KDDIホーム 法人のお客さま おすすめコラム 「他人事ではない!」中小企業もサイバー攻撃で情報漏えいの被害に…

「他人事ではない!」中小企業もサイバー攻撃で情報漏えいの被害に…

本シリーズでは、中小企業がデータの紛失や流出に備えて適切な対策を行なうとともに、ビジネス上でのメリットを得られた事例について取り上げます。

ウイルスへの感染をきっかけに、あわや『情報漏えい』寸前となったC社。サイバー攻撃を受けた経験から対策への重要性を再認識。『クラウドサービス』による対策とは?

ウイルス感染を機に意識変化。『情報漏えい対策を急ごう!』

ある朝、卸小売業C社の総務担当者のパソコンが、ウイルスに感染していることが発覚しました。すぐに情報システム担当者が感染したパソコンを社内ネットワークから隔離し、アンチウイルスソフトによってウイルスの駆除を実施。加えてウイルスが既に社内に拡散している可能性も踏まえ、社内のすべてのパソコンを調査しましたが、幸いにも、他に感染したパソコンはありませんでした。

しかし、この事件はC社にとって、ウイルス感染の脅威が『他人事ではない』と認識するに十分なものであり、早速この事態を危惧した社長から情報システム部へ、ウイルス感染などのセキュリティ対策に向けた検討を開始するよう指示が下りました。

そこで情報システム部門では、速やかに備えるべきセキュリティ上の脅威は何なのかを調査することに。すると下記のような被害が増加していることが分かりました。

●ランサムウエアによる被害
ランサムウエアとは、悪意を持つウイルス (マルウェア) の一種です。感染したパソコンのデータを暗号化するなどして、ユーザーのパソコンを利用できなくしてしまうというウイルスで、その目的は、金銭の要求であることが一般的です。パソコン上に「アクセスできるようにしたいのなら、身代金を払え」という内容の要求を表示するパターンもあります。しかしもちろん『身代金』を払ったからといって、感染が解除されるわけではありません。

●標的型攻撃による被害
近年、とある行政団体から200万件以上もの情報が漏えいしたとして社会的な問題となりましたが、その時の手口がこの標的型攻撃です。標的型攻撃とは、これまでのように無差別にウイルスをばらまくような手口ではありません。例えば人事部門の担当者宛てに採用希望者を装い、自分の履歴書と偽ったウイルスファイルを添付したメールを送信し、担当者がうっかりファイルを開いてしまいウイルス感染…というような、ある特定の対象を狙った攻撃手法です。
ほかにも、ターゲットとした企業のウェブサイトにセキュリティの隙をつく様々な方法で不正アクセスを行い、そこから情報を抜き取るといった手口も一般的になっています。このように現在、増加している標的型攻撃を、IPA (独立行政法人 情報処理推進機構) では『情報セキュリティ10大脅威 2016』の組織別順位の1位として、その対策を呼びかけています。

●パソコンを乗っ取られることによる被害
悪意のある第三者が、何らかの方法でウイルス感染させて、企業のパソコンを乗っ取り遠隔操作する手口もあります。この『乗っ取り』の怖い点は、本来ウイルス感染させられた被害者が加害者にされてしまうこと。
もし、冒頭の総務担当者のパソコンがウイルス感染により『乗っ取り』の被害にあっているのに気付かず、そのパソコンから取引先などにメール送信をしてウイルス感染させしまったら、『C社が悪事を働いている』と見えてしまうのです。企業の社会的イメージを失墜させたり、取引停止などにもつながりかねないリスクがあります。

このような情報セキュリティ上の脅威を整理したC社では、こうしたウイルス感染や社外からの不正アクセスの被害を避けるためにも、より安全な環境にデータを保管したいと考えました。そこで、データの管理の仕方を改めて考えることにしました。

安全で運用しやすい『データの置き場』とは?

『安全なデータの置き場』とはどこなのか…。
例えばセキュリティの高い社内サーバ構築などを自社内のリソースで行おうとすると、高度な知見を持つ専任のセキュリティ担当者や対策に関するツールも必要になるなど、大きなコストが発生してしまうことでしょう。専任のセキュリティ担当者すらいないC社には自社での運用は不可能です。

しかし下図でもわかる通り、被害の有無に関わらず、サイバー攻撃を受けている企業は年々増えているのが現状です。そしてその攻撃は高度化・巧妙化し続けており、最新のサイバー攻撃への備えが必須となってきています。

サイバー攻撃 (ウイルス以外) 被害を受けた企業の割合

  • 出典: IPA「情報セキュリティ事象被害状況調査―報告書―」より

社内での管理には人的にもコスト的にも限界があるが、最新のセキュリティ対策は必須。悩んだC社が『安全なデータの置き場』として導入を決めたのは、高セキュリティの『クラウドサービス』でした。データを安全な『外部の置き場』に保管することで、システム担当者の負荷がアウトソースでき、かつ最新の高度なセキュリティ対策にも対応できるため、最良の方法と考えたのです。

* * *

こうしてC社ではセキュリティ対策の一歩として『安全で運用しやすい環境でのデータ管理』を実現しました。メール経由での標的型攻撃対策など、まだまだ検討すべき点はありますが、クラウドサービスの導入は、今後そのほかのセキュリティ対策の足場となっていくと期待しています。

関連サービス・ソリューション

無料 業務データ紛失・流出が招くビジネス損失を回避! 「安全管理マニュアル」 お役立ち資料