« 2014年2月1日 | トップページ | 2014年2月15日 »

2014年2月8日

2014.02.08

中小企業もセキュリティ強化を考えるべき時代!

最近は、サイバーテロなど国家的な事件も多くなり、セキュリティへの
注目度は一層増しているようであるが、中小企業、特に、その経営者には、
当社には、関係ない、まあ、担当に、少し確認させる程度?など、
セミナーを毎年数回開催してきたが、参加者もそれほど多くない状態であった。

しかし、ここ数年のネット、ハードの進化は、それを許さなくなってきている
様である。企業規模に関係ない標的型攻撃メールの増加、スマホ・タブレットなどの
スマートデバイスの拡大、facebookなどのソーシャルメディアの活用化、
クラウドの使用など、中小企業のICT活用環境も大きく変わりつつある。
そして、これが、セキュリティ問題と直結している。
ここでは、少しこれらの概況を述べて行きたい。

1.最近の状況
毎年発表される「独立行政法人情報処理推進機構(IPA)2013年版10大脅威」
を概観してみたい。
・1位は、「クライアントソフトの脆弱性を突いた攻撃~更新忘れのクライアント
ソフトが狙われている~」
・2位は、「標的型諜報攻撃の脅威~知らない間にスパイがあなたの情報を盗んで
いる~」。これは、標的となる組織周辺の情報を収集する、標的型メール攻撃等で
システムに潜入する、ウイルスがバックドアを開設する、攻撃者がバックドアを
介して情報を収集する、の流れで、重要な情報が抜き取られる。
・3位は、「スマートデバイスを狙った悪意あるアプリの横行~あなたの個人情報
が狙われている~」。アプリによる情報窃取の現状をユーザーが知る必要がある。
(ダウンロード数/利用者数の多さ、ユーザーレビュー/ネット上の評価の良さ、
利用規約の内容、アプリの権限/アクセス許可)
・6位は、「予期せぬ業務停止~自然災害やハードウェア障害、人的ミスが思わぬ
事態を引き起こす~」。ハードウェア障害や人為的ミスにより、システムの不稼働
が発生し、ビジネスに大きな影響を与える可能性がある大規模な自然災害も、
業務停止の要因となりえる。
・7位は、「ウェブサイトを狙った攻撃~断続的に続くウェブサイトを狙った
攻撃~」。
ウェブサイトはさまざまなアプリケーションで構成されているため、脆弱性や設定不備
など、セキュリティのほころびが大きな被害をもたらす。
・9位は、「内部犯行~あなたの職場は大丈夫?内部に潜む犯行者~」。
内部犯行の動機の32%が金銭目的で、組織への不満、転職目的が26%委託社員による。

そして、「今後への課題」として、特に、「クラウド利用における課題」他を
上げている。

2.注意すべきキーワード
以下のキーワードは、キチンと認識すべきである。
「小規模企業への攻撃増加」、「スマートデバイスへの対応強化」、「ソーシャル
メディアの危険度アップ」、「クラウド活用時の対応再強化」

1)「小規模企業への攻撃増加」について
ウェブサイトセキュリティ脅 威レポー ト2013(シマンテック発表)から、

ー-2012年の重要な傾向:狙われやすい標的は「小規模企業」。
昨年のデータを分析すると、規模に関係なくあらゆる企業が攻撃対象に
なっています。これは偶然ではありません。2012 年に確認された標的型攻撃
のうち半数は、社員 2,500 人未満の企業を標的にしていました。実際、
企業規模別に見て 2012 年に標的型攻撃が最も増えたのは社員 250 人未満の
企業で、全体の 31% を占めます。
この事実は極めて深刻な問題です。なぜなら、シマンテックが実施した調査に
よると、小規模企業の多くは自分たちが攻撃対象になるとは考えていないからです。
しかし犯罪者にとっては、小規模企業から盗む金銭も、大規模企業から盗む金銭も、
何ら変わりはありません。実際に小規模企業は攻撃者が欲しがるようなもの
は持っていないと考えがちですが、調べてみると顧客情報を保持し、知的財産を
生み出し、銀行に口座を持っているのが現状です。

