いまやファイアウォール、ウイルス対策ソフトのみでは機密情報は守れない！

インターネット、PCをビジネスで活用する以上、セキュリティ対策を欠かすことはできません。一般的な対策としてはファイアウォール、ウイルス対策ソフトが挙げられますが、これらの対策だけでは現在のサイバー攻撃を防ぎきることは困難です。たとえば特定の企業を狙って行われる標的型攻撃の一例では、顧客や取引先を装ってメールを送り、受信者に添付ファイルを開くように仕向けます。そのファイルが実はマルウェアであり、ダブルクリックすると感染し、重大な機密情報の漏洩などの被害につながってしまうケースが急増しているのです。

こうして送られてくる標的型攻撃のメールは、ファイアウォールから見ると通常の通信と見分けがつかないため遮断ができません。さらに最近では新たな手口が次々に登場していることなどから、ウイルス対策ソフトにおけるマルウェアの検出率は低下し続けています。このため従来のファイアウォール、ウイルス対策ソフトのみの対応では、たやすく突破されてしまうのです。

そこで最近では、複数のセキュリティ機能を統合したUTM（Unified Threat Management）など、高度なセキュリティ機器が登場しています。しかし、残念ながら、これらの対策も導入しただけでは充分な効果は望めません。出力されたログをチェックして必要に応じて設定をアップデートするなど、セキュリティ対策への日々の運用が必須となるためです。効率的な運用のためにはセキュリティの専門知識を持つ専任の人材配置が必須となります。ここが一般的な企業が高度なセキュリティ対策の導入に踏み切れない最大の障壁になっているのです。

原因は人材不足による未対策？過去に起きたサイバー攻撃の被害例

そもそも、セキュリティ対策は収益につながる「攻め」の投資ではありません。万一の際に備える「守り」の投資です。このため多くの企業、組織ではどうしても優先順位が低くなってしまう傾向にあります。最新のサイバー攻撃に備えた高度なセキュリティ対策を人材不足などの理由に後回しにすると、情報漏洩などによる信用失墜、減収といった深刻な事態を招きかねません。ここでは実際に発生した、いくつかの被害事例を紹介します。

大手製薬会社へのサイバー攻撃でサーバー内のデータが暗号化

2023年6月、大手製薬会社グループのサーバー内のデータが暗号化されている事態が発生。ランサムウェアによる攻撃とみられ、同社グループの取引先関係者1万1,000件分の氏名とメールアドレスが流出した可能性があると発表しました。なお、通信販売などを利用した一般消費者の情報漏えいはないとしています。

宿泊管理サービスへの不正アクセスで国内宿泊施設に被害

2023年6月から、海外企業が提供する世界最大級の宿泊管理サービスへの不正アクセスで、国内の宿泊施設の被害が相次ぎ、21都道府県、118カ所の宿泊施設が被害を公表（2024年4月時点）。その手口は、まず宿泊施設に対して旅行者を装いメールを送信し、宿泊施設側がメールに記載されたリンク先からダウンロードしたファイルを開くと、PCがマルウェアに感染。宿泊管理サービスのシステム利用に必要なID、パスワードが盗まれます。それを悪用して、宿泊施設の予約客にフィッシングサイトに誘導するメールを送信し、カード情報を入力させるというものでした。

港のコンテナターミナルでシステム故障、2日間にわたり作業が停止

2023年7月、ランサムウェアの感染が原因で総取扱貨物量日本一の港のコンテナターミナルでシステム故障が発生。2日間にわたり、コンテナ搬出入作業が停止しました。リモート接続機器に脆弱性があり、そこからランサムウェアが侵入したものと見られています。

国内大手自動車メーカーへの不正アクセスによりアカウント情報流出

2023年7月、国内大手自動車メーカーは、自社サーバー機器を経由した不正な通信を検知。その後、外部セキュリティ専門家の調査により、システムのアカウント情報などを管理するシステム（ディレクトリサーバー）への不正アクセスが確認され、社員、協力会社社員、取引先担当者のアカウント情報、10万5,000件が外部へ流出した可能性があることが分かりました。

大手生命保険会社の元社員による契約者情報の持ち出し

2023年9月、大手外資系生命保険会社に在籍していた元社員が、同社を退職する際に約1,000名分の顧客管理リストを保管していたことが判明。同社の契約者から個人情報漏えいの疑いに関するお問い合わせがあり、調査をしたところ、元社員が転職先企業に顧客管理リストを持ち込み、転職先企業の営業活動に一部使用していたことが判明しました。

大手インターネット企業で約44万件の個人情報漏えい

2023年11月、大手インターネット企業が、不正アクセスを受け、ユーザー情報、取引先情報、従業者などに関する情報、合わせて約44万件の情報が漏えいしました。原因は、同社の関係会社が業務を委託する企業の従業員のPCがマルウェアに感染したことでした。関係会社と委託先企業が使う認証基盤が大手インターネット企業と共通だったことから、委託先企業の従業員のPCからも不正アクセスが可能だったということです。

