サイバー攻撃対策として企業ができる8つの指摘と事例(こと)【サイバーアタック・サイバーテロ】

f:id:security-security:20170430152952j:plain

Microsoftゼロデイ攻撃が生じた4月10日〜11日の出来事からサイバー攻撃はいつどこで起きうるのかが分からない事が理解できる。

 

WordファイルにRTF形式添付ファイルを開くだけでオンライン銀行詐欺ツールDRIDEX (ドライデックス)に感染してしまう恐れすらある。

 

ただ、企業は安価で最低限しなければならないサイバーアタック対策・サイバー攻撃対策すら満足に施作出来ていない現状があるようだ。

 

SPONSORED LINK

 

企業こそサイバー攻撃対策をするべきだが、全く出来ていない

f:id:security-security:20170427020012j:plain

サイバーアタックを外部から不正に受けたくない企業が考えるべきサイバー攻撃対策は企業単位でサイバーテロはいつ起きてもおかしくない問題と認識し、かつ行動することだ。

 

今回は、サイバー攻撃対策として企業ができる8つのことをお伝えしていく。

 

1. サイバー攻撃は人間のミスによって生じている

f:id:security-security:20170430170002j:plain

Webサービス・情報システムの未知の脆弱性を攻撃する事でマルウェア(不正なソフトウェア)をダウンロードさせたり、個人情報・機密情報を盗み出す事件が大企業・中小企業を中心として起きている。

 

だが、サイバーアタックを受ける原因を作り出すのは常に人間側のミスにすぎない。

 

サイバー攻撃をする悪意あるハッカー(クラッカー)側が諸悪の根源ではあるが、攻撃を受ける側のミスをできる限り無くしていくサイバー攻撃対策をしていない事も大きな問だと言える。

 

サイバー攻撃対策を企業がしたいなら、まずはサイバーセキュリティが人間側の行動プロセスに潜む脆弱性を狙われている点を忘れてはいけない。

 

高価なサイバーセキュリティ対策ソフトを導入・サイバーセキュリティに関する高度な知識と経験を持つ人材導入などの何かアクションを取っただけ安心するはずだ。

 

サイバーテロはもうおきないだろうと感じる安易な考え方に基づく行動を悪意あるハッカーが狙っているという事を意識しておく必要がある。

SPONSORED LINK

 

2. サイバー攻撃は起きる事を社員に対して『教育』する

f:id:security-security:20170430171029j:plain

前述の通りサイバー攻撃は人間側のミス、つまり人的ミスによって生じる可能性が大きいが、これは常に対処を怠っていなければサイバーアタックを防げるという事だ。

 

今更フィッシング詐欺に陥る人間はいないだろうが、Microsoft社のWordファイルを通じたサイバー攻撃からも分かる通り未だに「偽装ファイルを投げつけるサイバーテロ」に引っかかる人間は多い傾向にある。

 

4月度に起きたMicrosoft社へのゼロデイ攻撃では約80万通もの偽装メールが世界中にばら撒かれている以上未だにメジャーなサイバー攻撃手段だと言って良いだろう。

 

既存の情報システムに対して悪意あるソフトウェア無駄な不正プログラムをダウンロードする事が無いように社員に対して勤めさせる事が重要だ。

 

もしも不正ソフトウェア・プログラムがダウンロードされても適切に対処する為のセキュリティ対策ソフトを用意しておく事で2重にサイバー攻撃対策を企業側は費用をかけずに行う事が可能となるから、人的ミスをなくす作業に工数を割くべきと言える。

 

3. サイバー攻撃に対する社員への『訓練』を怠らない

f:id:security-security:20170430170135j:plain

サイバー攻撃対策を企業が行うと考えた時にするべき事は次に2点に焦点を当てると良い。

 

・自社の社員に対してサイバー攻撃対策への理解と行動を教育し続ける

・情報システム・Webサービスに対する防衛機能が充実したセキュリティ対策ソフトを導入

 

サイバーアタックの被害者となる人間は大抵においてサイバー攻撃フィッシング詐欺マルウェアも知らない素人によって生じているパターンが多い。

 

サイバーテロが企業にとって致命的リスクであり、かつ対応しなければならない大きな課題だと認識している人間はサイバー対策に対する意識があり、自己教育が行き届いているパターンが多い事から、サイバーアタックの被害者になりずらい。

 

これらの事実から分かる通り、サイバー攻撃への社員への訓練を怠らなことが人的ミスによるヒューマンエラーを生じさせない為の大きな行動だと言える。

 

4. サイバー攻撃対策プランを全社で共有していく事が重要

f:id:security-security:20170430171156j:plain

企業がサイバー攻撃対策をしていく上で企業トップばかり理解を深めてしまい、末端の社員には共有しきれていないケースが目立つ場合が多い。

 

前提としてサイバー攻撃の被害者はサイバーアタックに対する理解・認識がない人間が引き起こす傾向が大きいからこそ、全社レベルでサイバー攻撃対策プランを策定しつつ、会社全体で共有していく事でサイバーテロへとイニシアチブをとる姿勢が重要だ。

 

だが、これがなかなかできないのでは無いのか?

