ダイヤモンド・オンライン(2016年8月22日)公開 つのス …「...
TRANSCRIPT
パソコン・アプリケーション操作履歴確認
●パソコンの起動・終了を記録●アプリケーションの操作を記録●印刷操作を記録●ファイルのアクセスを記録●メールの履歴を確認 など
不正接続検知・遮断
社内ネットワークに無断接続したパソコンを検知・遮断
●USBメモリなどの外部メディアへの書き込み禁止●印刷禁止●ファイル共有ソフトなど稼働禁止
データ持ち出し禁止・制限 IT設備情報の自動収集
SOXBOX NX
ハードウェア構成・OS・サービスパックのバージョン、アプリケーションのインストール情報、バッチの適用情報を自動収集
1台でパソコンやインターネット利用を監視し、USBメモリなどの使用を禁止できる。しかも社内のパソコンの状態を把握できるので、IT施設管理にも利用できる。
企業の重要情報の多くがデジタル
データで管理されるようになった昨
今、情報セキュリティ対策は中堅・中
小企業の経営者にとっても非常に大き
な課題となっている。なかでも、日本
で被害が急増しているのがマルウェア
の一種、ランサムウェアだ。
ミロク情報サービスの加藤武史氏
は、次のように語る。
「ランサムウェアに感染して自社の
データがロックされてしまうと、取引
先や顧客への支払い、請求書の発行が
できないなど企業活動がストップして
しまいます。これは企業にとって死活
問題ですから、これまで以上に経営
者は危機感を募らせています」。実際、
企業規模の大小問わず、ミロク情報
サービスにもランサムウェア対策に関
する問い合わせが急増しているとい
う。
そもそもランサムウェアは、感染し
たパソコンやそのパソコンに接続した
USBハードディスク、同一ネットワー
ク上の共有フォルダ内のデータを不正
に暗号化するなどさまざまな方法で
使用不能にし、その復元と引き換え
に「身代金(ransom)」を要求
するという不正プログラムだ。
なかには、身代金を払って復旧させ
た企業もあるらしいが、安易に向こう
の言いなりになることはサイバー犯罪
を助長し、より巧妙な手口のランサム
ウェアを増加させることにもなりかね
ない。さらに、格好のターゲットにさ
れてしまう可能性もあり、非常に危
険だ。事前に有効な対策を打ってお
くべきだが、どのような手段があるの
だろうか。
「主な対策は3つあります。1つはパ
ソコンを感染させないこと。不審な
メールの添付ファイルやリンクを開か
ない、怪しいサイトに近寄らないといっ
たことを社内に周知させることが大切
です」(加藤氏)
具体的なソリューションとしては、
「WEBサイトフィルタリング」など
の機能を備えた「SOXBOX
NX」
が役立つという。
「2つめは予防的な措置です。まず、
ネットワークの出入口にファイアウォー
ル製品『Forti
Gate(フォー
ティゲート)』を設置し、監視を怠ら
ないこと。個々のパソコンにアンチウ
イルスソフトを正しく導入し、既知の
マルウェアを発見した場合は警告を出
し、駆除することが必要です」(加藤
氏)
例えばフォーティゲートは、ファイ
アーウォール・アンチウイルス・アンチ
スパム機能等により、企業に必要なイ
ンターネット出入口におけるセキュリ
ティ対策を1台で実現する。
「最後はバックアップです。万が一、
ランサムウェアに感染したら、身代金
を払うかバックアップから復元する
か、この2つしか選択肢はありません
から、当然、バックアップをお勧めし
ています。ネットワークと切り離され
た場所にバックアップを取っておけば、
ロックされたファイルもすぐに復旧で
きます。」(加藤氏)
サイバー攻撃の手口は日に日に巧妙
化している。もし犯人があなたの会社
に目をつけたとしたら、防ぐのは難し
いだろう。取引先や顧客になりすま
すなど、思いもよらない新たな方法で
次々と攻撃を仕掛けてくるからだ。
「中堅・中小企業であっても、先にお
話した3つの対策でランサムウェアに
備えることができます。アンチウイル
スだけではサイバー攻撃から会社の情
報を守ることはできません。新たなウ
イルスがどんどん発生していて、それ
に追いつかないからです。100%の
セキュリティ対策はない! というこ
とを覚えておいてください。
つまり、情報セキュリティに関して
は『多層防衛』という考え方で備え
ることが必要。ですから、当社では会
社の状況や事業内容などに応じて複
数のセキュリティ対策を組み合わせて
ご提案しています」(加藤氏)
具体的には、(1)迷惑メールを排
除してくれる仕組みを導入する、
(2)危険なサイトに誘導されないよ
うにする、(3)インターネットの入
り口を防御する、(4)パソコンやサー
バをセキュリティソフトで守る、(5)
バックアップを確実に複数の組み合わ
せで行う――といった何重もの壁を設
けるのが有効だ。
もうお分かりのように、アンチウイ
ルスソフトやファイアウォールなどの
対策を講じていたオオアキナイ商事が
ランサムウェアに感染してしまったの
は、セキュリティ対策が多層構造になっ
ていなかったからだ。あなたの会社は
大丈夫だろうか。
クラウドストレージの「Box」は、個人向けの無料サービスもあるが、主軸は企業向けの有料サービスである。すでに世界4万7000の企業・組織がアカウントを持ち、「フォーチュン500」企業の51%で利用されているという。創業者の1人でもあるアーロン・レヴィCEOに、クラウド時代の中心プレーヤーの1社となりつつあるBoxは、これからどこへ向かうのか聞いた。
(取材・文/ダイヤモンド・オンライン IT&ビジネス 指田昌夫)
Boxのクラウドストレージが
アーロン・レヴィ Box共同創設者兼CEOに聞く
100%のセキュリティ
対策はない!
〝多層防衛〞の考え方で
備えることが必要だ
グローバル企業に支持される理由
情報漏えいの主な原因は、社員に
よる不正な顧客情報の持ち出し、うっ
かりミスによる紛失など内部によるも
のと、不正アクセスといったサイバー
攻撃などの外部によるものの2つ。ど
ちらも、ますます件数が増えている。
モクキン不動産開発の岡田社長が不
安になるのも無理はないだろう。では、
同社のようなヒト・モノ・カネといった
リソースが少ない企業はどのような対
策を打てるのだろうか。
このような不正操作や情報漏えい
などを防ぐためにミロク情報サービス
が提供するのが、「SOXBOX
N
X」。昨年来、マイナンバーの情報漏
えい対策で注目を集め、今も引き合
いが増えているという製品だ。
「SOXBOX
NX1台で、ネット
ワークにつながった全パソコンのアプリ
ケーション、ファイル、印刷、メール、ウェ
ブサイト閲覧などの操作履歴を取得
することでデジタルデータの流れを可
視化し、情報漏えいを抑制すること
できます。監視対象のパソコンから取
得した履歴は誰にでもひと目でわかる
レポートで確認できるので、専任の管
理者がいない中小・零細企業でも業務
の負荷を増やすことなく運用できると
いうメリットもあります」(加藤氏)
さらに、ファイルのコピーやパート
1でも紹介したWEBサイトの閲覧
履歴やブロックなどの機能もあり、監
視、禁止、運用などを一括管理できる。
特定のアプリケーションの稼働を禁止
することも可能だ。不正なコピーを
取ったり、パソコンが通常と違う使わ
れ方をしているとすぐにわかるため、
社員の不正の抑止力にもなる。
また、大きなファイルをやりとりす
る業務にはUSBメモリがよく使われ
るが、これはリスクもはらんでいる。
もしUSBメモリを紛失したり不正
にコピーして持ち出したりした場合、
一度に大量のデータを流出させてしま
う。顧客や取引先の情報が流出すれ
ば、会社の信用はたちまち失墜する。
「SOXBOX
NXでは、業務に使
うUSBメモリが登録できるので、そ
れ以外のものを差し込んでも使えない
仕組みになっています。また、当社で
は暗証番号を入力しないと使えない
USBメモリも取り扱っています。通
常のものよりも費用はかかりますが、
暗証番号機能付きUSBメモリを会
社が導入していることの意味を社員が
知ることによって、情報漏えいに対す
る意識が高まるという効果も期待で
きます」(加藤氏)
また、USBメモリと並ぶもう一つ
の記録媒体として、ブルーレイドライ
ブが付いたノートパソコンを導入して
いる企業も少なくない。しかし、ミロ
ク情報サービスではあえて通常のDV
Dドライブを推奨しているという。
「最大50GBという大容量のデータ
が書き込めるブルーレイドライブは、
見方を変えれば、一度に大量のデータ
が盗まれるリスクもあるわけです。業
務でどうしても使うのでないなら、ブ
ルーレイドライブを付ける必要はあり
ません」(加藤氏)
営業ツールも情報セキュリティを踏
まえたうえで選択する必要がありそ
うだ。
また、SOXBOX
NXは、昨年
12月から義務づけられた「ストレス
チェック制度」にも役立つという。ス
トレスチェックとは、ストレスに関す
る質問票に労働者が記入し、それを
集計・分析することで、自分のストレ
スレベルを調べる簡単な検査のこと
だ。
「社員のストレスは、過重労働が大
きな原因の1つですが、パソコンの使
用履歴がわかるSOXBOX
NXを
導入すれば、社員が過重労働してい
るかどうかもチェックすることができ
ます。例えば、ある社員は金曜日の
18時に帰宅しているが、USBメモリ
で業務データを持ち帰っているため、
自宅で仕事をしている可能性があると
いったこともわかるようになります」
(加藤氏)
オフラインの状況でもパソコンを使
用した際のログが取得できる。この操
作履歴から社外で行った業務内容や
業務時間もチェックできるため、適切
な労務管理に役立つわけだ。
このように、情報セキュリティ対策
からマイナンバー制度対策、ストレス
チェック対策までを1つで可能にする
SOXBOX
NX。コストや手間な
どを極力抑えたい企業は、検討の価
値がありそうだ。
操作・閲覧履歴の
可視化が情報漏えい
抑止に有効だ!
