特集 情シス事情を知る
IPAが「情報セキュリティ10大脅威 2020」を発表
~5年連続1位は標的型攻撃による被害~
2020年4月
IPAが「情報セキュリティ10大脅威 2020」を発表した。TOP5は2019年と同じ脅威となったが、順位には変動があり圏外からランクインしたものもある。6位に入った「予期せぬIT基盤の障害に伴う業務停止」がまさにそれで、この脅威が急浮上した背景にはどんな理由があるのだろうか。同様に特に注視しておくべき、1位、2位、7位の脅威について実際の被害状況を踏まえつつ対策を紹介する。
5年連続1位となった標的型攻撃
2016年から5年連続で1位となったのが「標的型攻撃による機密情報の漏えい」だ。特定企業や団体から顧客情報や機密情報を窃取することを目的とするもので、従業員のPCをマルウエアに感染させ、社内ネットワークを介して組織内部へ潜入していく。
手口としては、メールを利用したものが最も多い。マルウエアを仕込んだ添付ファイルを開かせる、本文に記載したリンクに誘導してマルウエアを送り付けるといったものだ。メールの件名や本文、添付ファイル名を実際の日常業務に関連するようなものに偽装するほか、実在する組織の差出人名が使われる場合もあり、どうしても警戒が薄れてしまう。その心の隙を突いてくるのである。
特に注意してほしいのがEmotet(エモテット)と呼ばれるマルウエアで、国内でも2019年10月頃から被害が急増している。メールに添付されたWord形式のファイルに仕込まれたプログラム(マクロ)を実行させ、マルウエアに感染させるのである。通常、Wordファイルを開いただけではマルウエアに感染することはないが、その際に「セキュリティの警告」として表示されるボタン[コンテンツの有効化]をクリックすると感染してしまう。この結果、PC内のアドレス帳の情報を盗まれたり、遠隔操作ソフトを不正にインストールされたり、さらに他の従業員のPCにも感染を広げていくなど甚大な被害を引き起こす。さらにEmotetで危惧されるのは、自社内のみならず、ステークホルダーとなる取引先などにも感染が広がっていくことだ。取引停止や損害賠償請求など経営問題にも発展していくおそれがある。
その他、添付ファイルのアイコンや拡張子の偽装、特定のセキュリティソフトの停止、特定の時間帯のみ動作を行う、不正接続先から特定の応答が得られないと動作を止めるなど、自らの存在や攻撃活動の露見、解析を避けるための巧妙な仕掛けを施したマルウエアも新たに確認されている。
対策としては、やはり「不審なメールを事前にブロックする」ことが基本となる。日本語に対応したアンチスパム、アンチウイルス、サンドボックスを三位一体で揃えることで、完全とはいえないまでも水際対策としてある程度の効果は期待できる。
加えて個々の従業員のレベルでも、「不自然なメールの添付ファイルは開かない」という基本を徹底することが重要だ。特にEmotetのようなマルウエアが急増していることを踏まえて、信頼できないメールに添付されたWordファイルなどを開いた際、[コンテンツの有効化]や[マクロを有効にする]を不用意にクリックしないことを周知する必要がある。また、もしマクロの自動実行が有効化されている場合は、必ず設定変更を行って無効化しておくべきである。
2位に浮上した内部不正。きかっけは社会を震撼させたHDDの転売事件
昨年の5 位から2位に浮上したのが「内部不正による情報漏えい」だ。組織の従業員や元従業員、あるいは取引先などの関係者が、情報管理のルールを守らずに情報を外部に持ち出すといったものである。
2019年に世間を騒然とさせたのは、情報機器の再生事業を手掛ける企業の従業員が、データ消去作業(物理破壊)前のHDD を盗み出してネットオークションなどで転売していたという事件だ。「県の情報と思われる電子データが入っているので確認してほしい」との情報提供が寄せられたことから発覚し、その後の追跡調査により不正に転売されたHDDの総数は3904個に上ると見られている。
そもそもなぜ社内のチェック機能が働かなかったのか。この企業はカードキーによる退出管理や24時間態勢の防犯カメラ、退勤時の手荷物検査など何重ものセキュリティ対策を実施していたのだが、結局のところ防犯カメラの映像を常に確認してはおらず、手荷物検査も不定期しか行われていなかったなど、中途半端な管理体制が明らかになった。
