[エンタープライズセキュリティを実現する3つの条件、全方位から迫る攻撃による情報漏洩を防ぐ]

エンタープライズセキュリティの3条件─条件1:従業員を狙うサイバー攻撃を防ぐ

2015年6月3日(水)相原 敬雄(ジェムアルト IDP事業部 メジャーアカウントセールス担当ディレクター)

2014年に全世界で発生したデータ漏えい事件は1500件を超え、漏えいした機密情報は10億件に上る(蘭Gemalto調べ)。2013年と比較すると、データ漏えい事件数は49%、情報の盗難や消失は78%、それぞれ増加した。情報漏えいの原因は、社外からのサイバー攻撃や社内からの持ち出し/流出などであり、重要情報には社内外の“全方位”から攻撃の手が迫る。エンタープライズセキュリティの条件の第1は、従業員に対するサイバー攻撃を防ぐことである。

 ICカード市場で世界トップシェアを持ちセキュリティ関連事業を営む蘭Gemalto(ジェムアルト)は、データ漏えいの深刻度を表す指標「Breach Level Index(BLI)」を作成し公開している。

 BLIによれば、サイバー犯罪者が掲げる最大の目的は、個人情報(ID)の窃盗で、2014年には全データ漏えいの54%と過半数を占めている。特筆すべきは、この数字は、金融データの入手を目的にしたデータ漏えいよりも高いということだ。

 当然、個人情報のデータ漏えいは、より深刻度が高い。2014年に発生した最も深刻度が高いデータ漏えい事件は50件あるが、その3分の2を個人情報の漏えいが占める。漏えいした情報の件数が1億を超える大規模な事件も、2013年から倍増している。

 日本でも、2014年には多くの企業が情報漏えいを起こしている。例えば、ベネッセコーポレーションでは、外注先の派遣社員により2000万件を超える顧客の個人情報が不正に持ち出されるという事件が発生した。他にも、「JALマイレージバンク」のWebサイトへの不正アクセス、JR東日本の「Suicaポイントクラブ」におけるアカウントのハッキング、LINEアカウントの乗っ取りやマルウェア(Malware)のホスティングを起因とした漏えいなどが記憶に新しい。いずれもが、個人情報や金銭、企業イメージの損害につながる事件である。

データを中心に全方位からの攻撃を受けている

 こうしたデータ漏えいの主な原因は大きく次の3つである。

(1)従業員へのサイバー攻撃
(2)社内の犯罪活動(内部犯行)
(3)顧客が利用しているサービスインフラへの攻撃

 すなわち、個人情報などの重要データに対し、企業の外から中へ、中から外へ、あるいは企業の枠を飛び越えたモバイル環境へと“全方位”から情報を盗み出すための攻撃を受けているわけだ(図1)。

図1:企業が持つ重要情報は全方位から狙われている図1:企業が持つ重要情報は全方位から狙われている
拡大画像表示

 企業は今後、従来のセキュリティの中心的な考え方である外部からのサイバー攻撃を防御だけでなく、内部のスタッフによる不法行為を防止するためのセキュリティ対策、そして顧客を守るセキュリティ対策の3つに取り組まなければならなくなっている。エンタープライズセキュリティを実現する3つの条件は、これら3つの施策を確実に実施することに他ならない。

 以下では、第1の条件である、従業員へのサイバー攻撃への防御策について説明する。

 防御策を説明する前に、従業員へのサイバー攻撃の現状を整理しておこう。まず理解しなければならないのは、サイバー攻撃のターゲットは、システムそのものよりも人そのものだということだ。なぜなら、合法的なユーザーIDで企業ネットワークへアクセスするのが狙いだからだ。そのため、従業員をターゲットにしたハッキングが増えている。そして、その対象には、トップレベルの経営幹部や特別な権限を持つユーザー、さらには派遣社員までもが含まれる。

 合法的なユーザーIDを入手するために、最もよく使われている手口には、以下のようなものがある。

手口1:デバイスの紛失、盗難

 情報保護などに特化した調査会社である米Ponemon Instituteの調査によれば、ラップトップPCは53秒に1台の割合で盗まれている。盗み出したデバイスには、企業の機密情報が格納されていることがあるからだ。ハッカーは、そうした情報を使って企業のITシステムに“正規に”アクセスできる。

手口2:APT(Advanced Persistent Threat:持続的標的型攻撃)

 特定の企業や団体に対し、様々な手法を駆使して執拗かつ継続的に行われるサイバー攻撃である。攻撃者は特定のターゲットがもつ脆弱性を突いて企業のシステムにアクセスし、見つからないようにしながら長期間に渡り、それを利用する。

 APTの狙いは、ターゲットに損害を与えることではなく、機密情報を盗み出すことにある。金銭やビジネス、政治的動機を背景に、主に知的財産や組織の機密、政府データへのアクセスに使われている。

手口3:マルウェア(Malware)

 現在も多くの組織がリモートからのログインと認証にユーザー名とパスワードを使用している。このユーザー名とパスワードを盗み出すために使われるのが、マルウェアだ。「トロイの木馬」やキーロガー(Key Logger)などがある。

 マルウェアに感染したPCやネットワークは、ハッカーのコントロール下に置かれてしまう。管理者権限を使われ、事実上データの窃盗や生成、改変、削除が可能になる。またセキュリティソフトウェアからの検出を逃れる「ゼロデイ攻撃」が複合的に組み合わされている。

 ハッカーはまず、マルウェアをターゲットのシステム環境に埋め込む必要がある。よくある手口は、URLをクリックさせてマルウェアに感染させたり、フィッシングメールを送りつけ暗号化通信によってリモートコントロールが可能なマルウェアを感染させたりする方法だ。

手口4:不正アプリケーションおよびモバイルマルウェア

 ハッカーはPCを攻撃するのと同じように、モバイルOSやブラウザ、クライアントアプリケーションをターゲットにしてデータを盗み出し、不正アクセスを実現する。

 今日、エンドユーザーが自分のモバイルデバイスにアプリケーションをインストールすることは一般的になっている。しかも、これらアプリケーションが無料で提供されていることも珍しくない。次から次へと新しいテクノロジーが出現し、多くのデバイスがあふれている中、ITセキュリティでモバイルデバイスからの個人情報の漏えいを防ぐのは難しいのが現実だ。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
エンタープライズセキュリティを実現する3つの条件、全方位から迫る攻撃による情報漏洩を防ぐ一覧へ
関連キーワード

Gemalto / サイバー攻撃 / 情報漏洩対策 / オランダ / Thales / ICカード / 2段階認証

関連記事

トピックス

[Sponsored]

エンタープライズセキュリティの3条件─条件1:従業員を狙うサイバー攻撃を防ぐ2014年に全世界で発生したデータ漏えい事件は1500件を超え、漏えいした機密情報は10億件に上る(蘭Gemalto調べ)。2013年と比較すると、データ漏えい事件数は49%、情報の盗難や消失は78%、それぞれ増加した。情報漏えいの原因は、社外からのサイバー攻撃や社内からの持ち出し/流出などであり、重要情報には社内外の“全方位”から攻撃の手が迫る。エンタープライズセキュリティの条件の第1は、従業員に対するサイバー攻撃を防ぐことである。

PAGE TOP