2023年 4月11日公開

企業のITセキュリティ講座

知らずにしてしまいがちなリスクのある行動、あなたは大丈夫?

ライター・吉澤亨史

  • セキュリティ

新年度になり、新卒社員が入社してくる季節になった。彼らは小さい頃からインターネットやパソコン、さらにはスマートフォンが身近にある世代であるため、これらの使い方には習熟している。一方で、どんな行動が企業のリスクになるのかは未経験だ。今回は、普段のIT利用に潜む基本的なリスクを紹介する。

1. 企業におけるリスクとは何か

ITの進化は、企業のビジネスを加速し、DX(デジタルトランスフォーメーション)のようにビジネスそのものの変革にも寄与している。それは主にインターネットの高速化やクラウドサービス、モバイル機器の高機能化によるものだが、これらによって企業のリスクも増加している。

企業にとって一番のリスクは、事業の停止であると考えられる。以前の調査では、事業リスク要因としては自然災害や感染症によるパンデミック、戦争などが挙げられていたが、最近ではサイバー攻撃が上位に挙げられるようになった。例えば、ランサムウェア感染による病院や大手製造業の事業停止は大きく報道され、米国ではパイプラインが停止しガソリン不足を引き起こすなど、生活にも大きな影響が及んだ。

ランサムウェアに感染すると業務に使用するファイルが暗号化されてしまい、業務が停止してしまう。そのため、一刻も早く業務を再開するために“身代金”を支払ってしまうケースが少なくない。しかし、支払ったとしてもすべてのファイルを復元できるとは限らず、またサイバー攻撃者から「身代金を払う会社」と認識され、広く共有されてしまう。つまり、何度もランサムウェア攻撃に遭うことになってしまう。

事業停止に次いで懸念されているのが、情報漏えいである。企業は、従業員や顧客の個人情報、あるいは製品の開発情報、財務情報など、多くの重要な情報を持っている。こうした情報も、サイバー攻撃により狙われている。その手法はマルウェアや不正アクセスが挙げられる。マルウェアとしては、近年「Emotet」が猛威をふるっており、不正アクセスは、主にWebアプリの脆弱性を悪用されて社内ネットワークにアクセスされるタイプが主流だ。

企業がこうした被害に遭ってしまうと、原因の究明、脅威の排除、再発防止、記者発表など複数の手順を行う必要があり、その間は業務を停止することになってしまう。その間に得られるはずだった利益がなくなるだけでなく、損害賠償や調査・復旧など莫大(ばくだい)な費用がかかってしまう。対応によってはブランドが失墜し、株価が下がり、倒産に至るケースもある。

IPAがサイバーインシデント事例として「2021年 米国最大手のパイプラインのランサムウェア被害」を公開している

転載元:IPA「制御システム関連のサイバーインシデント事例9」

目次へ戻る

2. 気をつけたいIT利用に潜むリスク

企業がサイバー攻撃の被害に遭うきっかけは、不審なメールを開いて添付ファイルを実行したり、不正リンクをクリックしたりしてしまうことが多くの割合を占めている。また、クラウドサービスの設定を間違えて、意図せず重要な情報を公開してしまうケースも多い。さらには、危険なWi-Fiスポットの利用や、SNSへの配慮のない書き込みなども企業をリスクにさらしてしまう。

ちょうど新卒の新入社員が入社し、新人研修を実施する季節であるが、新入社員の多くは生まれたときから周囲にIT機器がある「デジタルネイティブ世代」である。スマホやIT機器の扱いには長(た)けているが、リテラシーに関してはこれから勉強が必要だ。IT機器を使えるから任せるのではなく、その操作にどのようなリスクが潜んでいるのかを教育する必要がある。また、このことは新入社員に限らないことも意識したい。

