情報漏洩を防ぐ！ビジネスに必要なセキュリティの基本

#セキュリティ

会社の機密情報が犯罪者によってダークウェブに公開されていた――そんな事例が頻発しています。巧妙化する攻撃にどのように身を守ればいいのか。誰もが被害者になりかねない昨今ですが、少しの油断が被害を発生させる例が多いのです。そんな被害を防ぐために守るべきセキュリティの基本とは。

1.ランサムウェア、フィッシング、ハッキング……あらゆる手で狙われる企業の情報

ここ数年、日本企業に対するサイバー攻撃の激しさが増しています。2000年代初頭は、無差別に感染を拡大するマルウェアが被害を広げましたが、最近は特定の企業や組織、公的機関を狙った攻撃も増えています。

特に大きな問題となっているのがランサムウェアです。これは、企業のサーバーにある業務ファイルや個人のデータを使えないような形式に変換（暗号化）して、それを人質として身代金を要求するマルウェアです。

企業であれば財務データが暗号化されて業務ができなくなったり、病院の電子カルテが暗号化されて治療ができなくなったり、様々な被害が発生しています。最近ではさらに、暗号化と同時にデータを盗み出し、身代金を払わなければ機密データを公開するという脅迫も発生しています。

新型コロナウイルスの流行以降、リモートワークも普及したことで、自宅のPCから企業のシステムにログインする例も増えています。企業内のシステムには一定の対策をしていても、リモートワーク環境から被害が拡大する可能性もあります。

2.ランサムウェア、被害の実例

そんなランサムウェアの感染経路は様々です。OSやアプリケーションの脆弱性を突く攻撃では、特にVPNやルーター、ネットワークカメラといったネットワーク装置が狙われています。リモートワークの普及でVPNの利用も増えており、脆弱なVPN装置から社内ネットワークに侵入されて感染を拡大するといった危険性がある、といった注意喚起もされています。

メールに添付されたファイルを開いてランサムウェアに感染する例も、変わらず多くあります。特に生成AIの登場でメール文面がさらに自然になり、特定の組織を狙う標的型攻撃が洗練されてきているため、見分けるのも難しくなってきています。

フィッシングによる認証情報の漏えいもありえます。偽サイトにパスワードを入力してしまい、さらに使い回していた業務サーバーにログインされてしまう可能性もあります。個人にとっても、クレジットカード情報を盗まれて金銭的被害が発生する場合もあります。

業務システムにアクセスする端末としてスマートフォンも増えています。PCなどと比べてマルウェアの感染確率は低いのですが、フィッシングによる制御情報の窃取など、環境を問わない攻撃もあります。

3.情報漏洩対策、基本のキ

多岐に渡る攻撃に対して、守る側の対策も難しくなっています。とはいえ、基本的な対策は昔から変わりません。「パスワードを適切に運用する」ことが重要です。VPNやルーターなどの機器において、設定画面などの初期パスワードがあれば変更し、一定の長さを持つ文字列を設定すると安全性が高くなります。

最も重要なのはパスワードを使い回さないことです。業務システムへのログインもSNSへのログインも、なんでも同じパスワードにしていると、どこか1カ所でパスワードが漏洩すると、すべてのサービスに侵入される危険性があります。

例えばある場所の医療センターでは推測可能なパスワードがさらに病院内コンピューター全てに使い回されていたことで、ランサムウェアの侵入を許して4万人の個人情報が漏洩しました。

特定の文章をパスフレーズとして使う手法も有効です。一般名詞ではない単語を組み合わせるのが効果的で、「touchan-kaachan-mina-genki」（父ちゃん-母ちゃん-みな元気）なんてフレーズでしたら27文字とかなり強固です。自分だけのルールで「a」を「@」に置き換えてもいいかもしれませんが、文字数を長くして忘れないこと、使い回さないことが重要です。