小規模企業を攻撃して得られるものは大規模企業に比べて少ないかもしれませんが、
小規模企業の多くがサイバー攻撃に無頓着であるため、実際に得られる成果は
その規模を上回る可能性があります。犯罪のチャンスが犯罪のきっかけになること
はよくあります。サイバー犯罪に関しては、そのチャンスが小規模企業にある
さらに深刻なことに、小規模企業のセキュリティ対策の甘さによってすべての
企業が脅威にさらされています。防御の厚い大規模企業への直接攻撃をあきらめた
攻撃者は、本来の標的である企業と取引関係のある小規模企業の防御の薄さ
を突いて、それを踏み台として間接的に大規模企業に攻撃を仕掛けることが
よくあります。、、、、--

多くの中小企業経営者の認識アップを促したい。

2)「スマートデバイスへの対応強化」(特に、BYOD化)について
MCPCの調査(昨年10月に企業のモバイル端末導入に関して決済に関わる担当者らに
対して行ったもので、約1800の回答が得られている)から、

ー-企業でスマホを導入している割合は2013年で43%にのぼり、タブレットは38%と
いう結果となっていた。このうち、社員らの私物のみを活用したり、会社配布の
端末と併用したりするBYODを取り入れていた企業はスマホで38%、タブレットは
25%だった。従業員数が1~9名の企業ではスマホ・タブレットともにBYODの割合
が7割に達しており、突出して多かった。
このなかで注目されるのが、私物端末の活用に一定の利用条件を課すなど、BYODを企
業が明確に認めているかどうかを尋ねた項目だ。
スマホでは37%、タブレットでは53%もの企業が“黙認状態”にあり、これは問題視
されている「シャドーIT」と呼ばれる危険な状況だ。多くの企業で放置されている
現状が浮き彫りになっている。
特に深刻なのがタブレットの“シャドー化”と大企業で、5000人以上の規模を持つ
企業の4割以上がシャドーITの疑いがあることがわかった。
シャドーITとは、企業のシステム担当者などが関与できていないIT機器によって業務
が行われている状況を指す用語で、担当者が関与していないために、セキュリティ対策
などは個人任せとなる。非常に危険な状態だ。

BYODに対する不安を聞いたところ、「機密情報の漏えい」がトップの63%で、続いて
「個人情報の流失」が53%、「ウイルス感染」が52%となっており、セキュリティ面で
の不安がトップ3を占めていた。それにも関わらず、セキュリティ対策の実施状況は
「お寒い」状態で、スマホで49%、タブレットでは46%の企業が何もセキュリティ
対策を行っていないと回答している。
特に中小企業での対策が遅れており、社員数が1~29人規模の会社では、6~7割が
何の対策も行っていなかった。
またセキュリティ対策を行っていると回答した企業でも、そのトップが「パスワード
義務付け」。セキュリティポリシーの策定を行っている企業は15~18%にとどまり、
社員教育の実施や利用機能の制限を行っていたのはわずか1割超しかなかった。
、、、、、、--

BYOD(個人所有のスマートデバイスの業務使用)の増加に伴う、様々な
セキュリティ問題を経営者は深く認識すべきなのだが??

3)「ソーシャルメディアの危険度アップ」について
ウェブサイトセキュリティ脅 威レポー ト2013(シマンテック発表)から、

ーーここ数年の間に、ソーシャルメディアサイトでのスパムとフィッシング
の件数は大幅に増加しています。犯罪者はユーザーを追って人気サイトに
集まります。Facebook と Twitter はユーザー数が増えた分、犯罪活動も
活発になっています。一方で、Instagram、Pinterest、Tumblr といった
急成長を見せる新しいサイトも昨年からサイバー犯罪者に狙われ始めています。
一般的な脅威には、偽ギフトカードやアンケート詐欺があります。
ソーシャルメディアでの全攻撃のうち半数以上(56%)がこれら
のプレゼント詐欺です。その手口の例を紹介しましょう。

被害者は、他のユーザーの Facebook ウォールや Pinterest フィード(自分
がフォローしている人の投稿または特定のカテゴリの内容が表示される場所)
に「ここをクリックしてくれたら 100 ドル分のギフトカードをプレゼント
します」といった内容の投稿を見つけます。
ユーザーがそのリンクをクリックすると、プレゼントを受け取るための登録
Web ページが表示され、登録手順の中で個人情報の入力を求められます。
スパマーは登録が行われるたびに手数料を受け取ります。もちろん、被害者
にギフトカードが送られることはありません 。