大手コンテンツ発信企業グループがサイバー攻撃を受け、サービス停止

2024年6月、出版・映像・ゲーム・Webサービスなどのコンテンツを発信する大手企業グループが、サイバー攻撃を受け、複数のWebサイトなどで故障が発生し、サービスが停止。さらに、約25万人の個人情報が漏えいしました。原因は、グループ企業のデータセンターがランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になったことでした。

損保大手4社、代理店めぐる情報漏えいで計250万件の顧客情報漏えい

2024年8月、損害保険大手4社は、損害保険会社から保険代理店に出向している社員が、代理店で管理されていた同業他社の契約者情報（氏名、証券番号、住所、電話番号など）を自社に送っていたと発表。大手4社の情報漏えいの件数は、合わせておよそ250万件にのぼることが分かりました。

このようなサイバー被害は氷山の一角にすぎません。被害が社内に限定される表面化しない軽微なケースも含めれば、その被害件数は膨大なものになると考えられます。人手不足などを理由に後回しにするのではなく、最優先で取り組みたい施策といえるのではないでしょうか。

複数対策の並行実施で安全性を強化！率先したいセキュリティ対策4選

巧妙化するサイバー攻撃の背景と実際の被害事例を解説してきましたが、最新のセキュリティ対策ではこれらをどう防いでいるのでしょうか。ネットワーク経由のサイバー攻撃から自社の情報資産を守るためのセキュリティ対策は、単一の対策だけでは効果は限定的です。複数の対策を並行して実施することが重要になり、優先すべき対策は以下の4つに大別できます。

ウイルス対策

外部からのコンピューターウイルスの侵入を防止する対策です。フィッシングサイトなどの危険なサイトへの接続を防ぐWebフィルタリング、不正侵入の検知、ネットワークの入り口でウイルスをブロックする機能などを備えたUTM（統合脅威管理）による対策が有効です。

通信の暗号化

ウェブサイトを安全に運用するためには、SSLによるサイトの暗号化が不可欠です。SSLはサイトでやりとりされる通信内容を暗号化して、通信内容が悪意ある第三者に解読されることを防ぐ技術です。インターネットを利用する場合、通信の暗号化はセットで考えるべきです。

認証プロセスの設定

企業ネットワークでは外部からの無関係なアクセスを拒否する認証技術は欠かせません。認証のプロセスでは、自社サーバーなどへのアクセス時にあらかじめ登録されたユーザーID、パスワード情報を照合し、合致するユーザーのアクセスのみを許可します。さらに社内のデータについても、個人や事業部門ごとにアクセス可能なデータを制御するための認証を行います。

不正侵入防止

不正アクセス対策には「IDS（不正侵入検知システム）」と「IPS（不正侵入防御システム）」の2つがあります。IDSは不正アクセスや異常な通信を検知したときに管理者に通知するシステムです。ただし管理者が通知を受け取り、対応を実施するまでの間に被害が広がってしまうおそれがあります。一方IPSは、不正アクセスや異常な通信を検知すると同時に自動で通信を遮断するシステムです。IDSよりリアルタイムな対応ができるため被害拡大を防ぐ効果があります。

人材・技術不足でもセキュリティ対策ができる！

いざ、最新の脅威に備えた総合的なセキュリティ対策を実施したいと考えても、社内にセキュリティに詳しい人材がいない、あるいは運用にリソースを割けないケースは少なくありません。そこで検討したいのが、セキュリティ対策を含めた総合的なサポートをアウトソーシングきるNTTコミュニケーションズの「Network Support Services（NSS）」です。

実績豊富なエンジニアによるきめ細かいコンサルで既存ネットワークシステム環境の課題を洗い出し、新たな環境の導入検討から設計・実装、さらに導入後の運用保守まで一元的にサポート。自社の状況に最適なネットワーク設計やセキュリティ対策が可能になります。もちろん、先に挙げた4つのセキュリティ対策を含む、最新の脅威を想定した仕組みの構築、継続的な改善、運用までをワンストップでお手伝い。サイバー攻撃に関する人員、稼働を不要にします。

「セキュリティ対策の必要性を感じながらも、具体的な対応策がわからない」「慢性的な人材不足で人的リソースが足りない」「最新の脅威に備えて、継続的にセキュリティ対策の強化したい」といった課題をお持ちのお客さまには、このようなアウトソーシングサービスを活用して安全、安心なネットワーク環境を構築、運用されてみてはいかがでしょうか。

※Arcstar Universal Oneまたは法人向けOCNサービスのご利用が本サービス提供の対象になります。