データのバックアップには何重にも
念を入れた安全プランが必要だ。無
計画に行っていると、いざというとき
に手順を間違えて肝心のデータを壊
してしまったり、復旧に多大な時間と
労力がかかってしまったりする。そう
ならないために、ミロク情報サービス
が提案しているのが、バックアップの
鉄則、「3‒
2‒
1」ルールだ。
「二重三重に安全性を高めるには、3
‒
2‒
1ルールに基づいてバックアップ
計画を立てるのが有効です。3は、3
つ以上のデータを確保すること。原本
以外に2つ以上バックアップを取ってお
いてください。2は、HDD+RDX
(Removable Disk Exchange system
)
といったように2種類以上の記憶メ
ディアを使用すること。1は、遠隔地
に保管することです」(加藤氏)
では具体的にどのようなツールを用
いたらよいか。まず「3」については、
バックアップ用のソフトウェアを用意す
る。ミロク情報サービスが推奨してい
るのが、イメージバックアップツールの
「Arcserve
UDP」だ。こ
れはサーバーやPCのシステム環境を
丸ごとバックアップするソフトで、ハー
ドウェアの障害時に別のハードウェア
に対してOSやアプリケーションを最
短で数十分で復旧することができる。
さらに、各アプリケーションの設定情
報も元通りに復旧できるので、再度
設定する必要がない。障害からの業
務再開にかかる時間を最小限に抑え
ることができる。ハードウェアの構成
が元と変わっても復旧可能だ。
「2」(2種類以上の記憶メディアを
使用)については、IOデータ機器製
のNAS(Netw
ork Attached Storage
)
や、サーバに組み込む形のRDX(D
ATより高速で、かつ故障が少ない記
録メディア)によるバックアップを推奨
している。「3」で説明した「Arc
serve
UDP」を用いて記録す
る場合のメディアとして、これらのN
ASなどを利用すると、大容量のデー
タでもスムーズにバックアップできる。
最後の「1」(遠隔地に保管)につ
いては、ミロク情報サービスではイン
ターネット経由で簡単・確実にバック
アップできるオンラインストレージの
「MJSセキュアストレージサービス」
を提供している。このサービスのデー
タセンターは、地震が同時に起こりに
くいプレートや沿岸が異なる2つの地
域に分散管理され、震度7の地震に
も耐える設計。企業内のデータが災
害で被害を受けたときも、安全な地
域でデータは保護される。
「自然災害やサイバー攻撃ではなく、
ハードディスクが自然に壊れることも
あります。この場合、エンジニアが手
作業で復旧させることになるので、50
万円とか100万円といった費用がか
かるうえ、時間も1週間以上かかる
場合もあります。それでもデータがな
くては困るとういうことで、当社にも
月に1、2件こうした依頼がありま
す」(加藤氏)
サイバー攻撃によるセキュリティ侵
害への対策が耳目を集めるところだ
が、マイナンバーのような法令対応、
内部統制、さらに災害対策など、企
業はさまざまなリスクから情報を守
らなければならない。そうしたなか、
万一、事業の中断を引き起こすような
被害を受けた際には、復旧を図り、
早急に最低限の事業を継続していく
必要がある。そのための計画を策定
し、訓練することで、万一の際にも事
業を継続できるように備えるのが「事
業継続計画(BCP)」だ。
「BCPの考え方は以前からありま
すが、簡単にいうと、不慮の事故の
際に速やかに復旧させる計画を事前
につくっておくということです。当初
は東日本大震災の影響で災害リスク
ばかりが注目されていましたが、最近
ではIT障害のリスクの高まりもあ
り、そういった意味でもパート1でお
話した〝多層防御〞がますます重要に
なってきています。今後も当社に相談
してよかったといわれるよう、多層防
御を念頭に置いた情報セキュリティ対
策をご提案していきます」(加藤氏)
万一、何らかの障害が起きても、素
早く復旧させることができればダメー
ジを少なくすることができる。基本的
なことではあるが、すべての経営者は、
企業活動の屋台骨を支える重要な投
資として復旧システムの整備を考える
べきだろう。
バックアップの鉄則、
「3-
2-
1」ルールを
採用せよ!
有効な3つの対策
大容量のデータを
持ち出せる周辺機器の
規制も重要
災害でデータが
破壊されても事業は
続けなければ行けない
出社したら、まずはスケジュールをチェックするのが私のルーティンだ。しかし、その日は違った。なぜかパソコンの画面が開かない。そして、総務部長の青山が真っ青な顔で社長室に飛び込んできた。「社長、つ、ついにうちもランサムウェアに感染してしまったようです。最近、日本でも猛威を振るい始めた身代金要求型ウイルスで、すでにほとんどのファイルが開けません…」。 そういう有害なプログラムがあることは知っていたが、まさか当社のような小さな会社が狙われるとは。彼が見せたパソコンの画面には「ファイル復元のお支払いはこちらをクリックしてください」の文字と不気味な顔が…。そう、
これが悪夢の始まりだった。 さっそく、経営幹部を緊急招集して対応策を協議したが、埒が明かない。システム担当者の報告では「ファイルが一度暗号化されてしまうと、ランサムウェアを駆除しても、復元する鍵がない限り、開くことができません。ヤツは○百万円分のビッドコインを購入して支払うように要求しています」という。 当社はこれまで産地直送食品の卸を主に事業を行ってきたが、数年前にEC事業を始めた。最近、その売り上げが伸びてきたところだというのに、サイトはダウンしたままだ。最悪なことに、一部バックアップが取れていないというではないか。これはもう身代金を払うしかないのかと、重い空気が会議室に
漂い始めた。だが犯罪者に屈しても良いのか。 結局、我が社がとった策は、バックアップの取れていなかったデータの復旧はあきらめ、情報システムを初期化することだった。多額の費用と手間がかかり、その間の機会損失と評判の悪化は、大きな痛手となった。 その後の調査の結果、感染原因は、一人の若手社員がセミナーの案内メールに扮した地図(ランサムウェア)を開いてしまったことだと判明した。日頃からあれだけメールやファイルの取り扱いには注意するよう、徹底させていたはずだったのだが…。どうすれば、こうしたサイバー攻撃から身を守ることができるのだろうか。
ランサムウェアの攻撃
オオアキナイ商事 大木俊男 社長
ふつうに情報セキュリティ対策はしていたのに、なぜ当社が…
日頃から一般的な情報セキュリティ対策は行っているつもりだったオオアキナイ商事。実際、アンチウイルスソフトやファイアウォールなどはちゃんと導入していた。ではなぜ、こうした事態を招いてしまったのだろうか?
情報漏えいの不安モクキン不動産開発・岡田社長の悩みは、多くの中堅・中小企業経営者が抱えている課題だろう。ヒト・モノ・カネといったリソースが少ない企業は、情報漏えい対策にどう取り組めばいいのか?
自然災害や人的災害などで、万一、重要なデータが消滅してしまったら、その損害は計り知れないだろう。未然に防ぐには、自然災害などの被害を受けたときを想定し、事業を立て直し、継続する計画を立てておくことが必要だ。この課題に中堅・中小企業はどのように取り組めばいいのか?
P A R T 2
2016年1月から始まったマイナンバー制度。この制度については開始前から情報漏えい対策の必要性が指摘されていたので、当社も予防策としてセキュリティソフトや情報管理システムを導入した。しかし、先日参加した情報セキュリティ関連のセミナーによると、その程度の対策では十分ではないという。 また、最近読んだ雑誌には、海外では社内外の不正行為による個人情報の漏えいや社会保障番号を悪用する事件が頻発していると書いてあった。日本も、もはや他人事ではないかもしれない。 そうはいっても、当社は全国展開で不動産開発を手がけ、一歩一歩成長してした中小企業。ようやく社員も100
名を超えたが、さらなる発展のために、人材はなるべく成長分野に投入していきたいところだ。 さらに、もう一つ別の問題もある。社内ルールで社外への顧客データの持ち出しは禁止しているが、営業スタッフの中には危機管理意識が薄く、顧客データの入ったノートパソコンやタブレットを平気で持ち歩いている者がいる。もちろん、他人に見せているわけではないので今のところトラブルは起きていないが、重要ファイルを持ち出しているケースもあり、不安は募るばかりだ。 そういえば、日本でも以前、内部関係者が大量の顧客情報をコピーして持ち出し、名簿業者に販売していた事件があった。犯行がばれるまで何度も持ち出し、不正に販売していたと
いうから恐ろしいことだ。 当社の社員にはそうした不届き者はいないはずだが、このまま放置しておくわけにもいかないだろう。どんなに厳しく社員教育をしても、社員一人一人が抱える個人的な事情をすべて把握することは難しい。信用していないようで申し訳ないが、金銭苦から犯罪に走る者が出ないとも限らない。 そこで考えたのが、コンプライアンスの徹底は当然のこと、誰が、いつ、どんな情報にアクセスしているのかを見えるようにして情報漏えいの防止と抑止を図ることだ。しかし、それには多くの費用がかかるだろう。残念ながら、当社にその余裕はない。何か、最小限のコストや手間で最大限の効果が上がる対策はないものだろうか。
モクキン不動産開発 岡田浩司 社長
コストや手間を抑えて情報漏えい対策をしたいが…
P A R T 1
山に囲まれているせいか、夏になるとこのあたりは雷が多い。あの日も夕方になって急に黒い雲がわき出し、ゴロゴロ鳴り始めたが、「いつものことだ」くらいにしか私は思っていなかった。 だが、空に稲光が走り、近くにある当社のビルに送電している変電所に落雷があり、ビル全体が停電してしまったのだ。しばらくして電気は復旧したが、真っ先に気になったのはサーバのことだ。 急いで情報システム担当者に状況を尋ねると、案の定、「電源が寸断された影響で、サーバに預けていた顧客データベースの一部が破壊されてしまいました」という。と、その場に営業部長の葉山が駆けつけた。「社長、お客様からの
申し込み処理やキャンセル処理ができません。サービスに支障を来たしています」。現場はパニック状態のようだ。 バックアップを取っているサーバにアクセスして復旧を試みているが、作業に手間取っているらしい。日頃からそうした訓練をやっておくべきだった…。 しかも、よく話を聞けば、バックアップファイルが最新のデータに更新されているかどうかも疑わしいという。なんてことだ。どうすればいいか指示がほしいと言われても、情報セキュリティの知識がない私にはなす術がなかった。相談できる相手も思い浮かばない。 だが幸いにも、結局丸1日かかったが、バックアップからデータの復旧は
することができた。その間、お客様からの申し込みはもちろん、問い合せなどにも対応できず、大変な迷惑をかけてしまったわけだが。 こんなことなら、安全にデータを保管してくれるデータセンターに預けておけばよかったのだが、後の祭りだ。もう二度とこんなことは繰り返してはならない。 考えてみれば、このところ日本は地震が多いし、異常気象や大型台風、火山の噴火など、自然災害のリスクがますます高まっているような気がする。いつ起きてもおかしくない自然災害から大切なデータを守るためにバックアップ体制を再構築したいが、どんな方法が効果的なのだろうか。
バックアップへの過信
旅行代理店サトヤマ 山本一郎 社長
落雷で顧客データベースが破壊!バックアップ体制を再構築したいが…
P A R T 3
1
2
3
1
2
3
1
2
3
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
社内システム
共有フォルダ プリンタ
PC
多層防御の導入例
STOPSTOP
ホームページ&メール
有害サイト
インターネット
不正アクセス
メールプロバイダ
外部からのウイルスの脅威を防ぐためのソフトウェア
操作禁止・制御、外部持ち出し制御マイナンバー安全管理措置
スパムメール対策
ウイルス Webフィルタリング
ファイアウォール、アンチウィルス、アンチスパム、不正侵入検知(オプション)など、複数のセキュリティを1台に統合
外部ストレージ
インターネット出入り口対策
社内・所内FortiGate統合脅威管理(UTM)製品
基幹システムファイルサーバー
SOXBOX NXアプライアンス製品
SOXBOX NX
SymantecEndpointProtection
バックアップ対策
PCのウイルス対策情報漏えい対策
(専用装置)
STOPSTOP
IT-BCP対策を段階的に考えると
効果と課題
データ喪失のリスク軽減
事業所 事業所 事業所 別の場所 事業所 別の場所
同一施設内のため災害への配慮が必要
データ喪失を回避でき、災害時のダメージを軽減
バックアップ
短時間での復旧が可能
設備の二重負担
業務停止時間の回避
設備、要員の二重負担
セキュリティ&バックアップ
概要
システム&データ
ハードウェア
運用体制&メーカー
施設設備
レベル1
データ分散
レベル2
IT冗長化
レベル3
運用要員分散
レベル4
システムやデータに影響する範囲にウイルス対策を行い、データは別の装置にバックアップを行う。
データのバックアップは、複数の手法を組み合わせ、遠隔地に保管するなど、データ分散を行い保管する。
災害時に速やかに復旧できるようにIT環境を冗長化させる。コストがかかるため、リスクの許容範囲と調整した検討が必要。
災害時にIT環境とともに運用要員も対応できる体制の構築が必要。
構成イメージ
ダイヤモンド・オンライン(2016年8月22日)公開
株式会社ミロク情報サービス
〒163-0048 東京都新宿区西新宿1-25-1 新宿センタービル48F 私書箱4051号電話 03-5326-0381http://www.mjs.co.jp/
お問い合わせ先
企業規模の大小は関係ないランサムウェアや情報漏洩のリスクがあなたの企業を狙っている!