こうしたパスワードやパスフレーズをいくつも覚えるのは不可能なので、パスワード管理ソフトを使うことも大事です。ChromeやSafari、Edgeといったブラウザにも内蔵されていますし、そうしたサービスもあります。また、対応しているサイトではパスキーを利用することで、パスワード不要のログインができます。

現在は、パスワードの定期変更はかえってセキュリティを損ねるという認識になっており、パスワード管理ソフトやブラウザ標準の機能で作成したパスワードを使い回さずに使うことが最も安全です。

多要素認証も効果的です。パスワードというのは知っていることで認証する「知識認証」です。例えば銀行のATMはキャッシュカードがないと使えませんが、こういう持ち物で認証するのが「所持認証」、そして指紋や顔などの身体の情報を使うのが「生体認証」と呼びます。この認証を組み合わせることを多要素認証と言います。

銀行のATMだと、キャッシュカードと暗証番号の2つを使う多要素認証です。パスワードを入力した後、携帯電話にSMSを送信するのも携帯電話（携帯電話番号）を所持しているという2要素になります。しかし、パスワード入力に加えて「秘密の質問」に答えさせるのは、同じ知識認証なので2段階認証ながら1要素認証になります。必要であれば2要素認証を設定しておくと、パスワード漏洩だけではログインされないため、安全性が向上します。

メールの添付ファイルを開いたり、メールのURLをクリックしてアクセスしたサイトに情報を入力したり、メールやSMSを起点とした攻撃にも注意が必要です。文面やURLが一見すると正常に見えるような攻撃も多く、必ずしもリテラシーが低いから騙されるわけではありません。

メールサービスやセキュリティソフトのスパム対策機能を活用する、ブラウザのフィッシング詐欺対策機能を利用するといった対策もありますが、メールのリンクをクリックするのは注意が必要という点も念頭に置いておきましょう。

もちろん、メールに添付されたファイルを開くのも注意が必要です。セキュリティソフトを利用し、しかもきちんと最新の状態にアップデートすることも忘れないようにしましょう。

見逃せないのはプリンター／複合機のセキュリティです。アップデートによる脆弱性の解消に加えて、ブラザーの製品には様々なセキュリティ機能が搭載されているので、忘れずに設定しておきましょう。例えばプリンタードライバーで設定したパスワードを本体パネルに入力しないと印刷が始まらない「セキュリティ印刷」を利用すれば、機密情報を含む印刷物の盗み見や、紛失、盗難のリスクを最小限にできます。

「セキュリティ機能ロック」は、ユーザーごとにパスワードを設定して、コピーやスキャン、FAX、PCプリントいった機能の利用を制限する機能です。機密情報を送信できる人を制限するなどの情報漏洩対策などに繋がります。

「セキュリティIPフィルター」は、ネットワーク上の指定したパソコンからのみ、製品本体へアクセスしたりプリント許可をしたりできる機能です。機密情報を扱うパソコンからは印刷を拒否する、印刷用のマシンを限定する、といった設定による機密情報の漏洩防止などのセキュリティリスクの低減が図れます。

※対象機種はブラザーホームページをご参照ください。

4.まとめ

こうした基本的な情報漏洩対策は、昔から変わっていません。OSやアプリケーションを最新にアップデートする、最新のセキュリティソフトを利用する、不審なメールのURLや添付ファイルは開かない、といった対策はこれまで通り必要です。

情報漏洩では、物理的にUSBメモリやノートPCを紛失するといった例もありますし、外出先で公衆Wi-Fiに接続して情報が漏洩する危険性もあります。様々な場面で情報漏洩は発生します。

こうした問題に対しては持ち出さないといった対策や暗号化をするといったソリューションもあります。

予防だけでなく、被害発生時の対策も検討しておくことも大事なポイントです。定期的なバックアップを設定しておく、障害発生時に対処の手順を定めておくといった対応も必要です。こうしたセキュリティソリューションの導入を検討するのもいいでしょう。

インターネットを巡る悪意のある攻撃は年々巧妙になり、対策も難しさを増しています。それでも少しの注意と事前の対策で、インターネットを安全に、便利に使いこなしてください。