企業や団体へのサイバー攻撃が相次いでいますが、その脅威に対しどのような考え方で立ち向かえば良いのでしょうか。セキュリティー企業は「ゼロトラスト(何も信用しない)」と呼ばれる手法を提唱しています。情報システムの外部だけを警戒するのではなく、システム内部の情報のやりとりにも注意を払う必要がありそうです。(共同通信=角亮太)
▽VPNの欠陥を突いて侵入
これまでのサイバー対策はシステム外部のインターネットを危険とみなし、システム内部を厳重に防御することを重視していました。コンピューターウイルス対策や迷惑メール遮断などの機能を持つIT機器で「ファイアウオール」と呼ばれる防御態勢を築き、外部からの不正アクセス遮断に重点を置いていました。
しかし、企業や団体は内部のサーバーにデータを保存せず、外部のサーバーに保存したデータをネット経由で使う「クラウドサービス」を活用するようになっています。また新型コロナウイルスの流行によってリモートワークが進み、自宅から社内ネットワークに接続することが当たり前になりました。
リモートワークにはVPN(仮想専用線)機器が広く利用されていますが、ハッカーに機器の欠陥を突かれてシステムに侵入される被害が相次いでいます。従業員がウイルスに感染した私物のパソコンやソフトウエアを仕事に使おうとして、社内ネットワークに接続するかもしれません。システムの内部と外部を分けて対策を考えることが現実的でなくなっています。
▽2段階認証を推奨
セキュリティー企業は「ゼロトラスト」の考えに基づき、例えば、従業員からのアクセスを「従業員を装った悪意のあるアクセスかもしれない」と疑い、パスワード入力に加えて、スマートフォンにショートメッセージサービス(SMS)で送った1回限りの暗証番号を確認する「2段階認証」を取り入れることを勧めています。
システム内部の動きを常に監視し、攻撃をいち早く察知して対策を素早く取れるようにすることも効果的です。従業員の業務内容に応じて、アクセスできるシステムやデータの範囲を決めておけば、従業員に成り済ましてシステムに侵入されたとしても、被害を最小限に抑えることができます。
▽後回しになりがちな態勢づくり
ゼロトラストのほかには、企業や団体が主体的にサイバー対策に取り組む態勢づくりも重要です。情報システムの制作を請け負う「ベンダー」と呼ばれるIT企業に対策を丸投げしていたところ、契約対象外のIT機器の欠陥からウイルスに感染し、重大な被害につながった事例がありました。
サイバー対策に費用をかけても利益を出すことはないため、担当者を増やすなどの態勢づくりは後回しになりがちです。ベンダーや少数の担当者にサイバー対策を任せたままにせず、企業や団体の幹部が関与する仕組みを構築することが大切です。セキュリティー専門家は「人手不足の担当者は日々のシステム運用で手が回らない。ベンダーにとって当たり前の重要な欠陥情報を知らず、修正できていないことがある」と指摘しています。
身代金要求型ウイルス「ランサムウエア」を扱うハッカー集団は、匿名性の高い「ダークウェブ」にサイトを設けています。ダークウェブは犯罪者の巣窟となっており、ウイルス感染の危険が格段に高いため、セキュリティー企業はアクセスを避けるべきだと指摘しています。
解説!イチからわかる「サイバー攻撃」(1)
https://nordot.app/991188913910398976?c=39546741839462401
解説!イチからわかる「サイバー攻撃」(2)
https://nordot.app/991187805128966144?c=39546741839462401
