サイバー攻撃はテクノロジーの進歩とともに高度化します。その対策に悩まされている方も多いでしょう。例えば、機密情報を流出させないためにも、サイバー攻撃の知識を身につけて、適切な対策を講じることが必要です。そこで本記事では、サイバー攻撃の概要や対策の必要性、サイバー攻撃の例および対策方法を解説するとともに、対策ツールも併せてご紹介します。
高度化するサイバー攻撃
ネットワークを介してファイルといったコンテンツを盗んだり、データの改ざん、システムの破壊などを行うサイバー攻撃は、テクノロジーの進歩に伴い高度化します。最新技術を使ったセキュリティを突破するために、サイバー攻撃に用いられる手口も進化、多様化しており、もはや完璧な対策は困難な状況とも言われています。
サイバー攻撃に備える必要性
情報漏えいやシステム障害の発生など、サイバー攻撃を受けることにはさまざまなリスクが存在しています。特に個人情報等の機密情報の漏えいは、企業が築き上げてきた社会からの信頼を失墜させることにもなります。このようなリスクを避けるためにも、サイバー攻撃に関する最新知識を身につけ、常に備えている状態にしておかなければなりません。
なお、サイバー攻撃の標的となるのは大企業だけでなく、事業規模が比較的小さい中小企業もターゲットになります。むしろ、セキュリティ対策にリソースを掛けられない中小企業を狙い、踏み台にして大企業に攻撃を仕掛けることもあるのです。したがって、すべての事業者がセキュリティ対策を行うことが求められます。
想定されるサイバー攻撃の例
想定されるサイバー攻撃の例としては、次のようなものが挙げられます。
- マルウェア
- 不正アクセス
- DoS/DDoS
不用意にファイルを開いたり、サイトへ情報を入力したりすると、サイバー攻撃の被害を受ける危険性があります。サイバー攻撃についての基本的な知識を身につけることが、セキュリティ対策の基本です。
マルウェア
サイバー攻撃の代表的な例がマルウェアです。これは、ウイルスなどへ感染させてコンピュータやシステム、ネットワークへさまざまな被害を与えるものの総称です。マルウェアには「ウイルス」「ワーム」「ランサムウェア」などの種類があり、それぞれ特徴的な挙動を示します。
いずれも感染によってコンピュータやシステムの不具合が生じたり、ファイルを暗号化したりロックしたり、またはデータを流出させられたりするものです。近年では、特にランサムウェアによる被害が急増しています。ランサムウェアは気付かれにくいファイル形式に仕込まれていることが多く、感染しても発覚が遅れやすいことから、被害が拡大しがちです。ランサムウェアは、メールの添付ファイルによる侵入が多いのも特徴です。
また、攻撃形式としては、企業や団体の特定の組織を標的とする「標的型攻撃」も高度化しています。関係者を装って悪意あるサイトへ誘導したり、添付ファイルを開かせたりしてマルウェアに感染させようとする動きがあることから、細心の注意が必要です。
不正アクセス
悪意ある第三者が本人になりすまし、コンピュータやシステムなどへ侵入するサイバー攻撃を不正アクセスと呼びます。不正アクセスには、漏えいしたパスワードなどの候補リストにより認証を通過する「パスワードリスト攻撃」や、手当たり次第にパスワードを入力することで認証を突破する「総当たり攻撃」、偽サイトへ誘導してクレジットカード番号などの個人情報を入力させる「フィッシング」といった複数の手口が存在します。
特に近年のフィッシングサイトは、本物のサイトと区別がつきにくくなるなど、手口が巧妙化しています。情報を入力したり添付ファイルを開いたりする際には、細部まで不審な点がないか確認する必要があるでしょう。
また、フィッシング以外の不正アクセスに関しては、推測されやすいパスワードを使い回したり、コンピュータやシステムに脆弱性があったりするとターゲットにされやすいため、基本的なセキュリティ対策をしっかり行うことが予防として重要です。
DoS / DDoS
大量のアクセスなどにより、サーバーやシステムへ過剰な負荷をかけてダウンさせるサイバー攻撃をDoS(端末が単体の場合)、およびDDoS(端末が複数の場合)と呼びます。管理者画面が使えなくなるのはもちろん、ユーザーが利用するショッピングサイトなどが被害に遭うと、サイトへ接続できなくなり、サービスの提供機会を失うことになりかねません。
また、脆弱性のあるコンピュータが攻撃者に乗っ取られて、意図せず攻撃をさせられることもあるため、万全のセキュリティ対策が必要です。漏れなく常に全OSのアップデートを行うことも重要です。
サイバー攻撃への対策方法
サイバー攻撃への対策方法は多岐にわたり、セキュリティソフトのインストールやソフトウェアを最新の状態に保つことなどが挙げられます。権限や認証を設定してアクセスを制限することも、セキュリティ対策として有効です。ただし、いくらシステムで対策をとっていたとしても、社員のモラルがしっかりしていなければ、情報の流出を防ぐことは難しいため、社内教育も重要な対策となります。
