機密情報を守る方法は
役員の教育から!?
標的型攻撃メール感染率
役員は従業員の1.6倍

機密情報を守る方法は 役員の教育から!? 標的型攻撃メール感染率 役員は従業員の1.6倍


標的型メール感染率、役員は従業員の1.6倍

一般従業員より、役員の方がサイバー攻撃が仕掛けたワナにかかりやすい――。野村総合研究所の情報セキュリティー子会社、NRIセキュアテクノロジーズ(東京・千代田)は18日、こんな調査結果を発表した。特定の組織を狙った「標的型メール攻撃」の模擬訓練では、役員が被害に遭う確率が一般従業員より1.6倍高かったという。

(2016年8月18日 日本経済新聞 電子版)より抜粋


会社の機密情報にアクセスできる役員は
従業員より高いセキュリティ意識を持つべき

標的型攻撃メールといえば、今年6月にJTBの子会社「i.JTB」が攻撃を受けた事件が記憶に新しいが、平成25年以降急増、平成27年は過去最多を記録し、今最も注意すべきサイバー攻撃のひとつとなっている。
標的型攻撃は多くの場合、組織の機密情報や個人情報を盗み出すことを目的としている。具体的には、企業の内部情報や未公開の製品情報、個人のクレジットカード番号や銀行口座の暗証番号だったりする。 このような情報を窃取されたら、企業は大打撃を受ける。
特に、役員が標的型攻撃メールからマルウェアに感染すると、企業の重要情報等、機密性の高い情報が流出する可能性があり、会社経営に影響を及ばすリスクがより高くなる。本来ならば、従業員よりもセキュリティ意識が高くなければならないのが役員である。
にもかかわらず、あくまでも模擬訓練の結果とはいえ、役員の感染率が従業員の1.6倍というのはショッキングな数字である。

機密情報を守る方法は 役員の教育から!? 標的型攻撃メール感染率 役員は従業員の1.6倍

機密情報を守る方法は 役員の教育から!? 標的型攻撃メール感染率 役員は従業員の1.6倍

予防策のみならず
感染したときのことを考えた対策を

この結果についてNRIセキュアテクノロジーズ コンサルティング事業本部の寺村亮一氏は、「毎日大量のメールを受信する経営層は、個々のメールに注意を払う余裕がないのかもしれない」としながらも、「経営層のセキュリティ意識や情報リテラシーの低さ」に警鐘を鳴らしている。
企業の重要情報等、機密性の高い情報にアクセスすることのできる役員は、従業員以上に訓練によって標的型メールの危険性を認知しておくことが重要だ。組織を守るためには、役員も含めた全社体制で標的型攻撃メール対策に取組む必要があるといえる。

標的型攻撃メールからマルウェアに感染しないための予防策としては、不審なメールは開封しない、端末やサーバ内のソフトウェアは常に最新の状態にする、送信ドメイン認証技術の導入などが挙げられるが、これらの対策を施しても感染を完全に防ぐことは困難だ。そのため、警察庁では、 「不正プログラムの感染を前提として、重要な情報の暗号化、アクセス権の適切な設定、ネットワークの分離といった被害軽減のための対策を複層的に講じることが必要である」と呼びかけている。といっても、すべてを社内で行うのはなかなか難しい。特に情報セキュリティの専任担当者がいない企業は、外部の専門家に委託し、しっかりとした対策を講じるのが賢明といえるだろう。

ホームページ改ざん・不正アクセス対策のポイント

導入しておくと
安心な予防策
・SPF(Sender Policy Framework=電子メールの送信元メールアドレスのドメインの正当性を確認することができる仕組み)等の送信ドメイン認証技術の導入
もしもの場合を
想定した対応策
・重要な情報は暗号化する
・アクセス権の適切な設定
・ネットワークの分離
・サイバー保険に加入
基本の予防策
・不審なメールは安易に開封しない
・端末やサーバ内の各種ソフトウェア(OS、文書作成ソフト、ウイルス対策ソフト、サーバ構築ソフト等)を常に最新の状態にする