ソーシャルメディアがセキュリティの主戦場になりつつあります。
ソーシャルメディア Web サイトはすでに、オペレーティングシステムで
あり、通信プラットフォームであり、広告ネットワークでもあります。
モバイル化が進み、決済機能が追加されれば、マルウェア、フィッシング、
スパム、詐欺などのオンライン犯罪者にとっていっそう魅力的な場所に
なるでしょう。従来型のスパム、フィッシング、マルウェアの件数が
横ばいか若干減少しつつある一方で、ソーシャルメディアに対する攻撃
は急増しています。新しいソーシャルメディアツールが登場して人気が
集まれば、必ず犯罪者の標的になります。さらに、スマートフォンと
ソーシャルメディアの組み合わせはセキュリティの攻防の主戦場になる
でしょう。犯罪者は、個人情報の守りが甘くデバイスの保護や詐欺の回避
にあまり関心を持たない 10 代の若者やセキュリティ意識の低い人を
狙います。、、、、、--

最近は、ソーシャルメディア上での炎上や社員による悪ふざけ的な投稿が
増えている。人とのつながりを重視するソーシャルメディアでは、必然的
に起こる不祥事だが、十分に配慮が必要な時期にも、なっている。

4)「クラウド活用時の対応再強化」について
クラウドを導入するためには、自社の情報セキュリティポリシーを再度確認し、
クラウドで利用する予定のデータの重要度やサービス、アプリケーションの特性を
鑑みた対策を取ることが必要である。クラウドを導入検討している企業の社内では、
本当にクラウド事業者に情報を預けても問題ないのか、という意見が出てクラウドの
採用が進まないというケースがある。このような場合でも、あらためて情報資産
の整理を行い、リスク評価とそれに対する対策を明確にすることで、クラウドの
導入障壁が下がる。また、リスク評価手法については、既に確立されたものがあり、
ISMS やISO/IEC27001 などで定義された手法が参考になり、一時のブーム的な
導入検討ではなく、社内でのガイドライン策定、運用体制の見直し、事業継続性
等、基本からの見直し、確認をする事が肝要でもある。

米ストラテキャストが調査した「企業が認可していないSaaSを従業員が仕事に使用
することに関する報告がある。

ーーこの報告では、こうした職場における未認可のSaaS使用を「シャドウIT」と
呼んでおり、調査結果によると、職場はシャドウITで満ちているという。
世界の従業員の80%以上が、企業ポリシーに反して、個人で登録しているSaaSを仕事
に使っている。こうした違反をするのは業務部門の従業員ではなく、どちらかといえば
IT部門の従業員だ。IT部門の従業員は83%が、業務分門では81%がSaaS使用に関する
規則を無視している。
多くの場合、すべての部門が企業ポリシーを軽視して、勝手にSaaSアプリケーションを
インストールする傾向がある。回答者の78%が自身の部門で未認可のSaaS
アプリケーションを使っていることを認めており、人事、財務、法務といった機密性
の高い部門も例外ではない。
しかも1つや2つではなく、1人当たり平均3本の未認可SaaSアプリケーションを仕事に
使っている。4本以上使っているIT部門スタッフは19%に上り、業務に門の4%より
はるかに多い。シャドウITはもはや影の存在ではなく、職場の技術導入で当たり前
のことになりつつある。個人が自由にSaaSの使用を選択することは、セキュリティ
やコンプライアンスのリスク、パフォーマンスや効率の低下につながるおそれがある。
従業員はこれを認識しているものの、自身が選んだSaaSアプリケーションによる
生産性の向上が、企業リスクを相殺できると思い込んでいる。、、、--

これは、中々に、面白い報告であり、スマートデバイスの拡大によるBYOD化での
シャドーIT化と共に、避けては、通れない課題でもある。

3.考えるべきこと
企業にとっての課題は、従業員の融通性と企業の資産保護とのバランスを適切に保つ
ことであり、先ほどのSaasの活用でも、SaaS導入に関するポリシーは、従業員の
ニーズと需要に対応する必要があるが、同時に可用性、セキュリティ、
コンプライアンスの基準を満たさなければならない。
これは、「スマートデバイスへの対応強化」、「ソーシャルメディアの危険度
アップ」、「クラウド活用時の対応再強化」のいずれにおいても、社内ポリシー
の明確化、ガイドラインの作成、経営者含めた社員の意識改革、など企業文化として
の基盤確立として、真摯に考えるべき時期になりつつある。

« 2014年2月1日 | トップページ | 2014年2月15日 »

最近のトラックバック

2017年9月
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
無料ブログはココログ