【必見】情シスに必要なサイバーセキュリティスキル2019

平成も終わり、新元号“令和”の時代もITは日々進歩します。しかし、その裏でサイバー犯罪も進化し続けています。企業活動を支える情シスにとってセキュリティリスクマネジメントスキルは必須であるといえるでしょう。新時代を歩む情シスに必要なセキュリティスキルの中身とは?

新時代、令和。これからのセキュリティスキル

2019年5月1日から新元号「令和」の時代が始まりました。世の情シスたちは、元号変更にともなうシステム改修を終え、実稼働を横目で気にしながらもほっとしているところではないでしょうか。

さて、この新時代を迎え、気分も新たに歩き出そうとするこの時期こそ、一度少し立ち止まってセキュリティについて考えてみるのはどうでしょうか? IoTやディープラーニングなどの新技術が次々と台頭してくるように、サイバー犯罪も次々と新しい技術や手口を使って、すぐ近くの窓の下まで押し寄せてきているのです。

カスペルスキーの調査では2018年の一年間に検出されたサイバー攻撃の種類は21,643,946個にも及び、トレンドマイクロの2018年度の調査では国内組織での重大被害発生率は42%、また企業ネットワーク内でのインシデント発生率は34%と前々年度から増加を続けています。自社で今まで何も大きなインシデントがなかったとしても、外部に開かれたWebシステムを持っていない企業でさえも、サイバー犯罪がまったくの他人事だとは言い切れない状況なのです。


(出展:トレンドマイクロ「法人組織におけるセキュリティ実態調査 2018年版」)

こうしたサイバー犯罪からどのように自社を守っていけばいいのでしょうか? 皆さんもおかっぱ頭の5歳児に「ボーッと生きてんじゃねーよ!」と叱られないように、改めて情シスに必要なサイバーセキュリティスキルについて見直してみましょう。

 

自社システムで守るべきものは何か?を見極めるスキル

日々企業活動を下支えするIT周りを管理する情シスたち。「ウイルス対策製品は入れているけど、それで本当に十分かといわれたら・・・」「やった方がいいのはわかっているけど、予算もないし・・・」とあきらめてしまいがちな情シスのなんと多いことか!
もちろん、予算には限りがあるため全ての対策を万全に行うことはできません。そもそもセキュリティに関して「万全」という状態はないのです。自社にとって最適な解はどんな形なのか、自社システムの傾向によるセキュリティ対策の重みづけを行って考えてみましょう。

セキュリティ対策は、自社のシステム特性を考慮して構成されなければなりません。情シスは、守るべき「重要なデータ」や「システム上のポイント」を明確にし、それらをどのレベルで守るのかを定めます。例えば、どのデータが重要で、誰がアクセスできるのか、どういう経路でアクセスされるのか、もし漏洩するとどのようなリスクがあるのかを把握し、システム側の対策とルール整備など運用面の対策を考えるのです。

そして、日々変わる業務体制や新機器導入などの際に、その守るべきものを毎回見直す必要があります。特に、在宅ワークの広がりなどでBYOD(Bring your own device、私的端末の業務利用のこと)で使用する端末が増えたり、契約回線数が増えたりする場合、忘れずにセキュリティ対策を施すことが大切です。
(参考:【情シス基礎知識】MDMで忘れちゃいけない3つのポイント(Android編)

 

最新のサイバー犯罪傾向をつかみ対応するスキル

次は現在流行しているサイバー犯罪手口を知っておきましょう。セキュリティの世界は日進月歩で、日々新たな詐欺手口や不正サイトが現れています。

2018年に多かったサイバー被害は?その対策は?

JPCERT/CCによると、2019年最新のセキュリティインシデント報告例の中で、フィッシングサイト(正規のサイトに似せた不正サイトにユーザーをアクセスさせ、パスワードなどを盗む手口)によるものとスキャン(システムの脆弱性を探索する手口)によるインシデントがそれぞれ35%以上で大部分を占めています。


(出展:JPCERT/CCインシデント報告対応レポート

フィッシングサイトは、一般的に使われているGoogle ChromeやMicrosoft Edgeなどのブラウザのセキュリティ機能で、ある程度は検出することができます。業務では必ずそうしたセキュリティ機能のあるブラウザを使うようにしましょう。また、システム上での検出技術も防御の一助となりますが、この手口はユーザーが騙されて情報を入力しないと成立しないので、ユーザーである一般従業員へのセキュリティ教育も欠かせません。

2019年は法人向け詐欺、増える接続デバイス、脆弱性に注目!

