昨今のサイバー攻撃事情から見て、規模や業種を問わずすべての企業はセキュリティ対策に積極的に取り組むべきなのは明らかでしょう。しかし「うちに盗まれるような重要情報は無い」「うちみたいな会社が狙われるわけない」といって楽観視してしまい、セキュリティ対策を十分に行わず、結果として重大なセキュリティ事件に巻き込まれることが少なくありません。

そもそもなぜすべての企業にセキュリティ対策が重要かというと、サイバー攻撃者が自社の機密情報を搾取する目的が無くても、踏み台にされて他の組織のネットワークに侵入する恐れがあるからです。つまり加害者になってしまうということです。

このような事態になると、自社の機密情報が洩れるわけではありませんが、取引先をはじめ社会的な信用は失墜し、大きなダメージを負うことになるでしょう。どのような事業であってもインターネットなしではビジネスができない現在、セキュリティリスクは業種や規模を問わずすべての組織に存在すると言ってよいでしょう。

そこで今回は、企業が今考えるべきセキュリティリスクについてご紹介します。

日常に潜むセキュリティリスクの数々…

企業のセキュリティリスクは、外部のサイバー攻撃者による情報漏えいだけだと思っていませんか?だとすると、その考え自体がリスクです。実は意外なところにセキュリティリスクは隠れているのです。

リスク① 内部不正による情報漏えい

まず企業がセキュリティリスクとして最も警戒すべきことは、内部不正による情報漏えいです。実はセキュリティ事件の大半が内部不正によるもので、外部からの攻撃による事件はむしろ少数と言ってよいでしょう。

たとえば2014年には教育商材を中心に扱う企業にて2,900万人の個人情報が流出する事件がありました。この原因となったのが会員情報管理を委託している企業のエンジニアの不正です。名簿業者への売却を目的に約20回の持ち出しが行われ、重複分を含めると2憶300万件にも及んでいます。このエンジニアには業務上個人情報へのアクセス権が付与されていました。つまり、権限を正しく持っている人間が悪意を持つとそれを防ぐのは非常に困難になってしまうのです。

リスク② うっかりミスによる情報漏えい

大事な顧客名簿を間違って他者へ送信してしまったなど、うっかりミスも情報漏えいの原因として多いでしょう。メールやインスタントメッセージなどコミュニケーション手段は10年前と比べて格段に改善されましたが、これはどんな情報でも簡単に送信できてしまうということでもあります。個人のメールに会社のメールから情報を転送しているなどのケースで特に起きてしまうことが多いでしょう。またこのような状況ではIT管理者が即時に状況を把握できないのも問題を大きくする原因です。

リスク③ 情報の持ち出し

従業員によっては本来持ち出し禁止のはずの情報を、勝手に持ち出す場合もあります。多くの場合は情報漏えい目的ではなく、社外でも自分の仕事を遂行するためです。しかし、情報を記録した資料やUSBメモリ、端末など紛失してしまうことで情報漏えいに至ったという事件もあります。

リスク④ 標的型攻撃

標的型攻撃とは近年最も警戒されているサイバー攻撃の一種です。攻撃者は特定のターゲットを決めて簡単な身辺調査を行い、取引先や政府機関などを装ったメールを送信します。そのメールに添付されているファイルを実行してしまうと、マルウェアに感染し、機密情報漏えいなどの事件に発展します。手段が巧妙化していることもあり、添付ファイルを開かないように、という対策は現実的ではなくなっています。

リスク⑤ 脆弱性を狙った攻撃

脆弱性とはセキュリティ上の欠点のことで、普段から使用しているアプリケーションに潜んでいる可能性があります。たとえばWindowsでも毎月のように脆弱性を修正する更新が提供されています。攻撃者はまだ対応されていない脆弱性を狙って攻撃を仕掛けてくるのです。

以上のように、セキュリティリスクは日常的に存在し、サイバー攻撃者や内部不正者は虎視眈々と攻撃の機会をうかがっています。こうしたリスクに対処するためには何が必要なのでしょうか?

企業がセキュリティリスクに対して出来ること

それでは具体的にセキュリティリスクへの対処についてご紹介します。

対処① 組織全体のセキュリティ意識を高める

情報漏えい事件というのは組織のセキュリティ意識が高めることによってリスクを下げることができるでしょう。たとえば前述した標的型攻撃も巧妙化しているとはいえ、不審な点が残されていることも多いのです。また、パスワードをメモしてパソコンに貼っておくなど、明らかに意識の低い行動もまだ見受けられます。こうしたセキュリティ意識を高めるためには、定期的にユーザーに対する情報提供を行ったり、継続的な啓蒙活動が必要です。

対処② システムは常に最新の状態を保つ

普段使用しているシステムやアプリケーションのアップデート通知が来ているにも関わらず再起動が嫌だから、なにか異常が起きたらいやだからと放置してしまうことはないでしょうか?しかし、システムやアプリケーションのアップデートをいつまでも行わないでいるのは非常に危険です。過去に流行したマルウェアの大半は、その時点での最新の更新が適用されていれば感染しないと言われています。OSやアプリケーションは常に最新バージョンを保ち、脆弱性が無い状態にすることがセキュリティ対策の大原則です。

対処③ システムの可視化による監視

3つめの対処方法はシステムやアプリケーションについての可視化を行い日常的に監視することです。いくらセキュリティ意識を高めてシステムを最新の状態に保ってもセキュリティ事件が発生することはありません。なので常にシステムのパフォーマンスなどを可視化して、ログなどによってトラフィックの傾向などにおける異常を把握することが重要です。

システム可視化に必要なものとは?

セキュリティ意識を高めること、システムを常に最新の状態の保つことは特別なツールが無くても行えます。しかし、その状況を徹底するためにはシステムの可視化が不可欠です。Lakeside Softwareが提供する製品「SysTrack Workspace Analytics」がそれをサポートします。

SysTrack Workspace Analyticsは、組織内の端末の状態やシステムのパフォーマンス情報を可視化ためのツールです。様々なプロパティ情報やパフォーマンス情報を定期的に収集し、管理者は常に最新の状況を確認することができます。

たとえば、先述のように端末のOSやアプリケーションを最新の状態に保つのはセキュリティ対策の第一歩ですが、どの端末にどのセキュリティ更新が適用されているのかなどを把握し、問題を未然に防いだり、問題が発生したときに素早く対処できるようにします。これは近年流行しているシャドーITにも有効です。これは企業のセキュリティリスクを上げてしまう原因になります。そこでSysTrack Workspace Analyticsは誰がどのアプリケーションを実行しているのかの情報を収集し、管理者はそれを把握することができるようになるのです。もしも見覚えの無いアプリケーションが社内で使用されていたら、それはセキュリティのリスクとなりうるでしょう。

いずれにしても、セキュリティリスクを下げるために重要なのは、状況を正しく把握することです。これによりリスクとなりうるポイントを事前に把握して対策することもできますし、万が一事故が発生しても、状況が正しく把握できれば対応も迅速にできるでしょう。

いかがでしょうか?企業のセキュリティ対策について考える際は、まずは状況の可視化が重要であることがおわかりいただけたでしょうか?そのためのインフラとして、SysTrack Workspace Analyticsをぜひご検討ください。

デスクトップの仮想化計画