IPAのレポートからも内部不正や不注意による情報漏えいが後を絶たないことが分かります。
また、効率化を目的とした業務ツールを導入する際には、機能性だけでなくツール自体のセキュリティにも気を配る必要があります。あらかじめセキュリティ機能が組み込まれているビルトインセキュリティと後からセキュリティ機能を足すボルトオンセキュリティとがあります。クラウドサービスはほとんどがビルトイン型であること、また近年では複雑性を避ける意味でもビルトイン型が好まれています。
サイバー攻撃からコンテンツを保護するコンテンツクラウドとは
デジタル文書やファイルなどのコンテンツを保護するためのセキュリティ機能が充実したコンテンツクラウドは、クラウドストレージとしても利用できるコンテンツ管理プラットフォームです。ビルトイン型でコンテンツを守る高度なセキュリティ対策が装備されており、後からセキュリティ対策を追加せずとも、セキュリティ高く共有やコラボレーションでき、業務効率の向上が期待できます。
コンテンツクラウド「Box」について
ここでは、コンテンツクラウドの例としてBoxを取り上げてみます。Boxはクラウドストレージとしてファイルを共有したり、共同作業を行ったりといった活用が可能なだけでなく、ランサムウェアが狙うコンテンツそのものへのセキュリティ対策も万全です。ISO27001をはじめとする複数の国際基準の情報セキュリティ規格に準拠しているため、重要文書や機密情報といったコンテンツの管理も安心して行えます。
Boxがサイバー攻撃からコンテンツを守る仕組み
Boxはサイバー攻撃から機密文書を含む企業資産のコンテンツを守るために多くの機能や仕組みを施していますが、主な対策や機能をご紹介します。
- 7段階の権限の設定によるアクセス制限
- ネットワーク保護
- 複数の認証設定
- SSLおよびTLSによる通信の暗号化
- 電子透かしやリテンションによるガバナンスの強化
- 異常アクセスといった脅威検出
- 機密度分類
Boxのセキュリティ対策の特徴は、社内システムと社外との境界だけでなく、システム内のコンテンツそのものに至るまで、対策が施されていることです。脅威を検出して即座に管理者へ知らせることで、万一の際も被害を最小限に抑えられます。また誤って、共有不可のコンテンツを共有しようとしてもできなくする、もしくは共有してはいけない人に共有しようとしてもできなくする、といったセキュリティガードレールの機能を持ち、うっかりミスといった不注意からもコンテンツを守ります。
メール添付での共有から脱却しコンテンツを保護
メールにファイルを添付して送信、共有することは何十年にもわたって行われてきましたが、今ではセキュリティ面や情報ガバナンス面で危険な方法といわざるを得ません。メールには誤送信のリスクがあり、間違って関係者以外の人へ送ってしまった場合には、拡散のおそれすら生じます。また、何度も共有、編集、共有を繰り返すとどれが最新版か分からなくなり効率が落ちます。それが複数人の間で行われると、ますますセキュリティ面でも効率低下という面でもリスクが上がることは想像に難くありません。
類似トピックとして、パスワード付きのzip形式ファイルをメール送信し、その後パスワードを別のメールにて通知するいわゆる「PPAP」は、ネットワークを傍受されていた場合、当該ファイルとパスワード両方が筒抜けとなり、セキュリティ対策としての意味を成さないと言われ、近年廃止が進んでいます。コンテンツクラウドを導入すれば、メールに添付せずにコンテンツクラウド上で共有相手にファイルのアクセス権を与え、ファイル自体ではなくファイルの置き場所のリンクを教えることで共有ができます。この方法であれば、リンクを誤送信しても誤送信先の人にはアクセス権がなくファイルにアクセスできないため、セキュリティ事故のリスクは抑えられるのです。また、共有されたファイルを編集する際もコンテンツクラウド上で行えるため、コピーが作られることなく、どれが最新版か分からないといった非効率性も排除できます。
まとめ
サイバー攻撃の手法や種類は今まで以上に多様化しており、現在、対策は一筋縄ではいかない状況です。そのような中、サイバー攻撃から企業資産のコンテンツを保護するためには、複数の認証設定や通信の暗号化、コンテンツごとのセキュリティ対策など、複合的な施策を講じなければなりません。
コンテンツクラウドは、これらのセキュリティ対策があらかじめ装備され、ファイルサーバー等から移行するだけでセキュリティ強化になることも多々あります。ランサムウェアの対策やセキュリティの見直しを図っている企業は、ぜひ導入を検討してみてはいかがでしょうか。
わかる!マルウェア・ランサムウェアへの防御と対策
