昨今、サイバー攻撃の種類は多様化し、その手法も複雑化・高度化している。企業としては、常に最新のセキュリティ対策を導入・運用することが望ましいが、コストや時間は最小限に抑えたいというのが実情である。では、どのようにして最新のサイバー攻撃の脅威に備えればよいのか。その解決の糸口となるべく、株式会社ラック 取締役 専務執行役員 西本逸郎氏に話を聞いた。
中小企業のオンラインバンク口座が狙われている
── 中小企業が抱えているセキュリティリスクにはどのようなものがありますか
西本氏 GmailやFacebookなどが登場した2004年までは、サイバー犯罪のほとんどが“愉快犯”であったことはよく知られています。政府や企業のホームページが改ざんされたり、BlasterやNimdaといったマルウェアが流行ったりしましたが、しょせんは“いたずら”でした。
しかし2005年以降、インターネットが社会化し、ビジネスや生活に活用されるようになったことで、金銭を目的とした悪質な犯罪者が増えてきました。セキュリティがビジネスニーズとして重要視され始めたのもこの頃です。
特に注目したいのは、オンラインバンクの不正送金による窃盗です。 警察庁の発表によれば、2013年中に1,315件の事件が発生し、被害総額は14億円を超えました。この傾向は2014年以降も続くと予測されているばかりか、法人のオンラインバンク口座を狙うケースが多くなっていることも報道されました。
以前は、経理処理を行うPCは独立しており、ネットサーフィンをすることなどあり得ないことでした。しかし昨今、特に中小企業では、経理担当者は自身のPCでメールチェックやWebサイトの閲覧、さらにはオンラインバンクで経理処理を行う時代です。
以前は、マルウェアに感染して社内の情報を窃取されても、にわかに実害が生じることはないと高をくくっていました。よほどの痛い目に遭わないかぎり、十分なセキュリティ投資を行うことはなかったのです。また犯罪者も、制度や言語の壁があるから、面倒な日本企業を狙う必要はないと考えていました。
しかしこの1~2年で、サイバー犯罪者らは、セキュリティ対策に疎く大きな金銭を保有している日本の中小企業が“美味しいカモ”だと気づきました。ある日突然、口座に1円も残されていないという事態が現実にあり得るのです。
── 大企業を狙うために、中小企業を踏み台にするケースも多いそうですね
西本氏 中小企業が狙われるようになった原因の1つとして、中央官庁や大企業が“ガードを上げた”ことも挙げられます。セキュリティ対策が強固になったことで、攻撃が周辺の中小企業に散ったわけです。
従来のサイバー犯罪者は、大手企業のPCなどにマルウェアを潜伏させ、長期間にわたってひっそりと情報を漏洩させるという“スパイ作戦”を採っていました。しかし今では、対策技術が向上し、そうした攻撃が不可能になってしまったのです。そこで彼らは、“急襲作戦”に切り替えました。
攻撃者は、セキュリティ対策の甘い中小企業に侵入し、システムログやメール、ビジネスの資料などを盗み見て、どのような顧客やパートナーがいるかをチェックします。SIerなどであれば、顧客である大企業の保守内容から攻撃を仕掛けるチャンスを伺います。Webサイトのアクセスログを見れば、どのような企業からアクセスされているかがわかるため、その企業に合わせた「水飲み場型攻撃」を仕掛けることができます。
こうして、中小企業は大手企業を急襲するための踏み台にされるというわけです。
ここで“単なる踏み台なら危険は小さい”などと考えるのは浅はかです。ネットワーク内を探査する間にオンラインバンクへアクセスできる端末を発見すれば、金銭を狙わないわけがありません。むしろ、一連の攻撃はセットになっていると考えたほうがよいでしょう。
ワークスタイル変革を促進する新しいセキュリティ
── 中小企業はどのように対策を考えればよいのでしょうか
西本氏 特に中小企業は、厳しいIT予算でやりくりしなければなりません。セキュリティ対策が重要だからといって、新たに予算を設けることは困難です。
そこでまず、実際のセキュリティ対策を考察する前に、「ワークスタイル変革」が起きていることを考慮すべきだと思われます。
今の個人は、FacebookやDropboxなど、さまざまなインターネットサービスを便利に活用して、友人を増やしたり生活を変えたりしています。今や、社内ITの方が遅れているのです。したがって、中途半端なセキュリティ対策で利便性を損ねると、どんどん“裏道”を使うようになってしまいます。
実際、多くの社員が個人のスマートフォンやタブレットデバイスを許可なく業務に活用しています。テザリング機能を使用して、社内の端末をインターネットへ直接アクセスさせている社員も少なくないでしょう。
そのため、クローズであると思われていた社内ネットワークが、インターネット状態になってしまっているのです。マルウェアの感染など、当たり前のように発生していることでしょう。
だとすれば、こうした時代の移り変わりに対して、企業ネットワーク全体を改めて考え直すべきではないでしょうか。むしろ個人のスマートフォンを積極的に活用し、オフィスの端末コストや通信コストを削減したほうがよいと思います。
そうして浮いた予算を、守るべきものを守るための投資に振り分ける“コスト構造の付け替え”が必要です。
── 「守るべきものを守る」とはどのようなことでしょうか
西本氏 いっそのこと、オフィスネットワークはインターネット化しているものだと割りきって、BYODや在宅勤務などを最大限活用してコスト削減に努めます。その代わり、経理や人事などの重要なシステム保護には最大限の投資を行います。
重要な社内システムはネットワークを分離し、管理範囲を狭めてしっかりと保護するという方法です。管理対象が最小限になれば、管理者の負担も低減できますし、セキュリティ投資も抑えることができます。
例えば、経理システムとオフィスネットワークを分離したうえで、このシステムへアクセスできる端末を限定します。オフィスからは、リモートアクセスで端末を経由して、経理システムを使用するという方法です。この端末と境界さえしっかりと監視すれば、経理システムを保護できるというわけです。
次世代ファイアウォールで重要なシステムを守る
── 管理対象を狭めるというのは新しいセキュリティの考え方ですが、注意点はありますか
西本氏 特に注意したいのは、重要なシステムとインターネットの境界を保護するゲートウェイセキュリティです。ここがおろそかになると、全てが台なしになってしまいます。
中小企業で少なくないのは、ずっと以前に導入した古いファイアウォールを今まで問題が無いからといって使い続けているという状況です。前述のような最新のサイバー攻撃は、旧来のファイアウォールでは防ぐことができません。“次世代ファイアウォール機能”を持ち、信頼性が高く管理性にすぐれた製品を導入すべきです。
今は、中小企業こそクラウドサービスなどを積極的に活用し、少数精鋭の社員がどこでも働けるようにしなければならない時代です。そうした新しいワークスタイルを取り入れるためには、新しいセキュリティの考え方や技術を取り入れなければならないのです。