 

サイバー攻撃の1つ1つの攻撃手法の細かいコード部分やクラッカー側が考える巧妙な偽装手段を読み解くような事はプロフェッショナルに任せておけば良い。むしろそのあたりを素人が考え出しても事実を切り貼りしただけで価値もなく効果も少ない。

 

何より考えておかなければならないのは変なメールを開かない・企業PCで不要なサイトにアクセスしないなどの簡単なアクションだという事を社員側に認識させておく事だ。

 

巧妙に仕掛けれたプログラムから高度な演算領域を用いてあれやこれやされるような極めて高度なサイバーテロはそうそう起きない。というか起きずらい。

 

実際問題としてサイバー攻撃の被害者となる為のスイッチは極めて簡単なアクションをしないようにするだけでほぼ対応する事が可能で、もちろんそれはヒューマンエラーに対してで、それ以外のサイバーテロに対してはセキュリティ対策ソフトで対応していかければならない。

 

5. 全てを守る者は何も守りきれない。

f:id:security-security:20170430170227j:plain

企業側がサイバー攻撃対策を通じて未然にサイバーテロを防ぐ時に考える事項として人的被害・全社レベルでのサイバー攻撃対策プランを伝えてきたが、次に意識しておくべきポイントは企業として何を守るのかを明示的アクションとしておく事だ。

 

あれもこれも行動してしまってはコストがかかりすぎてしまってどうしようもないし、セキュリティ対策をする上でも基本的な行動指針を策定しておいた方が良い。

 

企業がサイバー攻撃対策を通じて守るべき事柄は個人情報・金融情報・機密情報などの情報が主たるもので、逆に言えばある程度はセキュリティ対策ソフトで広範に対応しておきながら、もっとも守るべき事柄に重点的にコストをかけた方が良いだろう。

 

企業におけるサイバー攻撃対策ではバランスの取れた施作を取る事も極めて重要だからこそ、考えておいて損はない。

 

企業が保持している情報の中で本当に価値のある情報から、そこまで価値を見出せない情報まで多くの情報資産をどう守るか。守るべき目的語を大事にする姿勢が重要だ。

 

6. 全てを退治する銀の弾丸は存在しない

f:id:security-security:20170430170609j:plain

企業がサイバー攻撃対策をする時にサイバーテロに対するセキュリティソフトを買ってはいおしまい。とまるでソフト導入をするだけでどうにかなると考えているパブロフの犬のような行動をしている企業も少なくない。

 

賢明な企業ならばそれだけではリスクを最大限に軽減する事は難しい事は理解できるだろうが、残念だが安心を買ってしまう事で思考を止めてしまうケースも多く散見していると言える。

 

とはいえ全てのサイバーアタックに対する万能な対応策は存在しておらず、ひとまずセキュリティソフトを導入しておこうと考えてしまう人いるのも頷ける。

 

今回伝えておきたいのは、全てのサイバー攻撃を対処する銀の弾丸は存在していないという事であり、サイバー攻撃からのリスクを0にする事は不可能だが、0に近似させる事はできるからこそ、まずはリスクを最大限少なくしていく行動が重要だ。

 

7. 企業としてコスト・時間を考えた投資と考える

f:id:security-security:20170430170304j:plain

サイバーアタックに対して企業が行うべきサイバー攻撃対策を伝えてきたが、企業としてサイバー攻撃に対する防御策を講じるのは懸念事項ではなく、れっきとした投資対象だと考える時期に差し掛かっているという事だ。

 

デジタルトランフォーメーション(情報技術が生活をさらによくする様子)が起きつづけて行くだろう私たちの生活には情報技術に飲み込まれていく。

 

ひと昔前の概念であるモノのインターネット化(IoT)はモノがインターネットと繋がっていく事を表した概念だが、今後は情報技術が生活を覆い尽くす時代がやってくる。

 

これは逃れる事のできない事である一方で、人間が未来に向かう為に必要な事象だ。

 

これらの未来を考えた上で、より未来に進む現状において企業も情報技術への理解を示しつつ、かつ情報技術を通じたサイバー攻撃対策に対する投資を怠らない事をお勧めする。

 

時間的・エネルギー的コストや人的コストもかかるだろうし、効果的な社員教育への足がかりを見つける事も難しいだろうが、早急に対応しておけば未来のサイバー攻撃への対策へと1歩前進できるはずだ。

 

8. サイバー攻撃を受けない企業が、社会的に評価されていく

f:id:security-security:20170430170721j:plain

サイバー攻撃自体はいつ起きるかわからないが、起きてしまってからでは顧客にも取引先にも多大な悪影響を与える事は分かりきっている。

 

サイバーアタックを受けない為の準備をしつつ、サイバー攻撃対策を企業として取り組みながら、経営上安全な企業だという事を明示していく必要がある。

 

企業におけるCSRが大事なように、今後はサイバー攻撃対策をする企業が評価されやすくなり、かつ評価される機会が増えていくだろう。

 

まとめ

f:id:security-security:20170430170849j:plain

サイバー攻撃対策として企業ができる8つのことをお伝えしてきたが、これは基本的なサイバーテロやサイバーアタックへの防御策にすぎない。

 

常にセキュリティ意識を持ち続け、かつ安全な企業経営を目指す意識が重要だ。