カテゴリーを選択
トップ > ITのチカラ [Vol.3] マルウェア解析サービス > インタビュー
マルウェアによる情報漏えいなど、企業が情報セキュリティーにおいて直面するリスクは日々高まっている。キヤノンITソリューションズ(以下、キヤノンITS)が提供する「マルウェア解析サービス」について、基盤セキュリティ企画センターの石川堤一(ていいち)、木谷(きたに) 浩、プロダクト企画センターの輿水(こしみず)直貴が解説する。
今回のポイント
インタビュー
*インシデント対応:情報セキュリティー分野において、コンピューターやネットワークのセキュリティーを脅かす事象に対応すること
企業は現在どのようなマルウェアによるリスクに直面しているのだろうか。インターネットを介して発生するマルウェアの侵入やサービス妨害などの情報収集、セキュリティーの脆弱性などの情報発信や、インシデント対応の支援を行っている一般社団法人JPCERTコーディネーションセンターの理事を務める真鍋敬士さんに、最新動向について聞いた。
――企業の情報システムに対する攻撃について、最新動向を教えてください。
状況は日々目まぐるしく変化していますが、近年特に目立つ傾向として挙げられるのは、「標的型攻撃」や「ランサムウェア」による被害の拡大です。昔からあるWebサイト改ざんやマルウェア添付メールといった手法が、さまざまな攻撃で使われ続けています。また、攻撃側がより組織的かつ体系的な攻撃を行うようになってきている点にも注意が必要です。
標的型攻撃についてはメディアで取り上げられるケースが目立ちますが、個人情報の漏えいに限らず直接的な被害が分かりにくいため、攻撃に気付きにくいという問題があります。一方バンキング・トロイ(オンラインバンキングを狙うタイプのマルウェア)やランサムウェアは、“身代金”が要求されたり預金口座から実際にお金が引き出されたりといった直接的な被害を伴うため、攻撃に気付きやすいといえます。以前はバンキング・トロイもランサムウェアも、“日本語”という言語の壁(ランゲージバリア)があったため、日本は標的になりにくかったのですが、近年はメール本文やメッセージ画面に自然な日本語が使われるようになり、被害が拡大しています。
――ターゲットになりやすいのはどのような企業や団体なのでしょうか。
規模の小さな企業や団体は「ウチの情報には大した価値がないからサイバー攻撃のターゲットにはならないだろう」などと考えがちですが、それは誤りです。大企業の多くは情報セキュリティー対策にコストをかけており、常に脅威を意識していますから、攻撃者にとっては攻めにくい。このため、大企業の取引先である中小企業を狙い、大企業に侵入するための“踏み台”にしようとする攻撃者も少なくないのです。
――情報システムへの攻撃を防ぐ、あるいはいざ攻撃を受けたときに適切に対処するという観点から、どのような対策が必要でしょうか。
情報セキュリティー対策用のシステムを導入するだけでなく、それを的確に運用することが大前提です。ただし、最新のシステムを導入したり、社員向けに情報セキュリティー研修を実施したり、標的型攻撃を受けた場合の訓練を行ったりといった念入りな運用をしていても攻撃側も巧妙になっていますので、全ての攻撃が防げるわけではありません。
そのため、“攻撃を100%退けることは不可能”であることを前提に、「CSIRT(シーサート/Computer Security Incident Response Team)」と呼ばれる、情報セキュリティー上に問題がないかを監視し、問題発生時には原因の分析や被害状況を調査して対処などを行う機能を、企業や団体の中に持つことの必要性に注目が集まっています。ただし、ここでも注意が必要なのが、CSIRTのような機能を持つだけでは高い効果を期待することはできないということです。
多くの企業で情報セキュリティー対策は、現場依存になってしまっているのが実態です。しかしながら、もし深刻な被害が発生した場合、顧客や社会からの信頼を失い、企業の存続すら危うくなりかねません。情報セキュリティー対策は“経営課題”の一つであると位置付けて経営層が積極的に関わり、CSIRTのようなチームが実効的に機能するような体制作りや社内の意識改革も、これからは求められるでしょう。