、最も攻撃の糸口となりやすい電子メールからの攻撃を効果的に対策する方法がある。具体的にはクラウド上のメール統合システム等を利用する方法である。
 メールクライアントを使わずにインターネットブラウザでメールを閲覧することで、個人による環境の差異をなくし管理しやすくするとともに、メールの添付ファイルやリンク先をシステムの機能にて判定できるメリットなどがある。

 もちろんこれだけですべての攻撃が防げるわけではないが、特に従業員のセキュリティリテラシーが低い場合は効果的である。

■企業におけるメールのセキュリティ対策サービス

「Zimbra Collaboration Cloud(ZCC、ジンブラ コラボレーションクラウド)」

製品の詳細はこちら

セキュリティ製品・サービスに関するお問い合わせはこちら