大切なのはこの事件を他山の石として、自らのセキュリティ体制を見直すことだ。まず内部不正対策は経営責任であることをしっかり認識し、組織横断的な管理体制の構築に経営者自身が積極的に関与していくことが必要だ。
一方で従業員に対してもコンプライアンス教育を徹底するとともに、情報セキュリティポリシーの策定や内部不正に対する懲戒処分を規定した就業規則を整備するなど、情報モラルの向上を図る必要がある。
なお、HDDの不正流出を起こした企業は、今後の対策として「すべてのHDDに対して破壊前後にそれぞれ写真を撮影する」、「操業時の入退室はすべて有人で手荷物検査を実施する」、「セキュリティゲートの設置」、「セキュリティカメラの増設」、「外部講師によるセキュリティ研修の定期的な実施」を打ち出している。これを参考とし、重要情報の格納場所への入退去管理、USBメモリーやHDD、PC、スマホなどの記録媒体の利用制限や持ち出し/持ち込みの管理、記録媒体を廃棄する際のデータ消去など、物理的管理の実施体制を見直すこともきわめて重要である。
圏外から6位にランクイン。予期せぬIT基盤の障害に伴う業務停止
2013年の10大脅威ランクインを最後に6年間圏外だったが、昨年の16位から6位に急浮上したのが、この「予期せぬIT基盤の障害に伴う業務停止」である。
昨今、多くの企業や団体、官公庁などもITシステムのクラウドや外部データセンターへの移行を進めている。背景には「ITシステムの運用を事業者側の堅牢な施設・設備のもとで、専門知識を持った技術者に任せられる」という安心感がある。しかし、自然災害や作業事故といった思いもよらぬ原因が大規模障害を引き起こすことなども想定し、被害の予防や被害を受けた後の対応を考えておかなければならない。
2019年11月には、国内の公共系の事業者が運営するデータセンターで電源設備の更新作業中に不具合が発生し、約7秒間にわたって電源が停止するという事故が起こった。これにより、同データセンターを利用しているカード会社や自治体、公共企業を含む約260 社のシステムが停止した。あるカード会社では、クレジットカードやスマホ決済など消費者向けのサービスを完全に復旧させるまでに数日間を要したという。
クラウドやデータセンターを利用している場合でも他力本願ではなく、BCM(事業継続性管理)には自ら責任を持つという意識を高めることが必要だ。IT基盤に起こりうるトラブルを事前に想定して対応策を準備しておく。また、事業の継続や早期復旧を可能にするため、行動計画や復旧目標を明確にした事業継続計画(BCP)を策定しておく。
加えて、クラウドや外部データセンターの設備についても冗長化による可用性の確保を検討するほか、特にデータバックアップは必須であることを認識すべきである。
10位から7位に浮上。不注意による情報漏えい
昨年の10位から7位に浮上したのが「不注意による情報漏えい」だ。
例えば、ある官公庁から業務を請け負っている業者は、依頼を受けた説明会のリマインドメールを一斉送信する際、本来はBcc 欄に入れなければならない参加申込者のメールアドレスを誤ってTo 欄に入れたことで、メールを受信した参加申込者が他の参加申込者のメールアドレスを見られる状態になってしまった。うっかりミスによるものだが、これも個人情報の漏えいであり、決して軽視することはできない。
また、近年のテレワークの流れに伴い、移動先でPCを使って仕事をする人が増えたが、途中で立ち寄った店や駅にPCを置き忘れて紛失したり、他人から画面を覗かれているのを気づかずに機密情報を表示したりといったインシデントも多発している。
まず求められるのは、従業員に情報リテラシーや情報モラルの向上において、引き続きセキュリティに関する教育や啓蒙活動を行っていく必要がある。その大前提として、自社のセキュリティポリシーの策定は必須事項である。すでにセキュリティポリシーを持っている企業も、その中身が現在の状況に合った内容となっているか、必ず見直してほしい。また、過度な疲労やストレスによる注意力の低下を防ぐために、特定の人材に業務が集中しないように適切な負荷分散を図ることも重要だ。
さらに、従業員が利用するPCについてもメール誤送信対策ソフトや暗号化、クラウドストレージの活用、シンクライアント化など、人的ミスが起こりうることをあらかじめ想定した上での対策を施しておくことも忘れてはならない。