ビジネスセキュリティ
年が明けてから2か月が過ぎようとしています。今回の記事のお題は、「オフィスのサイバーセキュリティのための4か条」です。職場のサイバーセキュリティにまつわるありがちな問題と、その問題を解決(少なくとも軽減)する方法とは、どんなものでしょうか。なお、当然ながらここに挙げたものがすべてではなく、これ以外にも問題はいくらでもあります。では一つずつ見ていきましょう。
ケース1:他の人に自分と同じだけ知識があると思うな
Aさんはサイバーセキュリティの担当者ではありません。中規模企業の最高財務責任者(CFO)ですが、以前からフィッシングを警戒するように心がけており、フィッシングメールと普通のメールを見分けるのもお手のものです。
IRS(米国国税庁)を名乗る差出人からのメールが届いたとき、Aさんは不審に思いました。一見問題はなさそうに見えるのですが、日付が少し妙でした。時期外れ…いつもよりずっと早いのです。
とはいえ、もう夜も遅く、終業時刻を過ぎています。今日のところは深追いせず、差出人を確認できるまでは添付ファイルを開かないことにしました。確認は翌朝にしよう、と思ったのです。
翌日、あいにくAさんは終日外出しなければなりませんでした。自分の不在中はアシスタントがメールを処理することになっていたのですが、アシスタントはAさんほど経験豊富ではなく、フィッシングの手口に引っかかってしまいました。
解説
ありそうもない話だと思うかもしれませんが、そんなことはありません。幹部のメールの処理を適任でない人物に任せたのは、Aさんのミス(というより会社全体のセキュリティポリシーの不備が原因)でした。幹部は、フィッシングやAPTの標的にされやすい立場なのです。
被害を未然に防ぐ対策として、フィッシングに関して社員教育を実施することをお勧めします。また、カスペルスキーの脆弱性攻撃ブロックなど、脆弱性が悪用されるのを自動的にブロックする機能の導入によって、エクスプロイトが内部に侵入するのを阻止することも可能です。
ケース2:お客様はあくまでお客様
終業時刻の間際にBさんの友人がオフィスを訪ねてきましたが、これが問題になるとは、Bさんは思いもしませんでした。タブレットでWi-Fiを使えるかと聞かれて、Bさんは会社の内部ネットワークのパスワードを友人に教えました。ところが、友人のタブレットは安全でもなければ、クリーンな状態でもなかったことが判明し…
解説
このような状況が考えられるからこそ、ゲスト用ネットワークというものがあるのです。Bさんが部外者をネットワークの内部に招き入れた行為は、明らかに会社のセキュリティポリシーに違反しています。部外者本人に悪意がなくても、デバイスに入っていたマルウェアには悪意があるのです。
ゲスト用ネットワークは内部ネットワークと完全に分離し、両ネットワーク間のデータのやりとりはごく限られた範囲内に留め、厳密に管理しなければなりません。そうしないと…来客のデバイスから内部ネットワークに忍び込んだAndroid向けマルウェアを取り除くだけで済んだのであれば、幸運といえるでしょう。
ケース3:獲物を奪い去る猛禽に注意せよ
Cさんは元々喧嘩に強いタイプではありません。ましてや夜、暗い路地裏を一人で歩いているときに複数の相手に襲われたとなれば…。暴漢どもはCさんのスマートフォンを奪って行きました。幸いなことに、体のダメージは自尊心にくらった傷ほどではありませんでした。しかし、彼は別の理由で不安に駆られていました。スマートフォンには仕事のファイルが保存されており、良からぬ意図を持った者の手に渡ることがあってはならないものだったのです。そして、あってはならないことが起きました。
解説
この場合、スマートフォンが会社のIT部門に登録済みで適切な対策が講じられていたかどうかによって、問題の大小が変わってきます。
