経済広報

『経済広報』(2017年12月号)掲載
企業広報研究

広報業務におけるサイバーセキュリティ

中尾聡志

中尾 聡志(なかお さとし)
(株)NTTデータ セキュリティ技術部 コンサルティング担当 課長

広報業務におけるITの活用

 近年、企業などの広報業務で多くのITが活用されている。
 経済広報センターのウェブサイトに掲載されている「企業広報の基本」でも企業などの広報におけるウェブサイトやツイッターなどのソーシャルメディア活用について言及している。
 2014年10月から11月に実施された「第12回企業の広報活動に関する意識実態調査」によると、ほぼすべての企業(99.1%)が自社ウェブサイトを開設しており、ソーシャルメディアについては約半数の48.5%が活用していると報告されている。
 その後も、より一層企業の広報業務に関する様々な場面においてITの活用が進んでいることが予想される。

近年のサイバーセキュリティ脅威

 一方で、企業のITの活用には様々なサイバーセキュリティ脅威が付きまとう。
 近年のサイバーセキュリティ脅威については、経済産業省所管の独立行政法人である情報処理推進機構(以下、「IPA」)が、毎年「情報セキュリティ10大脅威」を公表している。「情報セキュリティ10大脅威」は2016年度分から、影響を受ける対象の違いから「個人」と「組織」という2つの分類がされているが、2017年5月30日に公表された「情報セキュリティ10大脅威 2017」の「組織」編では、「標的型攻撃」「ウェブサービスからの個人情報の窃取」「ウェブサイトの改ざん」などが継続して社会的に影響を与えていること、「ランサムウェアによる被害」「IoT機器の脆弱性の顕在化」などが、近年より一層注目されていることが見て取れる。
 では、これらの脅威は企業の広報業務におけるITの活用にも関係するのだろうか?

表1 情報セキュリティ10大脅威 2017

昨年
順位
個人 順位 組織 昨年
順位
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求などの不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 ランク外
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化
(アンダーグラウンドサービス)
ランク外
ランク外 IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位
(https://www.ipa.go.jp/security/vuln/10threats2017.html)

ランサムウェア

 2017年5月中旬から、「WannaCry(ワナクライ)」と呼ばれるコンピュータウイルスが世界中で猛威を振るった。ホンダが工場などの複数拠点で感染し一部の生産に影響があったことを含め、日本国内で2000端末以上、世界で150カ国・30万件以上の被害があったと報道されている。(※1、2)
 このWannaCryがランサムウェアと呼ばれるコンピュータウイルスの一種である。ランサムウェアは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるため、身代金を意味する「Ransom」という英単語からランサムウェアと呼ばれている。WannaCryは一部のWindows operating systemを搭載したPCを対象に感染するが、感染するとPCのファイルが暗号化され使用できない状態になる可能性がある。図1に示すような画面が出力され、暗号化を復元するために身代金を支払うことを要求する。

図1 WannaCryへ感染した場合に表示される画面の一例

(https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html)

 WannaCryの場合、Microsoft社が2017年3月にリリースしたアップデート「MS17-010」に含まれる脆弱性に未対処であり、かつ特定の通信を許可している場合に感染し、いったん感染すると、ネットワークに接続された周辺に存在する一部のWindows operating systemを搭載したPCに拡散を試みる。そのため、以下のような対策が必要であった。
(1)ネットワーク接続設定の修正
(2)Windows operating systemに関する脆弱性の解消(修正プログラムの適用)
(3)セキュリティソフトの導入・更新
 不特定多数とのやり取りが発生する機会の多い広報業務においてもWindows operating systemを搭載したPCが利用されている場合、このWannaCryの被害に遭う可能性は十分に考えられ、WannaCryに限らず、今後新たに発生するであろうランサムウェアに備える必要がある。

※1 https://www.nikkei.com/article/DGXLASDZ21H9Y_R20C17A6EAF000/
※2 http://www.nttdata.com/jp/ja/news/information/2017/pdf/NTTDATA_wannacry_report.pdf

標的型攻撃

 2015年6月、日本年金機構から125万件の個人情報が流出した可能性があることが報道された。(※3)この被害を引き起こしたのが「標的型攻撃」と呼ばれる攻撃手法である。
 「標的型攻撃」では、企業など特定の組織に対して、メールの添付ファイルやウェブサイトを利用することによりPCをウイルスに感染させ、そのPCを遠隔操作することにより感染を拡大し、最終的に個人情報や業務上の重要情報を窃取する。
 感染に利用するメールが、ごく少数または特定された範囲のみに対して送られ、かつメールを受信した人に添付ファイルや本文中のURLリンクを開かせるため、業務に関係するメールを装ったり、興味を引かせる内容や、添付ファイルの拡張子を偽装するなどの細工が施されたりしていることから標的型攻撃と呼ばれている。
 図2が標的型メールの一例だが、本文中のリンクはダミーで、実際には悪意のあるウェブサイトにアクセスさせられてしまう。
図2 標的型メールの例(IPA『標的型攻撃メールの例と見分け方』P10)