!企業の情報資産は“多層防御”で守れ
3つのストーリーから学ぶ
日に日に巧妙化するサイバー攻撃をはじめ、内部・外部からの情報漏えい、地震や水害によるシステム障害・サーバ故障など、企業の情報セキュリティに関するリスクは高まるばかりだ。それは大企業だけの話ではない。そこで本編では、企業に今迫っている3つの最新サイバーリスクを、ストーリー仕立てで紹介する。また、そうした事態を未然に防ぐための有効な対策を、中堅・中小企業の情報セキュリティに詳しいミロク情報サービスの加藤部長に聞いた。
ミロク情報サービス営業本部 営業推進部サービス企画グループ長部長加藤 武史氏
1
2
3
※本資料に登場する3つの会社の社長のストーリーは、取材に基づきダイヤモンド社が構成したフィクションです。実在の企業とは関係ありません。
3 2
5 4
7 6
パソコン・アプリケーション操作履歴確認
●パソコンの起動・終了を記録●アプリケーションの操作を記録●印刷操作を記録●ファイルのアクセスを記録●メールの履歴を確認 など
不正接続検知・遮断
社内ネットワークに無断接続したパソコンを検知・遮断
●USBメモリなどの外部メディアへの書き込み禁止●印刷禁止●ファイル共有ソフトなど稼働禁止
データ持ち出し禁止・制限 IT設備情報の自動収集
SOXBOX NX
ハードウェア構成・OS・サービスパックのバージョン、アプリケーションのインストール情報、バッチの適用情報を自動収集
1台でパソコンやインターネット利用を監視し、USBメモリなどの使用を禁止できる。しかも社内のパソコンの状態を把握できるので、IT施設管理にも利用できる。
企業の重要情報の多くがデジタル
データで管理されるようになった昨
今、情報セキュリティ対策は中堅・中
小企業の経営者にとっても非常に大き
な課題となっている。なかでも、日本
で被害が急増しているのがマルウェア
の一種、ランサムウェアだ。
ミロク情報サービスの加藤武史氏
は、次のように語る。
「ランサムウェアに感染して自社の
データがロックされてしまうと、取引
先や顧客への支払い、請求書の発行が
できないなど企業活動がストップして
しまいます。これは企業にとって死活
問題ですから、これまで以上に経営
者は危機感を募らせています」。実際、
企業規模の大小問わず、ミロク情報
サービスにもランサムウェア対策に関
する問い合わせが急増しているとい
う。
そもそもランサムウェアは、感染し
たパソコンやそのパソコンに接続した
USBハードディスク、同一ネットワー
ク上の共有フォルダ内のデータを不正
に暗号化するなどさまざまな方法で
使用不能にし、その復元と引き換え
に「身代金(ransom)」を要求
するという不正プログラムだ。
なかには、身代金を払って復旧させ
た企業もあるらしいが、安易に向こう
の言いなりになることはサイバー犯罪
を助長し、より巧妙な手口のランサム
ウェアを増加させることにもなりかね
ない。さらに、格好のターゲットにさ
れてしまう可能性もあり、非常に危
険だ。事前に有効な対策を打ってお
くべきだが、どのような手段があるの
だろうか。
「主な対策は3つあります。1つはパ
ソコンを感染させないこと。不審な
メールの添付ファイルやリンクを開か
ない、怪しいサイトに近寄らないといっ
たことを社内に周知させることが大切
です」(加藤氏)
具体的なソリューションとしては、
「WEBサイトフィルタリング」など
の機能を備えた「SOXBOX
NX」
が役立つという。
「2つめは予防的な措置です。まず、
ネットワークの出入口にファイアウォー
ル製品『Forti
Gate(フォー
ティゲート)』を設置し、監視を怠ら
ないこと。個々のパソコンにアンチウ
イルスソフトを正しく導入し、既知の
マルウェアを発見した場合は警告を出
し、駆除することが必要です」(加藤
氏)
例えばフォーティゲートは、ファイ
アーウォール・アンチウイルス・アンチ
スパム機能等により、企業に必要なイ
ンターネット出入口におけるセキュリ
ティ対策を1台で実現する。
「最後はバックアップです。万が一、
ランサムウェアに感染したら、身代金
を払うかバックアップから復元する
か、この2つしか選択肢はありません
から、当然、バックアップをお勧めし
ています。ネットワークと切り離され
た場所にバックアップを取っておけば、
ロックされたファイルもすぐに復旧で
きます。」(加藤氏)
サイバー攻撃の手口は日に日に巧妙
化している。もし犯人があなたの会社
に目をつけたとしたら、防ぐのは難し
いだろう。取引先や顧客になりすま
すなど、思いもよらない新たな方法で
次々と攻撃を仕掛けてくるからだ。
「中堅・中小企業であっても、先にお
話した3つの対策でランサムウェアに
備えることができます。アンチウイル
スだけではサイバー攻撃から会社の情
報を守ることはできません。新たなウ
イルスがどんどん発生していて、それ
に追いつかないからです。100%の
セキュリティ対策はない! というこ
とを覚えておいてください。
つまり、情報セキュリティに関して
は『多層防御』という考え方で備え
ることが必要。ですから、当社では会
社の状況や事業内容などに応じて複
数のセキュリティ対策を組み合わせて
ご提案しています」(加藤氏)
具体的には、(1)迷惑メールを排
除してくれる仕組みを導入する、
(2)危険なサイトに誘導されないよ
うにする、(3)インターネットの入
り口を防御する、(4)パソコンやサー
バをセキュリティソフトで守る、(5)
バックアップを確実に複数の組み合わ
せで行う――といった何重もの壁を設
けるのが有効だ。
もうお分かりのように、アンチウイ
ルスソフトやファイアウォールなどの
対策を講じていたオオアキナイ商事が
ランサムウェアに感染してしまったの
は、セキュリティ対策が多層構造になっ
ていなかったからだ。あなたの会社は
大丈夫だろうか。
クラウドストレージの「Box」は、個人向けの無料サービスもあるが、主軸は企業向けの有料サービスである。すでに世界4万7000の企業・組織がアカウントを持ち、「フォーチュン500」企業の51%で利用されているという。創業者の1人でもあるアーロン・レヴィCEOに、クラウド時代の中心プレーヤーの1社となりつつあるBoxは、これからどこへ向かうのか聞いた。
(取材・文/ダイヤモンド・オンライン IT&ビジネス 指田昌夫)
Boxのクラウドストレージが
アーロン・レヴィ Box共同創設者兼CEOに聞く
100%のセキュリティ
対策はない!
〝多層防御〞の考え方で
備えることが必要だ
グローバル企業に支持される理由
情報漏えいの主な原因は、社員に
よる不正な顧客情報の持ち出し、うっ
かりミスによる紛失など内部によるも
のと、不正アクセスといったサイバー
攻撃などの外部によるものの2つ。ど
ちらも、ますます件数が増えている。
モクキン不動産開発の岡田社長が不
安になるのも無理はないだろう。では、
同社のようなヒト・モノ・カネといった
リソースが少ない企業はどのような対
策を打てるのだろうか。
このような不正操作や情報漏えい
などを防ぐためにミロク情報サービス
が提供するのが、「SOXBOX
N
X」。昨年来、マイナンバーの情報漏
えい対策で注目を集め、今も引き合
いが増えているという製品だ。
「SOXBOX
NX1台で、ネット
ワークにつながった全パソコンのアプリ
ケーション、ファイル、印刷、メール、ウェ
ブサイト閲覧などの操作履歴を取得
することでデジタルデータの流れを可
視化し、情報漏えいを抑制すること
できます。監視対象のパソコンから取
得した履歴は誰にでもひと目でわかる
レポートで確認できるので、専任の管
理者がいない中小・零細企業でも業務
の負荷を増やすことなく運用できると
いうメリットもあります」(加藤氏)
さらに、ファイルのコピーやパート
1でも紹介したWEBサイトの閲覧
履歴やブロックなどの機能もあり、監
視、禁止、運用などを一括管理できる。
特定のアプリケーションの稼働を禁止
することも可能だ。不正なコピーを
取ったり、パソコンが通常と違う使わ
れ方をしているとすぐにわかるため、
社員の不正の抑止力にもなる。
また、大きなファイルをやりとりす
る業務にはUSBメモリがよく使われ
るが、これはリスクもはらんでいる。
もしUSBメモリを紛失したり不正
にコピーして持ち出したりした場合、
一度に大量のデータを流出させてしま
う。顧客や取引先の情報が流出すれ
ば、会社の信用はたちまち失墜する。
「SOXBOX
NXでは、業務に使
うUSBメモリが登録できるので、そ
れ以外のものを差し込んでも使えない
仕組みになっています。また、当社で
は暗証番号を入力しないと使えない
USBメモリも取り扱っています。通
常のものよりも費用はかかりますが、
暗証番号機能付きUSBメモリを会
社が導入していることの意味を社員が
知ることによって、情報漏えいに対す
る意識が高まるという効果も期待で
きます」(加藤氏)
また、USBメモリと並ぶもう一つ
の記録媒体として、ブルーレイドライ
ブが付いたノートパソコンを導入して
いる企業も少なくない。しかし、ミロ
ク情報サービスではあえて通常のDV
Dドライブを推奨しているという。
「最大50GBという大容量のデータ
が書き込めるブルーレイドライブは、
見方を変えれば、一度に大量のデータ
が盗まれるリスクもあるわけです。業
務でどうしても使うのでないなら、ブ
ルーレイドライブを付ける必要はあり
ません」(加藤氏)
営業ツールも情報セキュリティを踏
まえたうえで選択する必要がありそ
うだ。
また、SOXBOX
NXは、昨年
12月から義務づけられた「ストレス
チェック制度」にも役立つという。ス
トレスチェックとは、ストレスに関す
る質問票に労働者が記入し、それを
集計・分析することで、自分のストレ
スレベルを調べる簡単な検査のこと
だ。
「社員のストレスは、過重労働が大
きな原因の1つですが、パソコンの使
用履歴がわかるSOXBOX
NXを
導入すれば、社員が過重労働してい
るかどうかもチェックすることができ
ます。例えば、ある社員は金曜日の
18時に帰宅しているが、USBメモリ
で業務データを持ち帰っているため、
自宅で仕事をしている可能性があると
いったこともわかるようになります」
(加藤氏)
オフラインの状況でもパソコンを使
用した際のログが取得できる。この操
作履歴から社外で行った業務内容や
業務時間もチェックできるため、適切
な労務管理に役立つわけだ。
このように、情報セキュリティ対策
からマイナンバー制度対策、ストレス
チェック対策までを1つで可能にする
SOXBOX
NX。コストや手間な
どを極力抑えたい企業は、検討の価
値がありそうだ。
操作・閲覧履歴の
可視化が情報漏えい
抑止に有効だ!