スマートフォンに企業向けのセキュリティ製品と盗難対策ツールが実装されていれば、すぐにスマートフォンを取り戻すなり、機密データをリモートで削除するなりの手段を執ることができます。最悪でも、犯人がスマートフォンを売り払おうとする前に、スマートフォンを役に立たない「ただの塊」にしてしまうことができます。
事前対策が講じられていない場合、影響は会社全体に及ぶ恐れがあります。Cさんはたまたま狙われたのではなくてCさんのスマートフォンが暴漢に狙われていた、という可能性は薄そうです。そんな筋書きがあり得るのは『ミッション:インポッシブル』ばりのスパイ映画くらいでしょうが、「事実は小説よりも奇なり」と言いますから、まったくあり得ないと切り捨てるのも考えものです。
BYOD(個人デバイスの業務利用)が実施されている職場では、業務に関連するデータを持つすべての人、そしてすべてのデバイスがネットワークのエンドポイントとなり、どれも保護が必要です。すべてを保護するには、IT部門がそうした「エンドポイント」の存在を認識していることが大前提であり、なによりもまず、業務利用される個人所有のデバイスの存在を把握することが肝要です。
ケース4:付箋とWebカメラに注意
1にも2にもパスワード。日常業務の中で、嫌になるほど沢山のパスワードを覚えなければなりません。1つのパスワード、または似たようないくつかのパスワードを使い回したり、付箋にメモしてデスク周りに貼っておいたりしたくなる気持ちが、ついつい芽生えるものです。
Dさんがしたことは、まさにそれでした。記号、アルファベット、数字を組み合わせた、推測しにくく破られにくい難解なパスワードを、いくつか付箋にメモして壁に貼っていたのです。
Dさんの勤務先のネットワークに何者かが侵入し、このパスワードを使ってネットワークが荒らされたとき、Dさんは非常に困った立場に置かれました。調査の過程で、壁に貼っていた付箋が近くのノートPCのWebカメラで撮影されていたことが判明したのです。
解説
パスワードは、誰かれ構わず見せるべきものではありません。どれがどこのパスワードなのか誰も推測できなさそうに思えても、誰にでも目に付く場所に置いておくのは、たとえば平文でメールを送るのと同じくらい危険です。
安全な方法は、適切なパスワード管理ツールを利用することです。それならマスターパスワードを1つ覚えるだけで済みます。
少々神経質過ぎるくらいが賢明
さて、職場で起こり得るサイバーセキュリティ事件の例を4つほど紹介しました。作り話に思えるかもしれませんが、どれも現実を反映しています。たとえば、サイバー攻撃者は本当にWebカメラを使って情報収集をしています(Carbanakの例を思い出してください)。
職場におけるサイバーセキュリティ対策をすべて網羅した「規範集」を作ろうとすれば、この4か条どころでなくなってしまいますが、まず基本として以下の4つを押さえましょう。
- フィッシングを成功させないために、できることをすべてやるべし(フィッシングメールは、多種多様な攻撃で「きっかけ」としてよく使われます)
- ゲスト用ネットワークを設置し、常に内部ネットワークから分離された状態にして、社員以外の誰にも内部ネットワークを使用させないようにすべし
- BYODを導入している場合、「外来」のデバイスに対しては、いわゆる「人を見たら泥棒と思え」式のアプローチをとるべし。管理者は社員が仕事にどのデバイスを使っているかを常に把握し、万一紛失や盗難があった場合、または所有者が退職する場合には、デバイス内の業務データをリモート消去する「緊急停止ボタン」を使える状態にしておくこと
- パスワードは他人に教えず、本人だけがわかるようにすべし。パスワードマネージャーを使うのが最善の方法で、付箋に書いて壁に貼るのは最悪の方法
この他に、SNSの利用は業務上必要でない限り制限すべし、ファイル共有やクラウドの利用はどうしても必要でない限り制限すべし、と付け加えても良いかもしれません。少々度が過ぎるように思われるかもしれませんが、失うと困るものがあるときは、失わないためにできることはすべてやった方が得策です。
ヒント