「リスクの見える化」は誰の仕事? 


 ――遠隔で働くあなたを守るのは

2020年03月31日  更新
[宮田健,ITmedia]

「企業のCISO等やセキュリティ対策推進に関する実態調査」報告書(出典:IPA)

 新型コロナウイルス感染症(COVID-19)の影響が日本でも広がる中、終わりの見えない状況を狙う者がいます。それは「サイバー犯罪者」。

悲しい話ですが、混乱に乗じて攻撃を仕掛けてくる例が増えてきています。
 情報処理推進機構(IPA)は2020年3月25日、「企業のCISO等やセキュリティ対策推進に関する実態調査」の報告書を公開しました。

各企業のCISO(最高情報セキュリティ責任者)に対してセキュリティに関する事業リスク評価の実施状況やリスク分析状況をヒアリングした結果をまとめたもので、日本企業の現状を赤裸々に表現しています。これによると、CISOにおける課題認識として「リスクの見える化が困難/不十分である」と答えた企業が全体の45.7%にのぼりました。


 IPAはこのレポートに加え、「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」も公開しています。

CISOのバイブルともいえる「サイバーセキュリティ経営ガイドライン」、副読本としての「CISOハンドブック」などとあわせて、ぜひご確認ください。
プレス発表 CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%:IPA 独立行政法人 情報処理推進機構
サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版:IPA 独立行政法人 情報処理推進機構


*急変する世界を狙う、さらなる「リスク」

 前述したレポートは、2019年10月に実施した結果調査をまとめたものです。つまり(当たり前ですが)COVID-19に特化したリスクについてのものではありません。

ただし「テレワーク」や「BYOD (Bring Your Own Device)における情報漏えい対策」「オンライン会議をベースとした仕事」などをどう考えていたかを推測するヒントになるでしょう。CISOの役割には「BCP(事業継続計画)の支援」も含まれ、今回の件についても、決して無関係ではありません。

 COVID-19との関連でいえば、この大きな話題に乗じた「詐欺」が想像できます。

例えば「新型コロナウイルス感染症に関する注意」や「オンライン会議の招集」「首都封鎖に関する情報」などを装ったフィッシングメールは、すぐに実行可能かつそれなりに開封率が高そうです。
 偽メールでマルウェアを実行させ、脆弱(ぜいじゃく)性が残る端末を踏み台にして社内のより重要なサーバに侵入するのは不正アクセスの常とう手段。アップデートの実施やフィッシングメール対策、マルウェア対策がこれまで以上に重要になるでしょう。
 さらに気を付けたいのは、いわゆる「ビジネスメール詐欺」(BEC)です。リモートでの情報共有に不慣れな状況を狙って経営幹部を装い、電話やメッセンジャーツールで振込先の変更を指示する「CEO詐欺」が考えられます。テレビなどで放送されたインタビュー映像から音声を抽出し、音声を合成するといった手口も研究されているそうです。
 有名人のスキャンダルなどをかたるフィッシング詐欺は日常的に行われています。世界中がCOVID-19の話題に注目する今、犯罪者にとってこれ以上の「ネタ」はないでしょう。それだけに、情報に潜む「悪意」に敏感になっておくことは重要と考えています。

 

*これまで発生した脅威の延長線上で考えて

 これまでは顔をつき合わせて行っていた情報共有が急にオンライン化され、戸惑っている人も多いでしょう。

ネットの先でやりとりしている相手が「本当に同僚なのか」を確認するのは、実は難しいのです。慣れないツールを使っている間の「緊急かつお金を動かす指示」については、電話や他部署への確認を怠らないなど、アナログな手法も並行して対応すべきでしょう。
 混乱に乗じた攻撃は非常にやっかいなものです。

しかし対策は「アップデートの実施」や「既知の脆弱性の管理」「フィッシング対策として攻撃者の手口を知る」「IDとパスワードをしっかり管理し、可能な限り二要素認証などを適用する」など、普段から重要なものがそのまま有効です。リスクをしっかり把握した上で、これまでの対策をしっかり行い、さらに強化しましょう。
 COVID-19対策に関しては、セキュリティベンダーを始め多数の参考資料が公開されています。

テレワークの合間のちょっとした息抜きに、ぜひこういった資料を読む時間も取ってみてください。きっといろいろな発見があるはずです。


メール・BLOG の転送厳禁です!!  よろしくお願いします。