データのバックアップには何重にも
念を入れた安全プランが必要だ。無
計画に行っていると、いざというとき
に手順を間違えて肝心のデータを壊
してしまったり、復旧に多大な時間と
労力がかかってしまったりする。そう
ならないために、ミロク情報サービス
が提案しているのが、バックアップの
鉄則、「3‒
2‒
1」ルールだ。
「二重三重に安全性を高めるには、3
‒
2‒
1ルールに基づいてバックアップ
計画を立てるのが有効です。3は、3
つ以上のデータを確保すること。原本
以外に2つ以上バックアップを取ってお
いてください。2は、HDD+RDX
(Removable Disk Exchange system
)
といったように2種類以上の記憶メ
ディアを使用すること。1は、遠隔地
に保管することです」(加藤氏)
では具体的にどのようなツールを用
いたらよいか。まず「3」については、
バックアップ用のソフトウェアを用意す
る。ミロク情報サービスが推奨してい
るのが、イメージバックアップツールの
「Arcserve
UDP」だ。こ
れはサーバーやPCのシステム環境を
丸ごとバックアップするソフトで、ハー
ドウェアの障害時に別のハードウェア
に対してOSやアプリケーションを最
短で数十分で復旧することができる。
さらに、各アプリケーションの設定情
報も元通りに復旧できるので、再度
設定する必要がない。障害からの業
務再開にかかる時間を最小限に抑え
ることができる。ハードウェアの構成
が元と変わっても復旧可能だ。
「2」(2種類以上の記憶メディアを
使用)については、IOデータ機器製
のNAS(Netw
ork Attached Storage
)
や、サーバに組み込む形のRDX(D
ATより高速で、かつ故障が少ない記
録メディア)によるバックアップを推奨
している。「3」で説明した「Arc
serve
UDP」を用いて記録す
る場合のメディアとして、これらのN
ASなどを利用すると、大容量のデー
タでもスムーズにバックアップできる。
最後の「1」(遠隔地に保管)につ
いては、ミロク情報サービスではイン
ターネット経由で簡単・確実にバック
アップできるオンラインストレージの
「MJSセキュアストレージサービス」
を提供している。このサービスのデー
タセンターは、地震が同時に起こりに
くいプレートや沿岸が異なる2つの地
域に分散管理され、震度7の地震に
も耐える設計。企業内のデータが災
害で被害を受けたときも、安全な地
域でデータは保護される。
「自然災害やサイバー攻撃ではなく、
ハードディスクが自然に壊れることも
あります。この場合、エンジニアが手
作業で復旧させることになるので、50
万円とか100万円といった費用がか
かるうえ、時間も1週間以上かかる
場合もあります。それでもデータがな
くては困るとういうことで、当社にも
月に1、2件こうした依頼がありま
す」(加藤氏)
サイバー攻撃によるセキュリティ侵
害への対策が耳目を集めるところだ
が、マイナンバーのような法令対応、
内部統制、さらに災害対策など、企
業はさまざまなリスクから情報を守
らなければならない。そうしたなか、
万一、事業の中断を引き起こすような
被害を受けた際には、復旧を図り、
早急に最低限の事業を継続していく
必要がある。そのための計画を策定
し、訓練することで、万一の際にも事
業を継続できるように備えるのが「事
業継続計画(BCP)」だ。
「BCPの考え方は以前からありま
すが、簡単にいうと、不慮の事故の
際に速やかに復旧させる計画を事前
につくっておくということです。当初
は東日本大震災の影響で災害リスク
ばかりが注目されていましたが、最近
ではIT障害のリスクの高まりもあ
り、そういった意味でもパート1でお
話した〝多層防御〞がますます重要に
なってきています。今後も当社に相談
してよかったといわれるよう、多層防
御を念頭に置いた情報セキュリティ対
策をご提案していきます」(加藤氏)
万一、何らかの障害が起きても、素
早く復旧させることができればダメー
ジを少なくすることができる。基本的
なことではあるが、すべての経営者は、
企業活動の屋台骨を支える重要な投
資として復旧システムの整備を考える
べきだろう。
バックアップの鉄則、
「3-
2-
1」ルールを
採用せよ!
有効な3つの対策
大容量のデータを
持ち出せる周辺機器の
規制も重要
災害でデータが
破壊されても事業は
続けなければ行けない
出社したら、まずはスケジュールをチェックするのが私のルーティンだ。しかし、その日は違った。なぜかパソコンの画面が開かない。そして、総務部長の青山が真っ青な顔で社長室に飛び込んできた。「社長、つ、ついにうちもランサムウェアに感染してしまったようです。最近、日本でも猛威を振るい始めた身代金要求型ウイルスで、すでにほとんどのファイルが開けません…」。 そういう有害なプログラムがあることは知っていたが、まさか当社のような小さな会社が狙われるとは。彼が見せたパソコンの画面には「ファイル復元のお支払いはこちらをクリックしてください」の文字と不気味な顔が…。そう、
これが悪夢の始まりだった。 さっそく、経営幹部を緊急招集して対応策を協議したが、埒が明かない。システム担当者の報告では「ファイルが一度暗号化されてしまうと、ランサムウェアを駆除しても、復元する鍵がない限り、開くことができません。ヤツは○百万円分のビッドコインを購入して支払うように要求しています」という。 当社はこれまで産地直送食品の卸を主に事業を行ってきたが、数年前にEC事業を始めた。最近、その売り上げが伸びてきたところだというのに、サイトはダウンしたままだ。最悪なことに、一部バックアップが取れていないというではないか。これはもう身代金を払うしかないのかと、重い空気が会議室に
漂い始めた。だが犯罪者に屈しても良いのか。 結局、我が社がとった策は、バックアップの取れていなかったデータの復旧はあきらめ、情報システムを初期化することだった。多額の費用と手間がかかり、その間の機会損失と評判の悪化は、大きな痛手となった。 その後の調査の結果、感染原因は、一人の若手社員がセミナーの案内メールに扮した地図(ランサムウェア)を開いてしまったことだと判明した。日頃からあれだけメールやファイルの取り扱いには注意するよう、徹底させていたはずだったのだが…。どうすれば、こうしたサイバー攻撃から身を守ることができるのだろうか。
ランサムウェアの攻撃
オオアキナイ商事 大木俊男 社長
ふつうに情報セキュリティ対策はしていたのに、なぜ当社が…
日頃から一般的な情報セキュリティ対策は行っているつもりだったオオアキナイ商事。実際、アンチウイルスソフトやファイアウォールなどはちゃんと導入していた。ではなぜ、こうした事態を招いてしまったのだろうか?
情報漏えいの不安モクキン不動産開発・岡田社長の悩みは、多くの中堅・中小企業経営者が抱えている課題だろう。ヒト・モノ・カネといったリソースが少ない企業は、情報漏えい対策にどう取り組めばいいのか?
自然災害や人的災害などで、万一、重要なデータが消滅してしまったら、その損害は計り知れないだろう。未然に防ぐには、自然災害などの被害を受けたときを想定し、事業を立て直し、継続する計画を立てておくことが必要だ。この課題に中堅・中小企業はどのように取り組めばいいのか?