ここからは、普段の何気ないITの利用に潜むリスクについて紹介していく。

メールの利用

送信ミス

業務メールの宛先をうっかり間違って送ってしまうことは、ありがちなミスである。また、複数の相手に一斉にメールを送る際に、受信者に表示されないBccではなく、表示されてしまうCcで送信してしまうことも多い。これらは情報漏えいにつながるため、気づいた時点でおわびのメールを送り、添付ファイルも含め削除をお願いする必要がある。

マルウェアメール

Emotetなどは、業務上のメールに見せかけて添付ファイルを開かせ、マクロを有効にさせることで感染する。メールによるマルウェア感染手法は巧妙化されており、セキュリティ対策ソフトでは検知が難しくなっているため、受信者自身が不審な点に気付くようにしたい。

フィッシングメール

特定のサービスや組織を詐称し、偽サイトに誘導してログイン情報を盗むフィッシングメール。うっかりログイン情報を入力してしまうと、第三者にログインされてしまう。最近では企業内システムのログイン画面を使うフィッシングもある。

ウェブの利用

不要なネットサーフィン

業務に関係のないネットサーフィン(ホームページの巡回)は、怪しいサイトに誘導されがちである。また、突然「このパソコンはウイルスに感染しています」などと表示される「偽警告」は、マルウェア感染の起点とされる可能性がある。

正規のサイトでも改ざんの可能性あり

業務上で定期的にアクセスする正規のサイトであっても、改ざんされる可能性は否定できない。最近では、悪意のあるスクリプト(命令文)のみ追加され見た目には何の変化もないケースもあり、閲覧環境によっては気づかないうちにマルウェアに感染する恐れがある。

検索結果にも注意が必要

情報を調べる際に、Googleなどの検索エンジンを使用することは多いが、「SEOポイゾニング」という手法により、検索結果に悪意のあるサイトが表示されることがある。リンクをクリックするときはURLなどを確認したい。

SNSの利用

情報をうのみにしない

SNSにはさまざまな情報があり、日々拡散されている。しかし、それらの中には間違った認識による書き込みや、意図的に間違った印象へ誘導する情報も含まれている。安易に拡散させず、自分で情報源(一次情報)を調べるようにしたい。

書き込みの際の注意点

自分で書き込みをする際にも、世界中の人が目にすることを考えて行いたい。特に、個人情報や企業情報など機微な書き込みは控える。特に、Twitterなどでは個人や企業、場所などを予想以上の速さで特定するため、注意が必要だ。

悪意を持った友達申請やアプリ連携もある

友達申請やアプリ連携にも注意が必要。情報を得ることを目的とした友達申請や、悪用目的のアプリ連携も存在する。これらの許可は慎重に行いたい。

SNSには「そもそも誰に知られてもいい」情報を書く

SNSのサービス自体も、情報の取得を目的にサイバー攻撃を受けている。しばしば情報漏えいが発生することもあるので、SNSにはそもそも情報漏えいの可能性のあることを前提に、登録するメールアドレスや個人情報を設定し、書き込みなどをするようにしたい。

パスワードの管理について

パスワードの貼り付け

管理するIDとパスワードが多くなると、ついメモしてモニターなどに貼り付けてしまいがちだ。これは新入社員よりも中堅以上の社員に見受けられる。厳に慎むべき行為だ。

パスワードの共有

ID管理が不十分な場合では、新たなIDの作成と管理を嫌って、パスワードを共有するケースも見受けられる。これは職務以上の権限を与えてしまう可能性もあるため、しっかりとID管理をすべきであろう。

スマホの利用

盗難対策

スマホは常に持ち歩くため、紛失や盗難に遭いやすい。企業貸与のスマホであればMDMで遠隔ロックなどをできるようにしておき、個人のスマホで一般的な生体認証などの多要素認証と併用するとよい。

狙われるSMS

スマホには、電話番号だけでメッセージを送れるSMS(ショートメールサービス)がある。近年ではSMSを利用したフィッシングである「スミッシング」が急増している。パソコンと違って画面表示に限界があるため、判断要素が少ないことも注意したい。これは一般的なメールでも同様だ。

