情報セキュリティにも求められる減災

最近、世間を騒がせている情報セキュリティ問題に「標的型攻撃」と「スマートフォン（以下、スマホ）への攻撃」がある。標的型攻撃とは「特定の個人や組織、企業、部門に向けて、知人や取引先企業になりすまして、ウイルスを添付したメールを送付したり、メール本文上のリンクから悪意あるサイトに誘導して、情報窃取等の危害を加える手口（※１）」のことである。2010年にイランの核施設の遠心分離機が感染した（※２）ことで有名になったが、最近では日本の大企業や政府への攻撃も報道されている。またアンドロイドOSのスマホを狙った攻撃も急増している。今後、スマートグリッドが構築されれば、家電や電気自動車などもネットワーク経由で管理・制御されるようになるだろう。またプライベートにとどまらず、企業でもスマホやタブレット端末など携帯型端末の利用が増えていくだろう。有名人ではない、機密情報を扱う部署ではない、閉鎖的なネットワークである、といってもターゲットになりうることを認識する必要がある。

そこで脅威を実感させるための擬似体験訓練がある。例えば内閣官房情報セキュリティセンター（NISC）では「政府機関における標的型不審メール訓練（※３）」を計画している。これは内閣官房等12の政府機関の数万人に向けて標的型不審メールを模擬したメールを送付するもので、受信者が添付ファイルを開封した場合は、教育コンテンツに誘導される。こうした体験を積むと、開封率は低くなるという実験結果（図表１）も出ている。

図表１　擬似攻撃メールの開封率と非開封率

（注）A～Gは、通信サービス業、運輸業などの被験者組織。Fは2009年度から実験に参加したため、経年比較のデータはない。非開封率とは、２回とも開封しなかった率。
（出所）JPCERT/CC　「IT セキュリティ予防接種調査報告書 2008年度」「IT セキュリティ予防接種調査報告書 2009年度」をもとに大和総研作成

つまり従来通り、感染しないための「予防」対策の徹底は必須である（ウイルス対策ソフトの導入と最新の状態にしておくこと、アプリケーションソフトを最新の状態にしておくこと、不審なメールは開かないこと、等）。

ただし標的型攻撃では「ソーシャル・エンジニアリング（話術や盗み聞き・盗み見等を利用し、人間の心理・行動の隙を突くことで情報を不正に取得する手段の総称（※４））」を使って、内部ネットワークに侵入を図る。例えば実在する取引先や社内のメールアドレスから、業務でしか使われていない名前のファイルが添付されたメールが送られるなどの「標的型不審メール」の場合には、不審メールかどうかを判断することは難しい。万が一感染した場合の早期発見や被害の軽減を図る措置、いわば情報セキュリティの「減災」対策が必要となってくる（図表２）。

図表２　減災対策の例

(出所)各種公開資料を参考に大和総研作成

こうした対策はネットワークの見直しやインターネット接続の制限を行うため、管理コストや業務効率に影響が出る可能性がある。しかし侵入された場合、機密情報漏洩や基幹システムへの攻撃といった被害が出るばかりでなく、悪用されて取引先や顧客への攻撃に使われる（加害者になる）こともあり、事業的にも社会的にも影響が大きくなる。事業や社会に及ぼすリスクを見据えた、経営的な視点にもとづく対応が望まれる。