P A R T 2
2016年1月から始まったマイナンバー制度。この制度については開始前から情報漏えい対策の必要性が指摘されていたので、当社も予防策としてセキュリティソフトや情報管理システムを導入した。しかし、先日参加した情報セキュリティ関連のセミナーによると、その程度の対策では十分ではないという。 また、最近読んだ雑誌には、海外では社内外の不正行為による個人情報の漏えいや社会保障番号を悪用する事件が頻発していると書いてあった。日本も、もはや他人事ではないかもしれない。 そうはいっても、当社は全国展開で不動産開発を手がけ、一歩一歩成長してした中小企業。ようやく社員も100
名を超えたが、さらなる発展のために、人材はなるべく成長分野に投入していきたいところだ。 さらに、もう一つ別の問題もある。社内ルールで社外への顧客データの持ち出しは禁止しているが、営業スタッフの中には危機管理意識が薄く、顧客データの入ったノートパソコンやタブレットを平気で持ち歩いている者がいる。もちろん、他人に見せているわけではないので今のところトラブルは起きていないが、重要ファイルを持ち出しているケースもあり、不安は募るばかりだ。 そういえば、日本でも以前、内部関係者が大量の顧客情報をコピーして持ち出し、名簿業者に販売していた事件があった。犯行がばれるまで何度も持ち出し、不正に販売していたと
いうから恐ろしいことだ。 当社の社員にはそうした不届き者はいないはずだが、このまま放置しておくわけにもいかないだろう。どんなに厳しく社員教育をしても、社員一人一人が抱える個人的な事情をすべて把握することは難しい。信用していないようで申し訳ないが、金銭苦から犯罪に走る者が出ないとも限らない。 そこで考えたのが、コンプライアンスの徹底は当然のこと、誰が、いつ、どんな情報にアクセスしているのかを見えるようにして情報漏えいの防止と抑止を図ることだ。しかし、それには多くの費用がかかるだろう。残念ながら、当社にその余裕はない。何か、最小限のコストや手間で最大限の効果が上がる対策はないものだろうか。
モクキン不動産開発 岡田浩司 社長
コストや手間を抑えて情報漏えい対策をしたいが…
P A R T 1
山に囲まれているせいか、夏になるとこのあたりは雷が多い。あの日も夕方になって急に黒い雲がわき出し、ゴロゴロ鳴り始めたが、「いつものことだ」くらいにしか私は思っていなかった。 だが、空に稲光が走り、近くにある当社のビルに送電している変電所に落雷があり、ビル全体が停電してしまったのだ。しばらくして電気は復旧したが、真っ先に気になったのはサーバのことだ。 急いで情報システム担当者に状況を尋ねると、案の定、「電源が寸断された影響で、サーバに預けていた顧客データベースの一部が破壊されてしまいました」という。と、その場に営業部長の葉山が駆けつけた。「社長、お客様からの
申し込み処理やキャンセル処理ができません。サービスに支障を来たしています」。現場はパニック状態のようだ。 バックアップを取っているサーバにアクセスして復旧を試みているが、作業に手間取っているらしい。日頃からそうした訓練をやっておくべきだった…。 しかも、よく話を聞けば、バックアップファイルが最新のデータに更新されているかどうかも疑わしいという。なんてことだ。どうすればいいか指示がほしいと言われても、情報セキュリティの知識がない私にはなす術がなかった。相談できる相手も思い浮かばない。 だが幸いにも、結局丸1日かかったが、バックアップからデータの復旧は
することができた。その間、お客様からの申し込みはもちろん、問い合せなどにも対応できず、大変な迷惑をかけてしまったわけだが。 こんなことなら、安全にデータを保管してくれるデータセンターに預けておけばよかったのだが、後の祭りだ。もう二度とこんなことは繰り返してはならない。 考えてみれば、このところ日本は地震が多いし、異常気象や大型台風、火山の噴火など、自然災害のリスクがますます高まっているような気がする。いつ起きてもおかしくない自然災害から大切なデータを守るためにバックアップ体制を再構築したいが、どんな方法が効果的なのだろうか。
バックアップへの過信
旅行代理店サトヤマ 山本一郎 社長
落雷で顧客データベースが破壊!バックアップ体制を再構築したいが…
P A R T 3
1
2
3
1
2
3
1
2
3
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
社内システム
共有フォルダ プリンタ
PC
多層防御の導入例
STOPSTOP
ホームページ&メール
有害サイト
インターネット
不正アクセス
メールプロバイダ
外部からのウイルスの脅威を防ぐためのソフトウェア
操作禁止・制御、外部持ち出し制御マイナンバー安全管理措置
スパムメール対策
ウイルス Webフィルタリング
ファイアウォール、アンチウィルス、アンチスパム、不正侵入検知(オプション)など、複数のセキュリティを1台に統合
外部ストレージ
インターネット出入り口対策
社内・所内FortiGate統合脅威管理(UTM)製品
基幹システムファイルサーバー
SOXBOX NXアプライアンス製品
SOXBOX NX
SymantecEndpointProtection
バックアップ対策
PCのウイルス対策情報漏えい対策
(専用装置)
STOPSTOP
IT-BCP対策を段階的に考えると
効果と課題
データ喪失のリスク軽減
事業所 事業所 事業所 別の場所 事業所 別の場所
同一施設内のため災害への配慮が必要
データ喪失を回避でき、災害時のダメージを軽減
バックアップ
短時間での復旧が可能
設備の二重負担
業務停止時間の回避
設備、要員の二重負担
セキュリティ&バックアップ
概要
システム&データ
ハードウェア
運用体制&メーカー
施設設備
レベル1
データ分散
レベル2
IT冗長化
レベル3
運用要員分散
レベル4
システムやデータに影響する範囲にウイルス対策を行い、データは別の装置にバックアップを行う。
データのバックアップは、複数の手法を組み合わせ、遠隔地に保管するなど、データ分散を行い保管する。
災害時に速やかに復旧できるようにIT環境を冗長化させる。コストがかかるため、リスクの許容範囲と調整した検討が必要。
災害時にIT環境とともに運用要員も対応できる体制の構築が必要。
構成イメージ
ダイヤモンド・オンライン(2016年8月22日)公開
株式会社ミロク情報サービス
〒163-0048 東京都新宿区西新宿1-25-1 新宿センタービル48F 私書箱4051号電話 03-5326-0381http://www.mjs.co.jp/
お問い合わせ先
企業規模の大小は関係ないランサムウェアや情報漏洩のリスクがあなたの企業を狙っている!
!企業の情報資産は“多層防御”で守れ
3つのストーリーから学ぶ
日に日に巧妙化するサイバー攻撃をはじめ、内部・外部からの情報漏えい、地震や水害によるシステム障害・サーバ故障など、企業の情報セキュリティに関するリスクは高まるばかりだ。それは大企業だけの話ではない。そこで本編では、企業に今迫っている3つの最新サイバーリスクを、ストーリー仕立てで紹介する。また、そうした事態を未然に防ぐための有効な対策を、中堅・中小企業の情報セキュリティに詳しいミロク情報サービスの加藤部長に聞いた。
ミロク情報サービス営業本部 営業推進部サービス企画グループ長部長加藤 武史氏
1
2
3
※本資料に登場する3つの会社の社長のストーリーは、取材に基づきダイヤモンド社が構成したフィクションです。実在の企業とは関係ありません。
3 2
5 4
7 6
パソコン・アプリケーション操作履歴確認
●パソコンの起動・終了を記録●アプリケーションの操作を記録●印刷操作を記録●ファイルのアクセスを記録●メールの履歴を確認 など
不正接続検知・遮断
社内ネットワークに無断接続したパソコンを検知・遮断
●USBメモリなどの外部メディアへの書き込み禁止●印刷禁止●ファイル共有ソフトなど稼働禁止
データ持ち出し禁止・制限 IT設備情報の自動収集
SOXBOX NX
ハードウェア構成・OS・サービスパックのバージョン、アプリケーションのインストール情報、バッチの適用情報を自動収集
1台でパソコンやインターネット利用を監視し、USBメモリなどの使用を禁止できる。しかも社内のパソコンの状態を把握できるので、IT施設管理にも利用できる。
企業の重要情報の多くがデジタル
データで管理されるようになった昨
今、情報セキュリティ対策は中堅・中
小企業の経営者にとっても非常に大き
な課題となっている。なかでも、日本
で被害が急増しているのがマルウェア
の一種、ランサムウェアだ。
ミロク情報サービスの加藤武史氏
は、次のように語る。
「ランサムウェアに感染して自社の
データがロックされてしまうと、取引
先や顧客への支払い、請求書の発行が
できないなど企業活動がストップして
しまいます。これは企業にとって死活
問題ですから、これまで以上に経営
者は危機感を募らせています」。実際、
企業規模の大小問わず、ミロク情報
サービスにもランサムウェア対策に関
する問い合わせが急増しているとい
う。
そもそもランサムウェアは、感染し
たパソコンやそのパソコンに接続した
USBハードディスク、同一ネットワー
ク上の共有フォルダ内のデータを不正
に暗号化するなどさまざまな方法で
使用不能にし、その復元と引き換え
に「身代金(ransom)」を要求
するという不正プログラムだ。
なかには、身代金を払って復旧させ
た企業もあるらしいが、安易に向こう
の言いなりになることはサイバー犯罪
を助長し、より巧妙な手口のランサム
ウェアを増加させることにもなりかね
ない。さらに、格好のターゲットにさ
れてしまう可能性もあり、非常に危
険だ。事前に有効な対策を打ってお
くべきだが、どのような手段があるの
だろうか。
「主な対策は3つあります。1つはパ
ソコンを感染させないこと。不審な
メールの添付ファイルやリンクを開か
ない、怪しいサイトに近寄らないといっ
たことを社内に周知させることが大切
です」(加藤氏)
具体的なソリューションとしては、
「WEBサイトフィルタリング」など
の機能を備えた「SOXBOX
NX」
が役立つという。
「2つめは予防的な措置です。まず、
ネットワークの出入口にファイアウォー
ル製品『Forti
Gate(フォー
ティゲート)』を設置し、監視を怠ら
ないこと。個々のパソコンにアンチウ
イルスソフトを正しく導入し、既知の
マルウェアを発見した場合は警告を出
し、駆除することが必要です」(加藤
氏)
例えばフォーティゲートは、ファイ
アーウォール・アンチウイルス・アンチ
スパム機能等により、企業に必要なイ
ンターネット出入口におけるセキュリ
ティ対策を1台で実現する。
「最後はバックアップです。万が一、
ランサムウェアに感染したら、身代金
を払うかバックアップから復元する
か、この2つしか選択肢はありません
から、当然、バックアップをお勧めし
ています。ネットワークと切り離され
た場所にバックアップを取っておけば、
ロックされたファイルもすぐに復旧で
きます。」(加藤氏)
サイバー攻撃の手口は日に日に巧妙
化している。もし犯人があなたの会社
に目をつけたとしたら、防ぐのは難し
いだろう。取引先や顧客になりすま
すなど、思いもよらない新たな方法で
次々と攻撃を仕掛けてくるからだ。
「中堅・中小企業であっても、先にお
話した3つの対策でランサムウェアに
備えることができます。アンチウイル
スだけではサイバー攻撃から会社の情
報を守ることはできません。新たなウ
イルスがどんどん発生していて、それ
に追いつかないからです。100%の
セキュリティ対策はない! というこ
とを覚えておいてください。
つまり、情報セキュリティに関して
は『多層防衛』という考え方で備え
ることが必要。ですから、当社では会
社の状況や事業内容などに応じて複
数のセキュリティ対策を組み合わせて
ご提案しています」(加藤氏)
具体的には、(1)迷惑メールを排
除してくれる仕組みを導入する、
(2)危険なサイトに誘導されないよ
うにする、(3)インターネットの入
り口を防御する、(4)パソコンやサー
バをセキュリティソフトで守る、(5)
バックアップを確実に複数の組み合わ
せで行う――といった何重もの壁を設
けるのが有効だ。
もうお分かりのように、アンチウイ
ルスソフトやファイアウォールなどの
対策を講じていたオオアキナイ商事が
ランサムウェアに感染してしまったの
は、セキュリティ対策が多層構造になっ
ていなかったからだ。あなたの会社は
大丈夫だろうか。
クラウドストレージの「Box」は、個人向けの無料サービスもあるが、主軸は企業向けの有料サービスである。すでに世界4万7000の企業・組織がアカウントを持ち、「フォーチュン500」企業の51%で利用されているという。創業者の1人でもあるアーロン・レヴィCEOに、クラウド時代の中心プレーヤーの1社となりつつあるBoxは、これからどこへ向かうのか聞いた。
(取材・文/ダイヤモンド・オンライン IT&ビジネス 指田昌夫)
Boxのクラウドストレージが
アーロン・レヴィ Box共同創設者兼CEOに聞く
100%のセキュリティ
対策はない!