2019年4月に発表されたIPAのセキュリティ脅威のランキングでは、標的型攻撃など法人向け詐欺が組織への攻撃の上位を占めています。


(出展:IPA「情報セキュリティ10大脅威 2019」)

これらの法人向け詐欺とは、情報の盗み見やネットで収集した情報から実在する従業員個人(部署)に狙いを定めて、詐欺メール送付やフィッシングサイトへの誘導を行うという攻撃です。(参考記事:「【セキュリティ基礎知識】気をつけよう!企業向けフィッシング詐欺」、「【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺」)

また、トレンドマイクロは2019年のセキュリティ脅威を以下のように予測しています。

  • ホームネットワークを利用した在宅勤務が企業のセキュリティリスクとなる
  • 産業制御システムを狙う実世界の攻撃への関心が高まる
  • より多くのクラウド関連ソフトウェアの脆弱性が確認される
  • 既知の脆弱性を利用した攻撃が圧倒的多数となる

・ホームネットワーク利用
働き方改革の施行により在宅ワークが増える傾向にあります。そうなると、従業員自宅から企業のネットワークに接続することになり、そこがセキュリティホールとなりうるのです。セキュリティ機能を搭載したネットワーク機器の導入や、VPN、DaaS/SaaS利用などを検討し、社内ネットワークへの外部からの不正侵入を防げるようにしましょう。もちろんデバイスの保護も忘れずに。

・産業制御システム
今までオフラインで稼働していた工場など産業分野のシステムが、今後は全体効率化のためネットワークにつながるようになり、そこが新たに狙われるということです。産業業界でなくても、旧来の事業のデジタル化で今までオフラインまたはオンプレミスで動いていたシステムがオンラインになるときには注意が必要です。IoTの出始めの時期、もともと情報セキュリティとは縁がなかったメーカー企業がIoT製品を作り、デフォルトパスワードのまま運用してしまうことによりサイバー攻撃の標的になるといったことが多発したことがありました。

前述のホームネットワーク利用と同じで、システムが新たにインターネットにつながるということは、情シスから見れば新たに守るべき対象が増えるということです。端末側もネットワーク機器側も、守るべき対象を見落とさないようにしましょう。

・脆弱性
最後の二つはどちらも脆弱性が攻撃対象になっていることへの警鐘です。特に、企業で利用が増えているクラウドソフトウェアは標的になりやすいのです。こうしたソフトウェア脆弱性は、ユーザー自身が直すことができないため対応しにくいものもありますが、少なくとも古いバージョンを使い続けたりセキュリティアップデートを入れずに放置したりすることは絶対に避けましょう。

 

一人で戦うより、セキュリティに強い組織を作るスキル

情シスがどんなにがんばってセキュリティ対策をとったとしても、インシデントは人為的ミスによっても発生するものであり、システムだけの対策では防ぎきれないものです。そうした人為的な面に関しても、対策を打っておく必要があります。
一般従業員へのセキュリティ教育、定期的な啓発を行いましょう。最新のサイバー犯罪動向で狙われているのは実在する個人であり、従業員ひとりひとりが気を付ける必要があるのです。
インシデント対応専門チームCSIRT、システム監視センターのSOCを設置する企業も増加傾向にありますが、依然として、多くの企業では情シスが少ない人数でセキュリティ対策を含む膨大な業務を抱えています。セキュリティの重要性を社内で共有し、情シス以外の部門でもセキュリティ意識を高めていくこと。それが結果的に、従業員個人レベルでの被害の回避、インシデント対応の迅速化と被害の極小化につながり、さらに予算確保までこぎつければセキュリティ製品の導入に体制強化など、さらにセキュアな企業活動へとつながるのです。

 

まとめ

サイバー攻撃対象は、かつてのように大企業の情報やサーバーだけではなくなりました。攻撃手口は年々増えていき、中小企業それに個人さえも狙われています。企業が扱う情報もデバイスも増えて“守るべきもの”が大増殖する中、「何を」「どの脅威から」「どの程度まで」守るのかを明確にしないと、セキュリティ対策費は青天井です。守るべき対象を定め、最新の攻撃手口や被害傾向をしっかりチェックすることが効果的なセキュリティ対策の第一歩となります。そして今一度組織としてのセキュリティ意識を高め、令和という時代に乗り出していきましょう。

 

【執筆:編集Gp 星野 美緒】

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る