Special Issue

エムアイティエス 顧客や取引先を狙う標的型メール攻撃を 防ぐために経営層をどう説得・提案するか

2022/09/01 09:00

週刊BCN 2022年08月29日vol.1936掲載


 2日目の基調講演では、エムアイティエス代表の水谷哲也氏が登壇し、「あなたの顧客・取引先が狙われる/標的型メール攻撃などセキュリティ対策」をテーマに講演を行った。

エムアイティエス
代表
水谷哲也氏

 かつては愉快犯的な存在だったコンピューターウイルスやマルウェアは、金銭目的の犯罪を経て今は国家間の戦争のための手段にもなっている。最近では、コロナ禍に起因する事件も多数発生。「1人1台のPCがない家庭では共用するしかなく、テレワークやリモート授業によってウイルス感染に近い状況を招いた」と水谷氏はいう。

 ランサムウェア攻撃、標的型メール攻撃、ビジネスメール詐欺も盛んだ。最近の事例として取り上げたのは、エンターテインメント企業(2020年11月)、公立病院(21年10月)、自動車部品製造企業(22年2月)など。現在ではばらまき型は少なく、大規模だがITリテラシーが低い企業を狙い撃ちする“猛獣狩り型”が多くなっていると水谷氏は指摘する。

 さらに、攻撃側の組織化も進む。ロシアに一般の会社と同程度に運営されている攻撃者集団があるほか、北朝鮮やイスラエルでサイバー攻撃を担当する国家機関も活動中。専門家集団に個人や企業が立ち向かうのは年々難しくなっている。

 このようなサイバー戦争の時代には、「Emotetに感染した.jpメールアドレスは1カ月で5倍に増えている」といった最新の情報を素早く入手して対処するのが一番。そのための情報源として、水谷氏はJPCERTコーディネーションセンター(日本のCSIRT)の「Weekly Report」を勧める。

 ただ、セキュリティ対策にはそれなりの費用がかかるので、経営層を説得する必要はある。22年4月に個人情報保護法が改正施行された結果、個人情報を漏えいしてしまったときに本人と個人情報保護委員会に報告する義務があり、報告義務違反と措置命令違反にはペナルティが科されるようになっている。経営層にそれを“自分ごと”として考えてもらうには、謝罪会見の様子をVRやマルチバースで疑似体験してもらうのも一つの方法としている。また、従業員に対するセキュリティ教育や研修も重要だ。費用はかかるが、人材開発支援助成金やIT導入補助金を活用すれば多少は抑えられる。

 最後に、ITベンダーは、あまりコストがかからないセキュリティ対策を顧客企業に提案すべきだろう。「まずは、3-2-1ルールのバックアップを顧客に提案してほしい」と水谷氏。有事の際に無線LANを止める方法やファイル名の拡張子部分の意味を顧客に説明しておくことも、被害防止には有効だと紹介した。
  • 1

外部リンク

エムアイティエス=https://www.mizutani-its.com/