〝多層防衛〞の考え方で
備えることが必要だ
グローバル企業に支持される理由
情報漏えいの主な原因は、社員に
よる不正な顧客情報の持ち出し、うっ
かりミスによる紛失など内部によるも
のと、不正アクセスといったサイバー
攻撃などの外部によるものの2つ。ど
ちらも、ますます件数が増えている。
モクキン不動産開発の岡田社長が不
安になるのも無理はないだろう。では、
同社のようなヒト・モノ・カネといった
リソースが少ない企業はどのような対
策を打てるのだろうか。
このような不正操作や情報漏えい
などを防ぐためにミロク情報サービス
が提供するのが、「SOXBOX
N
X」。昨年来、マイナンバーの情報漏
えい対策で注目を集め、今も引き合
いが増えているという製品だ。
「SOXBOX
NX1台で、ネット
ワークにつながった全パソコンのアプリ
ケーション、ファイル、印刷、メール、ウェ
ブサイト閲覧などの操作履歴を取得
することでデジタルデータの流れを可
視化し、情報漏えいを抑制すること
できます。監視対象のパソコンから取
得した履歴は誰にでもひと目でわかる
レポートで確認できるので、専任の管
理者がいない中小・零細企業でも業務
の負荷を増やすことなく運用できると
いうメリットもあります」(加藤氏)
さらに、ファイルのコピーやパート
1でも紹介したWEBサイトの閲覧
履歴やブロックなどの機能もあり、監
視、禁止、運用などを一括管理できる。
特定のアプリケーションの稼働を禁止
することも可能だ。不正なコピーを
取ったり、パソコンが通常と違う使わ
れ方をしているとすぐにわかるため、
社員の不正の抑止力にもなる。
また、大きなファイルをやりとりす
る業務にはUSBメモリがよく使われ
るが、これはリスクもはらんでいる。
もしUSBメモリを紛失したり不正
にコピーして持ち出したりした場合、
一度に大量のデータを流出させてしま
う。顧客や取引先の情報が流出すれ
ば、会社の信用はたちまち失墜する。
「SOXBOX
NXでは、業務に使
うUSBメモリが登録できるので、そ
れ以外のものを差し込んでも使えない
仕組みになっています。また、当社で
は暗証番号を入力しないと使えない
USBメモリも取り扱っています。通
常のものよりも費用はかかりますが、
暗証番号機能付きUSBメモリを会
社が導入していることの意味を社員が
知ることによって、情報漏えいに対す
る意識が高まるという効果も期待で
きます」(加藤氏)
また、USBメモリと並ぶもう一つ
の記録媒体として、ブルーレイドライ
ブが付いたノートパソコンを導入して
いる企業も少なくない。しかし、ミロ
ク情報サービスではあえて通常のDV
Dドライブを推奨しているという。
「最大50GBという大容量のデータ
が書き込めるブルーレイドライブは、
見方を変えれば、一度に大量のデータ
が盗まれるリスクもあるわけです。業
務でどうしても使うのでないなら、ブ
ルーレイドライブを付ける必要はあり
ません」(加藤氏)
営業ツールも情報セキュリティを踏
まえたうえで選択する必要がありそ
うだ。
また、SOXBOX NXは、昨年
12月から義務づけられた「ストレス
チェック制度」にも役立つという。ス
トレスチェックとは、ストレスに関す
る質問票に労働者が記入し、それを
集計・分析することで、自分のストレ
スレベルを調べる簡単な検査のこと
だ。
「社員のストレスは、過重労働が大
きな原因の1つですが、パソコンの使
用履歴がわかるSOXBOX
NXを
導入すれば、社員が過重労働してい
るかどうかもチェックすることができ
ます。例えば、ある社員は金曜日の
18時に帰宅しているが、USBメモリ
で業務データを持ち帰っているため、
自宅で仕事をしている可能性があると
いったこともわかるようになります」
(加藤氏)
オフラインの状況でもパソコンを使
用した際のログが取得できる。この操
作履歴から社外で行った業務内容や
業務時間もチェックできるため、適切
な労務管理に役立つわけだ。
このように、情報セキュリティ対策
からマイナンバー制度対策、ストレス
チェック対策までを1つで可能にする
SOXBOX
NX。コストや手間な
どを極力抑えたい企業は、検討の価
値がありそうだ。
操作・閲覧履歴の
可視化が情報漏えい
抑止に有効だ!
データのバックアップには何重にも
念を入れた安全プランが必要だ。無
計画に行っていると、いざというとき
に手順を間違えて肝心のデータを壊
してしまったり、復旧に多大な時間と
労力がかかってしまったりする。そう
ならないために、ミロク情報サービス
が提案しているのが、バックアップの
鉄則、「3‒
2‒
1」ルールだ。
「二重三重に安全性を高めるには、3
‒
2‒
1ルールに基づいてバックアップ
計画を立てるのが有効です。3は、3
つ以上のデータを確保すること。原本
以外に2つ以上バックアップを取ってお
いてください。2は、HDD+RDX
(Removable Disk Exchange system
)
といったように2種類以上の記憶メ
ディアを使用すること。1は、遠隔地
に保管することです」(加藤氏)
では具体的にどのようなツールを用
いたらよいか。まず「3」については、
バックアップ用のソフトウェアを用意す
る。ミロク情報サービスが推奨してい
るのが、イメージバックアップツールの
「Arcserve
UDP」だ。こ
れはサーバーやPCのシステム環境を
丸ごとバックアップするソフトで、ハー
ドウェアの障害時に別のハードウェア
に対してOSやアプリケーションを最
短で数十分で復旧することができる。
さらに、各アプリケーションの設定情
報も元通りに復旧できるので、再度
設定する必要がない。障害からの業
務再開にかかる時間を最小限に抑え
ることができる。ハードウェアの構成
が元と変わっても復旧可能だ。
「2」(2種類以上の記憶メディアを
使用)については、IOデータ機器製
のNAS(Netw
ork Attached Storage
)
や、サーバに組み込む形のRDX(D
ATより高速で、かつ故障が少ない記
録メディア)によるバックアップを推奨
している。「3」で説明した「Arc
serve
UDP」を用いて記録す
る場合のメディアとして、これらのN
ASなどを利用すると、大容量のデー
タでもスムーズにバックアップできる。
最後の「1」(遠隔地に保管)につ
いては、ミロク情報サービスではイン
ターネット経由で簡単・確実にバック
アップできるオンラインストレージの
「MJSセキュアストレージサービス」
を提供している。このサービスのデー
タセンターは、地震が同時に起こりに
くいプレートや沿岸が異なる2つの地
域に分散管理され、震度7の地震に
も耐える設計。企業内のデータが災
害で被害を受けたときも、安全な地
域でデータは保護される。
「自然災害やサイバー攻撃ではなく、
ハードディスクが自然に壊れることも
あります。この場合、エンジニアが手
作業で復旧させることになるので、50
万円とか100万円といった費用がか
かるうえ、時間も1週間以上かかる
場合もあります。それでもデータがな
くては困るとういうことで、当社にも
月に1、2件こうした依頼がありま
す」(加藤氏)
サイバー攻撃によるセキュリティ侵
害への対策が耳目を集めるところだ
が、マイナンバーのような法令対応、
内部統制、さらに災害対策など、企
業はさまざまなリスクから情報を守
らなければならない。そうしたなか、
万一、事業の中断を引き起こすような
被害を受けた際には、復旧を図り、
早急に最低限の事業を継続していく
必要がある。そのための計画を策定
し、訓練することで、万一の際にも事
業を継続できるように備えるのが「事
業継続計画(BCP)」だ。
「BCPの考え方は以前からありま
すが、簡単にいうと、不慮の事故の
際に速やかに復旧させる計画を事前
につくっておくということです。当初
は東日本大震災の影響で災害リスク
ばかりが注目されていましたが、最近
ではIT障害のリスクの高まりもあ
り、そういった意味でもパート1でお
話した〝多層防御〞がますます重要に
なってきています。今後も当社に相談
してよかったといわれるよう、多層防
御を念頭に置いた情報セキュリティ対
策をご提案していきます」(加藤氏)
万一、何らかの障害が起きても、素
早く復旧させることができればダメー
ジを少なくすることができる。基本的
なことではあるが、すべての経営者は、
企業活動の屋台骨を支える重要な投
資として復旧システムの整備を考える
べきだろう。
バックアップの鉄則、
「3-
2-
1」ルールを
採用せよ!
有効な3つの対策
大容量のデータを
持ち出せる周辺機器の
規制も重要
災害でデータが
破壊されても事業は
続けなければ行けない
出社したら、まずはスケジュールをチェックするのが私のルーティンだ。しかし、その日は違った。なぜかパソコンの画面が開かない。そして、総務部長の青山が真っ青な顔で社長室に飛び込んできた。「社長、つ、ついにうちもランサムウェアに感染してしまったようです。最近、日本でも猛威を振るい始めた身代金要求型ウイルスで、すでにほとんどのファイルが開けません…」。 そういう有害なプログラムがあることは知っていたが、まさか当社のような小さな会社が狙われるとは。彼が見せたパソコンの画面には「ファイル復元のお支払いはこちらをクリックしてください」の文字と不気味な顔が…。そう、
これが悪夢の始まりだった。 さっそく、経営幹部を緊急招集して対応策を協議したが、埒が明かない。システム担当者の報告では「ファイルが一度暗号化されてしまうと、ランサムウェアを駆除しても、復元する鍵がない限り、開くことができません。ヤツは○百万円分のビッドコインを購入して支払うように要求しています」という。 当社はこれまで産地直送食品の卸を主に事業を行ってきたが、数年前にEC事業を始めた。最近、その売り上げが伸びてきたところだというのに、サイトはダウンしたままだ。最悪なことに、一部バックアップが取れていないというではないか。これはもう身代金を払うしかないのかと、重い空気が会議室に
漂い始めた。だが犯罪者に屈しても良いのか。 結局、我が社がとった策は、バックアップの取れていなかったデータの復旧はあきらめ、情報システムを初期化することだった。多額の費用と手間がかかり、その間の機会損失と評判の悪化は、大きな痛手となった。 その後の調査の結果、感染原因は、一人の若手社員がセミナーの案内メールに扮した地図(ランサムウェア)を開いてしまったことだと判明した。日頃からあれだけメールやファイルの取り扱いには注意するよう、徹底させていたはずだったのだが…。どうすれば、こうしたサイバー攻撃から身を守ることができるのだろうか。
ランサムウェアの攻撃
オオアキナイ商事 大木俊男 社長
ふつうに情報セキュリティ対策はしていたのに、なぜ当社が…
日頃から一般的な情報セキュリティ対策は行っているつもりだったオオアキナイ商事。実際、アンチウイルスソフトやファイアウォールなどはちゃんと導入していた。ではなぜ、こうした事態を招いてしまったのだろうか?
情報漏えいの不安モクキン不動産開発・岡田社長の悩みは、多くの中堅・中小企業経営者が抱えている課題だろう。ヒト・モノ・カネといったリソースが少ない企業は、情報漏えい対策にどう取り組めばいいのか?