偽アプリ

スマホ向けのアプリには、便利アプリのふりをした悪性アプリ(ウイルス)も存在する。iOSもAndroidもアプリを登録する際に審査されているはずなのだが、その審査をすり抜けるものも少なくない。アプリをインストールする際には、アプリの権限や発行者に問題がないかなどを調べるべきであろう。

共有機能(AirDrop、ニアバイシェア)

iOSには「AirDrop」、Androidには「ニアバイシェア」という、複数のスマホ間でのデータ送受信機能が用意されている。仲間内で写真を共有するといった場合に便利だが、この機能を有効にしていると第三者から画像が送りつけられることがある。いわゆる「AirDrop痴漢」である。使わないときには無効にしておこう。

クラウドサービスの共有

クラウドストレージサービスを利用することで、スマホのメモリー容量を軽減できたり、メールで送れないような大容量のファイルの受け渡しが可能になったりする。しかし、うっかり共有フォルダにアップロードしてしまい、情報漏えいにつながる可能性もある。

Wi-Fiの利用

野良Wi-Fiの利用

駅やホテルなど、Wi-Fiを利用できるスポットは多い。しかし、パスワードが不要なサービスには注意が必要。通信が暗号化されないため盗聴や情報窃取の危険性がある。また、そもそも悪意を持って公的・正規アクセスポイントを偽装している可能性もある。

テレワーク下で気をつけたいこと

業務端末の私的利用

企業からテレワーク用に貸与されているパソコンやスマホでは、許可されていないウェブサイト閲覧やアプリのインストールなど、個人的な利用は避けたい。マルウェア感染や情報漏えいのリスクがある。

家族による業務端末の利用

テレワーク用のパソコンやスマホを、家族が使用してしまうリスクも意識したい。子供がこっそりとショッピングサイトで買い物をしたり、ゲームアプリをインストールしたり、課金に応じてしまう可能性もある。これらの行動は企業に金銭的な被害を与えてしまう。

シャドーITの危険性

Wi-Fiアクセスポイント、HDDなどの勝手な設置

Wi-FiアクセスポイントやHDDなどの機器は低価格化が進んでいるため、個人や部署単位でこれらを勝手に購入して使用するケースもある。これらは企業の管理外にあるため、脆弱性を突かれ共有機能を悪用されることもある。

私物パソコン・スマホの社内ネットワーク接続

オフィスワークの際に、私物のパソコンやスマホを社内ネットワークに接続することは、大きなリスクを伴う。特に、検疫などの対策を行っていない場合には、パソコンに潜伏していたマルウェアが社内に拡散する可能性がある。また、スマホにパソコン向けのマルウェアが潜伏するケースもあるため、注意したい。

「デジタルネイティブ世代」の社員教育に【大塚IDビジネスeラーニング】

目次へ戻る

3. まとめ

企業がITを活用していくためには、管理や運用、ポリシーなどの整備が必須となる。そして権限の最小化とユーザー、デバイス、アプリケーションなどをコントロールしていくことが重要だ。まずは新入社員以外の従業員が正しくITを活用し、お手本となることが必要であろう。

ITリテラシーを企業で醸成するには、さまざまなガイドラインなどの活用が近道といえる。例えば、IPA(情報処理推進機構)が2022年12月に「デジタルスキル標準(DSS)」を策定している。DSSには「DXリテラシー標準(DSS-L)」と「DX推進スキル標準(DSS-P)」があり、DSS-Lは「全てのビジネスパーソンが身につけるべき能力・スキルの標準」としている。このため、ITリテラシーの向上に有効と考えられる。

ITリテラシーを身につけることで、自分の行動に関わるリスクを意識するようになり、「うっかりミス」を減らすことができる。まずは、こうした「うっかりミス」が企業の事業継続にも影響することを認識することが重要といえる。

IPAが策定した「デジタルスキル標準(DSS)」のDSS-L

転載元:IPA/経済産業省「デジタルスキル標準ver.1.0」

目次へ戻る

関連記事