(https://www.ipa.go.jp/files/000043331.pdf)

 この例だと公的機関からのセキュリティに関する注意喚起を装っている(【ア-(3)】)にもかかわらず、差出人のメールアドレスがフリーメールアドレスである(【イ-(1)】)という特徴があるとIPAは解説している。
 標的型攻撃は、従業員などが受信するメールがウイルス感染の契機となるため、従業員など情報システム利用者個人による以下のような対策が必要になる。
(1)情報リテラシーの向上(怪しいメールは開かない など)
(2)OS、ソフトウエアにおける脆弱性の解消(修正プログラムの適用 など)
(3)セキュリティソフトの導入・更新
 さらにシステム管理者は、自身が管理する情報システムについて以下のような対策が必要になる。
(1)被害予防の対策
・ システム設計対策
・ 重要サーバーの要塞化(アクセス制御、暗号化 など)
(2)被害を受けた後の対策(ネットワーク分離 など)
(3)被害の早期検知(ネットワーク監視 など)
 広報部門においては、外部の関係者と電子メールを用いた情報のやり取りを頻繁に行いながら業務が遂行される。標的型攻撃も広報業務に深く関わりのあるサイバーセキュリティ脅威のひとつであると考えられる。

※3 https://www.nikkei.com/article/DGXLASDG01HCF_R00C15A6MM8000/

適切な対策が出来ている企業は驚くほど少ない

 筆者は普段コンサルタントとして、様々な企業や組織におけるサイバーセキュリティ対策に関する支援を行っている。誰もが知っているような大企業であっても前述したような脅威に対して適切に対策を施している企業は意外なほどに少ない。
 通常、企業などの組織で、ITシステムなどの情報セキュリティ対策を進めるために情報セキュリティ対策基準を含む、情報セキュリティポリシーを定めることが一般的である。しかしながら、情報セキュリティ対策基準を定めていたとしても以下のような理由から適切にセキュリティ対策が施されていないケースを多く見かける。
(1)リスクを根拠とした基準になっていない
 本来、企業などの組織において適切なセキュリティ対策を施すためには、ビジネス要件、リスク許容度、割り当て可能なリソースのバランスなどを考慮し、期待される成果として、自社におけるセキュリティ対策の実施状態を明確にした上で、情報セキュリティ対策基準などのルールを策定する必要がある。しかし、実際にはその期待される効果を明確にしないまま、業界のガイドラインやISOなどの規格に記載されているセキュリティ対策をそのまま自社の情報セキュリティ対策基準として列挙しているケースが多く見受けられる。
(2) 一度策定したきりで基準の見直しがされていない
 情報セキュリティ対策基準などのルールは、最新のサイバーセキュリティ脅威を踏まえながら適宜改定することで新たな脅威にも対応できる状態が実現される。しかしながら、多くの組織においては、一度情報セキュリティ対策基準などのルールを策定してから5年、10年単位で改定を行わないケースが多く見受けられる。それでは、より巧妙化する新たなサイバーセキュリティ脅威には対応できない。

何をすべきなのか?

 2014年2月に米国国立標準技術研究所が「重要インフラのサイバーセキュリティを強化するフレームワーク」(以下、「CSF」)を発表した。CSFは、サイバーセキュリティ対策のベストプラクティスとなる機能、カテゴリー、サブカテゴリー、参考情報の一覧をフレームワークコアとして定めており、フレームワークコアを参考にしながら、自組織のサイバーセキュリティ対策やビジネス要件、リスク許容度、割り当て可能なリソースのバランスを踏まえた「目標のプロファイル(目指す状態)」を定めることを求めている。「目標のプロファイル」とともに、「現在のプロファイル」を作成することにより、「目標の プロファイル」へ向けての対策の優先順位付けと進捗の測定を行うことができる。企業などの組織においては、このCSFなどのフレームワークを活用しながら自らの組織におけるリスクを考慮した情報セキュリティ対策基準などのルールを定め対策を施すこと、時間の経過によるリスクの変化をきちんとルールに反映することが求められる。
表2 CSFフレームワークコアの概要(「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」P20)
機能の一意の識別子 機能 カテゴリーの
一意の識別子
カテゴリー
ID 特定 ID.AM 資産管理
ID.BE ビジネス環境
ID.GV ガバナンス
ID.RA リスクアセスメント
ID.RM リスク管理戦略
PR 防御 PR.AC アクセス制御
PR.AT 意識向上およびトレーニング
PR.DS データセキュリティ
PR.IP 情報を保護するためのプロセスおよび手順
PR.MA 保守
PR.PT 保護技術
DE 検知 DE.AE 異常とイベント
DE.CM セキュリティの継続的なモニタリング
DE.DP 検知プロセス
RS 対応 RS.RP 対応計画の作成
RS.CO 伝達
RS.AN 分析
RS.MI 低減
RS.IM 改善
RC 復旧 RC.RP 復旧計画の作成
RC.IM 改善
RC.CO 伝達
(https://www.ipa.go.jp/files/000038957.pdf)
pagetop