自然災害や人的災害などで、万一、重要なデータが消滅してしまったら、その損害は計り知れないだろう。未然に防ぐには、自然災害などの被害を受けたときを想定し、事業を立て直し、継続する計画を立てておくことが必要だ。この課題に中堅・中小企業はどのように取り組めばいいのか?
P A R T 2
2016年1月から始まったマイナンバー制度。この制度については開始前から情報漏えい対策の必要性が指摘されていたので、当社も予防策としてセキュリティソフトや情報管理システムを導入した。しかし、先日参加した情報セキュリティ関連のセミナーによると、その程度の対策では十分ではないという。 また、最近読んだ雑誌には、海外では社内外の不正行為による個人情報の漏えいや社会保障番号を悪用する事件が頻発していると書いてあった。日本も、もはや他人事ではないかもしれない。 そうはいっても、当社は全国展開で不動産開発を手がけ、一歩一歩成長してした中小企業。ようやく社員も100
名を超えたが、さらなる発展のために、人材はなるべく成長分野に投入していきたいところだ。 さらに、もう一つ別の問題もある。社内ルールで社外への顧客データの持ち出しは禁止しているが、営業スタッフの中には危機管理意識が薄く、顧客データの入ったノートパソコンやタブレットを平気で持ち歩いている者がいる。もちろん、他人に見せているわけではないので今のところトラブルは起きていないが、重要ファイルを持ち出しているケースもあり、不安は募るばかりだ。 そういえば、日本でも以前、内部関係者が大量の顧客情報をコピーして持ち出し、名簿業者に販売していた事件があった。犯行がばれるまで何度も持ち出し、不正に販売していたと
いうから恐ろしいことだ。 当社の社員にはそうした不届き者はいないはずだが、このまま放置しておくわけにもいかないだろう。どんなに厳しく社員教育をしても、社員一人一人が抱える個人的な事情をすべて把握することは難しい。信用していないようで申し訳ないが、金銭苦から犯罪に走る者が出ないとも限らない。 そこで考えたのが、コンプライアンスの徹底は当然のこと、誰が、いつ、どんな情報にアクセスしているのかを見えるようにして情報漏えいの防止と抑止を図ることだ。しかし、それには多くの費用がかかるだろう。残念ながら、当社にその余裕はない。何か、最小限のコストや手間で最大限の効果が上がる対策はないものだろうか。
モクキン不動産開発 岡田浩司 社長
コストや手間を抑えて情報漏えい対策をしたいが…
P A R T 1
山に囲まれているせいか、夏になるとこのあたりは雷が多い。あの日も夕方になって急に黒い雲がわき出し、ゴロゴロ鳴り始めたが、「いつものことだ」くらいにしか私は思っていなかった。 だが、空に稲光が走り、近くにある当社のビルに送電している変電所に落雷があり、ビル全体が停電してしまったのだ。しばらくして電気は復旧したが、真っ先に気になったのはサーバのことだ。 急いで情報システム担当者に状況を尋ねると、案の定、「電源が寸断された影響で、サーバに預けていた顧客データベースの一部が破壊されてしまいました」という。と、その場に営業部長の葉山が駆けつけた。「社長、お客様からの
申し込み処理やキャンセル処理ができません。サービスに支障を来たしています」。現場はパニック状態のようだ。 バックアップを取っているサーバにアクセスして復旧を試みているが、作業に手間取っているらしい。日頃からそうした訓練をやっておくべきだった…。 しかも、よく話を聞けば、バックアップファイルが最新のデータに更新されているかどうかも疑わしいという。なんてことだ。どうすればいいか指示がほしいと言われても、情報セキュリティの知識がない私にはなす術がなかった。相談できる相手も思い浮かばない。 だが幸いにも、結局丸1日かかったが、バックアップからデータの復旧は
することができた。その間、お客様からの申し込みはもちろん、問い合せなどにも対応できず、大変な迷惑をかけてしまったわけだが。 こんなことなら、安全にデータを保管してくれるデータセンターに預けておけばよかったのだが、後の祭りだ。もう二度とこんなことは繰り返してはならない。 考えてみれば、このところ日本は地震が多いし、異常気象や大型台風、火山の噴火など、自然災害のリスクがますます高まっているような気がする。いつ起きてもおかしくない自然災害から大切なデータを守るためにバックアップ体制を再構築したいが、どんな方法が効果的なのだろうか。
バックアップへの過信
旅行代理店サトヤマ 山本一郎 社長
落雷で顧客データベースが破壊!バックアップ体制を再構築したいが…
P A R T 3
1
2
3
1
2
3
1
2
3
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
社内システム
共有フォルダ プリンタ
PC
多層防御の導入例
STOPSTOP
ホームページ&メール
有害サイト
インターネット
不正アクセス
メールプロバイダ
外部からのウイルスの脅威を防ぐためのソフトウェア
操作禁止・制御、外部持ち出し制御マイナンバー安全管理措置
スパムメール対策
ウイルス Webフィルタリング
ファイアウォール、アンチウィルス、アンチスパム、不正侵入検知(オプション)など、複数のセキュリティを1台に統合
外部ストレージ
インターネット出入り口対策
社内・所内FortiGate統合脅威管理(UTM)製品
基幹システムファイルサーバー
SOXBOX NXアプライアンス製品
SOXBOX NX
SymantecEndpointProtection
バックアップ対策
PCのウイルス対策情報漏えい対策
(専用装置)
STOPSTOP
IT-BCP対策を段階的に考えると
効果と課題
データ喪失のリスク軽減
事業所 事業所 事業所 別の場所 事業所 別の場所
同一施設内のため災害への配慮が必要
データ喪失を回避でき、災害時のダメージを軽減
バックアップ
短時間での復旧が可能
設備の二重負担
業務停止時間の回避
設備、要員の二重負担
セキュリティ&バックアップ
概要
システム&データ
ハードウェア
運用体制&メーカー
施設設備
レベル1
データ分散
レベル2
IT冗長化
レベル3
運用要員分散
レベル4
システムやデータに影響する範囲にウイルス対策を行い、データは別の装置にバックアップを行う。
データのバックアップは、複数の手法を組み合わせ、遠隔地に保管するなど、データ分散を行い保管する。
災害時に速やかに復旧できるようにIT環境を冗長化させる。コストがかかるため、リスクの許容範囲と調整した検討が必要。
災害時にIT環境とともに運用要員も対応できる体制の構築が必要。
構成イメージ
ダイヤモンド・オンライン(2016年8月22日)公開
株式会社ミロク情報サービス
〒163-0048 東京都新宿区西新宿1-25-1 新宿センタービル48F 私書箱4051号電話 03-5326-0381http://www.mjs.co.jp/
お問い合わせ先
企業規模の大小は関係ないランサムウェアや情報漏洩のリスクがあなたの企業を狙っている!
!企業の情報資産は“多層防御”で守れ
3つのストーリーから学ぶ
日に日に巧妙化するサイバー攻撃をはじめ、内部・外部からの情報漏えい、地震や水害によるシステム障害・サーバ故障など、企業の情報セキュリティに関するリスクは高まるばかりだ。それは大企業だけの話ではない。そこで本編では、企業に今迫っている3つの最新サイバーリスクを、ストーリー仕立てで紹介する。また、そうした事態を未然に防ぐための有効な対策を、中堅・中小企業の情報セキュリティに詳しいミロク情報サービスの加藤部長に聞いた。
ミロク情報サービス営業本部 営業推進部サービス企画グループ長部長加藤 武史氏
1
2
3
※本資料に登場する3つの会社の社長のストーリーは、取材に基づきダイヤモンド社が構成したフィクションです。実在の企業とは関係ありません。
3 2
5 4
7 6
パソコン・アプリケーション操作履歴確認
●パソコンの起動・終了を記録●アプリケーションの操作を記録●印刷操作を記録●ファイルのアクセスを記録●メールの履歴を確認 など
不正接続検知・遮断
社内ネットワークに無断接続したパソコンを検知・遮断
●USBメモリなどの外部メディアへの書き込み禁止●印刷禁止●ファイル共有ソフトなど稼働禁止
データ持ち出し禁止・制限 IT設備情報の自動収集
SOXBOX NX
ハードウェア構成・OS・サービスパックのバージョン、アプリケーションのインストール情報、バッチの適用情報を自動収集
1台でパソコンやインターネット利用を監視し、USBメモリなどの使用を禁止できる。しかも社内のパソコンの状態を把握できるので、IT施設管理にも利用できる。
企業の重要情報の多くがデジタル
データで管理されるようになった昨
今、情報セキュリティ対策は中堅・中
小企業の経営者にとっても非常に大き
な課題となっている。なかでも、日本
で被害が急増しているのがマルウェア
の一種、ランサムウェアだ。
ミロク情報サービスの加藤武史氏
は、次のように語る。
「ランサムウェアに感染して自社の
データがロックされてしまうと、取引
先や顧客への支払い、請求書の発行が
できないなど企業活動がストップして
しまいます。これは企業にとって死活
問題ですから、これまで以上に経営
者は危機感を募らせています」。実際、
企業規模の大小問わず、ミロク情報
サービスにもランサムウェア対策に関
する問い合わせが急増しているとい
う。
そもそもランサムウェアは、感染し
たパソコンやそのパソコンに接続した
USBハードディスク、同一ネットワー
ク上の共有フォルダ内のデータを不正
に暗号化するなどさまざまな方法で
使用不能にし、その復元と引き換え
に「身代金(ransom)」を要求
するという不正プログラムだ。
なかには、身代金を払って復旧させ
た企業もあるらしいが、安易に向こう
の言いなりになることはサイバー犯罪
を助長し、より巧妙な手口のランサム
ウェアを増加させることにもなりかね
ない。さらに、格好のターゲットにさ
れてしまう可能性もあり、非常に危
険だ。事前に有効な対策を打ってお
くべきだが、どのような手段があるの
だろうか。
「主な対策は3つあります。1つはパ
ソコンを感染させないこと。不審な
メールの添付ファイルやリンクを開か
ない、怪しいサイトに近寄らないといっ
たことを社内に周知させることが大切
です」(加藤氏)
具体的なソリューションとしては、
「WEBサイトフィルタリング」など
の機能を備えた「SOXBOX
NX」
が役立つという。
「2つめは予防的な措置です。まず、
ネットワークの出入口にファイアウォー
ル製品『Forti
Gate(フォー
ティゲート)』を設置し、監視を怠ら
ないこと。個々のパソコンにアンチウ
イルスソフトを正しく導入し、既知の
マルウェアを発見した場合は警告を出
し、駆除することが必要です」(加藤
氏)
例えばフォーティゲートは、ファイ
アーウォール・アンチウイルス・アンチ
スパム機能等により、企業に必要なイ
ンターネット出入口におけるセキュリ
ティ対策を1台で実現する。
「最後はバックアップです。万が一、
ランサムウェアに感染したら、身代金
を払うかバックアップから復元する
か、この2つしか選択肢はありません
から、当然、バックアップをお勧めし
ています。ネットワークと切り離され
た場所にバックアップを取っておけば、
ロックされたファイルもすぐに復旧で
きます。」(加藤氏)
サイバー攻撃の手口は日に日に巧妙
化している。もし犯人があなたの会社
に目をつけたとしたら、防ぐのは難し
いだろう。取引先や顧客になりすま
すなど、思いもよらない新たな方法で
次々と攻撃を仕掛けてくるからだ。
「中堅・中小企業であっても、先にお
話した3つの対策でランサムウェアに
備えることができます。アンチウイル
スだけではサイバー攻撃から会社の情
報を守ることはできません。新たなウ
イルスがどんどん発生していて、それ
に追いつかないからです。100%の
セキュリティ対策はない! というこ
とを覚えておいてください。
つまり、情報セキュリティに関して
は『多層防衛』という考え方で備え
ることが必要。ですから、当社では会
社の状況や事業内容などに応じて複
数のセキュリティ対策を組み合わせて
ご提案しています」(加藤氏)
具体的には、(1)迷惑メールを排
除してくれる仕組みを導入する、
(2)危険なサイトに誘導されないよ
うにする、(3)インターネットの入
り口を防御する、(4)パソコンやサー
バをセキュリティソフトで守る、(5)
バックアップを確実に複数の組み合わ
せで行う――といった何重もの壁を設
けるのが有効だ。
もうお分かりのように、アンチウイ
ルスソフトやファイアウォールなどの
対策を講じていたオオアキナイ商事が
ランサムウェアに感染してしまったの
は、セキュリティ対策が多層構造になっ
ていなかったからだ。あなたの会社は
大丈夫だろうか。
クラウドストレージの「Box」は、個人向けの無料サービスもあるが、主軸は企業向けの有料サービスである。すでに世界4万7000の企業・組織がアカウントを持ち、「フォーチュン500」企業の51%で利用されているという。創業者の1人でもあるアーロン・レヴィCEOに、クラウド時代の中心プレーヤーの1社となりつつあるBoxは、これからどこへ向かうのか聞いた。
(取材・文/ダイヤモンド・オンライン IT&ビジネス 指田昌夫)
Boxのクラウドストレージが
アーロン・レヴィ Box共同創設者兼CEOに聞く
100%のセキュリティ
対策はない!
