PR
【今月のテーマ】サイバー攻撃
[画像のクリックで拡大表示]

 2015年6月に日本年金機構が公表した情報流出事故は、サイバー攻撃の脅威を、IT業界のみならず社会全体が大きなインパクトを持って受け止めることになりました。公的年金加入者約6700万人のうち、被害者は全国約101万人。政府へのサイバー攻撃による情報流出として過去に類を見ない被害をもたらしたのは、「標的型」の手口でした。サイバー攻撃の認知度、防御に必要な対策を読者に聞きました。

 最初に、「あなたはサイバー攻撃についてどの程度、ご存知ですか」を聞きました。最も多かったのは「概要(言葉の意味)は知っている」で59%でした。「定義や内容まで知っている」(36%)を合わせると、95%がサイバー攻撃を知っていることになります。

 次に、「サイバー攻撃を防ぐために必要なものは何だと思いますか」と尋ねました。

 「従業員の教育、啓蒙」が85件で最も多く、「ウイルス対策ソフト」(62件)、「ネットワーク監視ソフト」(60件) 、「不正侵入防止ソフト」(58件)が続きます。「外部専門家の監視サービス」は25件、「ネット利用できる端末の限定」は23件、「国や公的機関による対策」は14件、「関係業界での情報共有」は11件でした。

 読者の自由意見では、サイバー攻撃、特に標的型攻撃は防御することが難しいという声が少なくありません。攻撃側のスキルが絶えず向上していることが大きな要因です。自社単独での対策に限界があることから、専門家に代表される外部の力を借りることが欠かせないという指摘があります。また、社内PCへのウイルス感染を前提とした対応を講じる必要があるとの意見もあります。

 検知ツールやアナライザーなどによるシステム面での防御策を充実させるほか、社員のモラル教育が必要との声も多くあります。一連のセキュリティ強化策を講じることで、サーバーの利用方法に制約がかかるなど、利用者の利便性が低下することもやむを得ないという指摘があります。

本誌読者380人を任意に選んでアンケートを実施。上のグラフは119人、下のグラフは120人の有効回答をまとめたもの。

攻撃の高度化に驚き
匿名希望、44歳、東京都東村山市
 攻撃する側が非常に計画性を持ち、準備に時間と労力をかけて高度化しているのが驚異だ。また、会社がコスト削減などの理由でシステム運用を他会社に委託していることが多く、いろいろな会社の人間が出入りしていたり情報に触れる可能性があるので、今までのような誓約書レベルの取り決めだけでは事故を防げない。性悪説に基づいたシステム的な対策を必要に応じて取るべきだろう。


専門家の確認が必要
匿名希望、39歳、静岡県富士市
 サイバー攻撃の脅威は日々感じている。さらに不安なのは、自分たちの力だけでは「現在安全な状態である」と絶対の自信を持てないことである。コストをかけて専門家に確認してもらうしかない。


部署サーバーが危ない
匿名希望、53歳、東京都中央区
 サイバー攻撃の中で特に標的型攻撃を防衛するのは至難の技と感じる。防衛を破られることを前提に被害を最小限にする対策が必要である。機密情報の漏洩について大抵の企業では基幹システムはガッチリと守られているだろうが、各部署にある程度自由な運用が任されているファイルサーバーなどがあると、そこが危ない。セキュリティ強化が必要であるがそれによって利用者の利便性は低下するだろう。社員の日々の業務効率化向上を支援する立場としては頭が痛い。


公表せざるを得ない
匿名希望、47歳、埼玉県新座市
 攻撃する側の手口がどんどん進化するため、なかなか対策が追いつかないの現状だ。自社だけでなく専門の外部機関に委託することが多くなる。もし被害に遭ったら、たとえ実害がなくても、公表せざるを得ない状況になっている。


利用者としてはうんざり
匿名希望、53歳、東京都中央区
 サイバー攻撃もそうだが、セキュリティ対策にしてもイタチごっこで、対策のたびに、IT機器の運用が縛られる。正直、一利用者としてはうんざりしている。一方で、一度事故を起こしてしまうと、当社のITベンダーという立場も考慮する必要があり、各自の意識を高めていくしかない。


新たなリスクに備えよ
匿名希望、63歳、静岡県三島市
 情報セキュリティ対策は、日進月歩で常に新しいリスクに備えるポリシーが組織的に必要だ。そのポリシーに沿って組織内で模擬的な訓練をしてPDCAサイクルを回すことが重要だ。そのために必要なら、外部のコンサルタントを活用する施策も考慮すべきだろう。


利便性低下も止むなし
匿名希望、33歳、埼玉県さいたま市
 ゼロデイ攻撃の可能性、社内外でのデータ授受・個人携帯端末などの社内PCへの接続を思えば、社内ネットワーク入口での防御は限界があると考えている。社内PCへのウイルス感染を前提とした対応を講じる必要があるだろう。社内感染の検知策として、社内ネットワーク内通信を調べるネットワークアナライザーやIPSの設置を検討している。また被害拡大の防止策として、ファイルサーバーやDBサーバーの暗号化を検討している。取り扱う情報の選別を行い、暗号化を施すことで、ユーザーの利便性低下も止むを得ないと感じている。


異なる観点でのチェックを
匿名希望、34歳、神奈川県川崎市
 現場の職員やSEにはセキュリティの知識や社会人的行動様式が不足したセキュリティホールが必ずあるので、いかに平易に実態とリスクを伝えて理解させられるかがポイントだ。技術的には、外部のセキュリティ管理に対して、現場がこれまでの取り組みを積極的に伝えた上で、異なる観点でのチェックを受けることで防御力を上げることが有効だ。