本シリーズでは、中小企業がデータの紛失や流出に備えて適切な対策を行なうとともに、ビジネス上でのメリットを得られた事例について取り上げます。

ウイルスへの感染をきっかけに、あわや『情報漏えい』寸前となったC社。サイバー攻撃を受けた経験から対策への重要性を再認識。『クラウドサービス』による対策とは?

ランサムウエアとは、悪意を持つウイルス (マルウェア) の一種です。感染したパソコンのデータを暗号化するなどして、ユーザーのパソコンを利用できなくしてしまうというウイルスで、その目的は、金銭の要求であることが一般的です。パソコン上に「アクセスできるようにしたいのなら、身代金を払え」という内容の要求を表示するパターンもあります。しかしもちろん『身代金』を払ったからといって、感染が解除されるわけではありません。

近年、とある行政団体から200万件以上もの情報が漏えいしたとして社会的な問題となりましたが、その時の手口がこの標的型攻撃です。標的型攻撃とは、これまでのように無差別にウイルスをばらまくような手口ではありません。例えば人事部門の担当者宛てに採用希望者を装い、自分の履歴書と偽ったウイルスファイルを添付したメールを送信し、担当者がうっかりファイルを開いてしまいウイルス感染…というような、ある特定の対象を狙った攻撃手法です。
ほかにも、ターゲットとした企業のウェブサイトにセキュリティの隙をつく様々な方法で不正アクセスを行い、そこから情報を抜き取るといった手口も一般的になっています。このように現在、増加している標的型攻撃を、IPA (独立行政法人 情報処理推進機構) では『情報セキュリティ10大脅威 2016』の組織別順位の1位として、その対策を呼びかけています。

悪意のある第三者が、何らかの方法でウイルス感染させて、企業のパソコンを乗っ取り遠隔操作する手口もあります。この『乗っ取り』の怖い点は、本来ウイルス感染させられた被害者が加害者にされてしまうこと。
もし、冒頭の総務担当者のパソコンがウイルス感染により『乗っ取り』の被害にあっているのに気付かず、そのパソコンから取引先などにメール送信をしてウイルス感染させしまったら、『C社が悪事を働いている』と見えてしまうのです。企業の社会的イメージを失墜させたり、取引停止などにもつながりかねないリスクがあります。

このような情報セキュリティ上の脅威を整理したC社では、こうしたウイルス感染や社外からの不正アクセスの被害を避けるためにも、より安全な環境にデータを保管したいと考えました。そこで、データの管理の仕方を改めて考えることにしました。

『安全なデータの置き場』とはどこなのか…。
例えばセキュリティの高い社内サーバ構築などを自社内のリソースで行おうとすると、高度な知見を持つ専任のセキュリティ担当者や対策に関するツールも必要になるなど、大きなコストが発生してしまうことでしょう。専任のセキュリティ担当者すらいないC社には自社での運用は不可能です。

しかし下図でもわかる通り、被害の有無に関わらず、サイバー攻撃を受けている企業は年々増えているのが現状です。そしてその攻撃は高度化・巧妙化し続けており、最新のサイバー攻撃への備えが必須となってきています。

社内での管理には人的にもコスト的にも限界があるが、最新のセキュリティ対策は必須。悩んだC社が『安全なデータの置き場』として導入を決めたのは、高セキュリティの『クラウドサービス』でした。データを安全な『外部の置き場』に保管することで、システム担当者の負荷がアウトソースでき、かつ最新の高度なセキュリティ対策にも対応できるため、最良の方法と考えたのです。

こうしてC社ではセキュリティ対策の一歩として『安全で運用しやすい環境でのデータ管理』を実現しました。メール経由での標的型攻撃対策など、まだまだ検討すべき点はありますが、クラウドサービスの導入は、今後そのほかのセキュリティ対策の足場となっていくと期待しています。