ランサムウェア攻撃に「うちは狙われない」は正しくない

「日本は安全」という神話の上にあぐらをかいた「うちは関係ない」「うちは狙われない」という考え方が、いまだ多くの経営者の中にある。

[滝沢優一，パナソニック ソリューションテクノロジー]

本コラムは2016年11月22日に掲載した「ランサムウェア攻撃に『うちは狙われない』は正しくない」を再編集したものです。

　エンドポイント対策の重要性についてお話しましたが、日本の情報セキュリティに対する意識は諸外国に比べてかなり低いといわれています。今でも「ファイアウォールを導入していない」「セキュリティ対策はPCに入っているウイルス対策ソフトだけ」という企業も実は多いのではないでしょうか。

　その理由として、費用的な問題ももちろんありますが、下記のような背景があると考えられます。

• 経営者のセキュリティ意識が低い
• セキュリティ対策を検討、提案できる人材がいない

　「日本は安全」という神話の上にあぐらをかいた「うちは関係ない」「うちは狙われない」という考え方が、いまだ多くの経営者の中にあります。

　一般的にセキュリティ対策は企業の生産性をよくするものではありません。何も起こらないことを前提とすれば投資をする必要性もありませんし、投資しても無駄になってしまうかもしれません。そういう意味でセキュリティ対策を「保険」だと捉える人もいます。

　しかし、私はそうは考えません。「保険」はあくまでも事故が起こったときの損害に対処するものですが、セキュリティ対策は事故を起こさないための「転ばぬ先のつえ」なのです。

　特に、ばらまき型でおこなわれるランサムウェア攻撃に対して「うちは狙われない」といった考え方は非常に危険です。今やセキュリティ対策を無視した経営戦略など絶対に考えられない状況だということを経営層も認識する必要があります。

セキュリティ人材の不足

　セキュリティ対策の必要性は分かっていても、どんな製品をどのように導入したらよいか分からないという悩みも多いはずです。こういった悩みはセキュリティ担当者のスキル不足やセキュリティ担当者がいない企業でよくお聞きします。

　今やインターネットを使えば標的型攻撃を防御するさまざまな製品の情報を手に入れることはできますし、販売店などから情報を仕入れることもできます。しかし、入手した情報を総括的に理解、判断し、最適な製品を導入することはかなり難しいことです。宣伝文句だけで最先端の機器を導入しても、使いこなせなければ宝の持ち腐れになるだけです。

小さく始める標的型攻撃、ランサムウェア攻撃対策

　費用や人材不足を理由にセキュリティ対策に手をこまねいているのは得策ではありません。高性能な機器を導入することなく、最小限の投資でできる効果的な方法を考えていきましょう。

1. 攻撃について理解する

　何よりも大切なのは、今実際に起こっている標的型攻撃やランサムウェア攻撃について正しく理解することです。

• 標的型攻撃、ランサムウェア攻撃とはどういうものなのか？
• どんな攻撃を仕掛けてくるのか？
• 届いたメールについてどのような点に注意すべきか？
• 怪しいメールを受け取ったらどうすべきか？
• 万が一、添付ファイルを開いてしまったらどうすべきか？

など、全ての従業員に対して啓蒙し、理解を図ることが重要です。不用意に添付ファイルを開いたりしなければ、大半の攻撃は防ぐことができるのです。この記事を読んだ人はきっと「そんなの分かってるよ」と思われるかも知れませんが、周りの人たちは本当に大丈夫でしょうか？

2. ルール作りや社内対策を実施する

　もし1人でも怪しいメールを受け取ったら、すぐに全ての従業員に知らせることが重要です。

　どんなメールだったのか、どんなファイルが添付されていたのかなど、情報を共有することで確実にウイルス感染のリスクを減らすことができます。万が一、添付ファイルを開いてしまったときの対処方法など一連の行動のルールを作って運用することも非常に有効な方法です。

　また、サーバなどへのアクセス制限も検討すべきです。ランサムウェア攻撃はアクセス可能なファイルを全て暗号化してしまう攻撃もありますので、少しでも被害を少なくするためには検討しておくべきでしょう。

3. エンドポイント対策で攻撃を防御

　そんなにたくさんの対策を施す余裕がなく、対策ソリューションのうちの何か1つを選ばなければいけない……ということであれば、私は迷わずエンドポイント対策のソフトウェア導入をおすすめします。エンドポイント対策の重要性は前回書かせていただいた通り、導入や運用が簡単で非常に高い効果が期待できます。

　上で説明した1と2については、費用をかけずに社内努力によって実施することが可能ですから、実施についてのハードルは決して高くないと思います。しかし、導入しやすいエンドポイント対策においても経営層の説得が必要になることでしょう。

• 自社のセキュリティ対策の現状
• 攻撃を受けた場合のリスク
• 製品の優位性、導入実績、防御実績
• 初期費用とランニングコスト
• 導入後の運用体制や導入効果

を明確にし、まずは最重要部署だけに導入するなど、範囲を絞って導入する方向で進めてみてはいかがでしょうか。エンドポイント対策は小規模での導入も可能という点でも導入しやすい製品です。ただし、全てのエンドポイントに導入してこそ最大限の効果を発揮しますので、最終的に全社に導入を目指してほしいと思います。

　これまで4回にわたって、標的型攻撃やランサムウェア攻撃に関するお話をさせていただきましたが、特にランサムウェア攻撃については今後も被害が拡大していく可能性が高いと思われます。こうしている間にも、ウイルスはますます悪質に進化し続けています。いま一度、自社のセキュリティ対策を見直してみてはいかがでしょうか。

著者紹介：滝沢優一

セキュリティのエバンジェリストとして、さまざまなお客さまのご要望に応じたセキュリティソリューションを提案。構築から運用まで幅広く支援している。また社外向けセミナー講師を多く務めるなど、日々セキュリティの啓発活動に奮闘中。趣味は、満天の星を見ながらのんびり露天風呂につかること。