〝多層防衛〞の考え方で
備えることが必要だ
グローバル企業に支持される理由
情報漏えいの主な原因は、社員に
よる不正な顧客情報の持ち出し、うっ
かりミスによる紛失など内部によるも
のと、不正アクセスといったサイバー
攻撃などの外部によるものの2つ。ど
ちらも、ますます件数が増えている。
モクキン不動産開発の岡田社長が不
安になるのも無理はないだろう。では、
同社のようなヒト・モノ・カネといった
リソースが少ない企業はどのような対
策を打てるのだろうか。
このような不正操作や情報漏えい
などを防ぐためにミロク情報サービス
が提供するのが、「SOXBOX
N
X」。昨年来、マイナンバーの情報漏
えい対策で注目を集め、今も引き合
いが増えているという製品だ。
「SOXBOX
NX1台で、ネット
ワークにつながった全パソコンのアプリ
ケーション、ファイル、印刷、メール、ウェ
ブサイト閲覧などの操作履歴を取得
することでデジタルデータの流れを可
視化し、情報漏えいを抑制すること
できます。監視対象のパソコンから取
得した履歴は誰にでもひと目でわかる
レポートで確認できるので、専任の管
理者がいない中小・零細企業でも業務
の負荷を増やすことなく運用できると
いうメリットもあります」(加藤氏)
さらに、ファイルのコピーやパート
1でも紹介したWEBサイトの閲覧
履歴やブロックなどの機能もあり、監
視、禁止、運用などを一括管理できる。
特定のアプリケーションの稼働を禁止
することも可能だ。不正なコピーを
取ったり、パソコンが通常と違う使わ
れ方をしているとすぐにわかるため、
社員の不正の抑止力にもなる。
また、大きなファイルをやりとりす
る業務にはUSBメモリがよく使われ
るが、これはリスクもはらんでいる。
もしUSBメモリを紛失したり不正
にコピーして持ち出したりした場合、
一度に大量のデータを流出させてしま
う。顧客や取引先の情報が流出すれ
ば、会社の信用はたちまち失墜する。
「SOXBOX
NXでは、業務に使
うUSBメモリが登録できるので、そ
れ以外のものを差し込んでも使えない
仕組みになっています。また、当社で
は暗証番号を入力しないと使えない
USBメモリも取り扱っています。通
常のものよりも費用はかかりますが、
暗証番号機能付きUSBメモリを会
社が導入していることの意味を社員が
知ることによって、情報漏えいに対す
る意識が高まるという効果も期待で
きます」(加藤氏)
また、USBメモリと並ぶもう一つ
の記録媒体として、ブルーレイドライ
ブが付いたノートパソコンを導入して
いる企業も少なくない。しかし、ミロ
ク情報サービスではあえて通常のDV
Dドライブを推奨しているという。
「最大50GBという大容量のデータ
が書き込めるブルーレイドライブは、
見方を変えれば、一度に大量のデータ
が盗まれるリスクもあるわけです。業
務でどうしても使うのでないなら、ブ
ルーレイドライブを付ける必要はあり
ません」(加藤氏)
営業ツールも情報セキュリティを踏
まえたうえで選択する必要がありそ
うだ。
また、SOXBOX
NXは、昨年
12月から義務づけられた「ストレス
チェック制度」にも役立つという。ス
トレスチェックとは、ストレスに関す
る質問票に労働者が記入し、それを
集計・分析することで、自分のストレ
スレベルを調べる簡単な検査のこと
だ。
「社員のストレスは、過重労働が大
きな原因の1つですが、パソコンの使
用履歴がわかるSOXBOX
NXを
導入すれば、社員が過重労働してい
るかどうかもチェックすることができ
ます。例えば、ある社員は金曜日の
18時に帰宅しているが、USBメモリ
で業務データを持ち帰っているため、
自宅で仕事をしている可能性があると
いったこともわかるようになります」
(加藤氏)
オフラインの状況でもパソコンを使
用した際のログが取得できる。この操
作履歴から社外で行った業務内容や
業務時間もチェックできるため、適切
な労務管理に役立つわけだ。
このように、情報セキュリティ対策
からマイナンバー制度対策、ストレス
チェック対策までを1つで可能にする
SOXBOX
NX。コストや手間な
どを極力抑えたい企業は、検討の価
値がありそうだ。
操作・閲覧履歴の
可視化が情報漏えい
抑止に有効だ!
データのバックアップには何重にも
念を入れた安全プランが必要だ。無
計画に行っていると、いざというとき
に手順を間違えて肝心のデータを壊
してしまったり、復旧に多大な時間と
労力がかかってしまったりする。そう
ならないために、ミロク情報サービス
が提案しているのが、バックアップの
鉄則、「3‒
2‒
1」ルールだ。
「二重三重に安全性を高めるには、3
‒
2‒
1ルールに基づいてバックアップ
計画を立てるのが有効です。3は、3
つ以上のデータを確保すること。原本
以外に2つ以上バックアップを取ってお
いてください。2は、HDD+RDX
(Removable Disk Exchange system
)
といったように2種類以上の記憶メ
ディアを使用すること。1は、遠隔地
に保管することです」(加藤氏)
では具体的にどのようなツールを用
いたらよいか。まず「3」については、
バックアップ用のソフトウェアを用意す
る。ミロク情報サービスが推奨してい
るのが、イメージバックアップツールの
「Arcserve
UDP」だ。こ
れはサーバーやPCのシステム環境を
丸ごとバックアップするソフトで、ハー
ドウェアの障害時に別のハードウェア
に対してOSやアプリケーションを最
短で数十分で復旧することができる。
さらに、各アプリケーションの設定情
報も元通りに復旧できるので、再度
設定する必要がない。障害からの業
務再開にかかる時間を最小限に抑え
ることができる。ハードウェアの構成
が元と変わっても復旧可能だ。
「2」(2種類以上の記憶メディアを
使用)については、IOデータ機器製
のNAS(Netw
ork Attached Storage
)
や、サーバに組み込む形のRDX(D
ATより高速で、かつ故障が少ない記
録メディア)によるバックアップを推奨
している。「3」で説明した「Arc
serve
UDP」を用いて記録す
る場合のメディアとして、これらのN
ASなどを利用すると、大容量のデー
タでもスムーズにバックアップできる。
最後の「1」(遠隔地に保管)につ
いては、ミロク情報サービスではイン
ターネット経由で簡単・確実にバック
アップできるオンラインストレージの
「MJSセキュアストレージサービス」
を提供している。このサービスのデー
タセンターは、地震が同時に起こりに
くいプレートや沿岸が異なる2つの地
域に分散管理され、震度7の地震に
も耐える設計。企業内のデータが災
害で被害を受けたときも、安全な地
域でデータは保護される。
「自然災害やサイバー攻撃ではなく、
ハードディスクが自然に壊れることも
あります。この場合、エンジニアが手
作業で復旧させることになるので、50
万円とか100万円といった費用がか
かるうえ、時間も1週間以上かかる
場合もあります。それでもデータがな
くては困るとういうことで、当社にも
月に1、2件こうした依頼がありま
す」(加藤氏)
サイバー攻撃によるセキュリティ侵
害への対策が耳目を集めるところだ
が、マイナンバーのような法令対応、
内部統制、さらに災害対策など、企
業はさまざまなリスクから情報を守
らなければならない。そうしたなか、
万一、事業の中断を引き起こすような
被害を受けた際には、復旧を図り、
早急に最低限の事業を継続していく
必要がある。そのための計画を策定
し、訓練することで、万一の際にも事
業を継続できるように備えるのが「事
業継続計画(BCP)」だ。
「BCPの考え方は以前からありま
すが、簡単にいうと、不慮の事故の
際に速やかに復旧させる計画を事前
につくっておくということです。当初
は東日本大震災の影響で災害リスク
ばかりが注目されていましたが、最近
ではIT障害のリスクの高まりもあ
り、そういった意味でもパート1でお
話した〝多層防御〞がますます重要に
なってきています。今後も当社に相談
してよかったといわれるよう、多層防
御を念頭に置いた情報セキュリティ対
策をご提案していきます」(加藤氏)
万一、何らかの障害が起きても、素
早く復旧させることができればダメー
ジを少なくすることができる。基本的
なことではあるが、すべての経営者は、
企業活動の屋台骨を支える重要な投
資として復旧システムの整備を考える
べきだろう。
バックアップの鉄則、
「3-
2-
1」ルールを
採用せよ!
有効な3つの対策
大容量のデータを
持ち出せる周辺機器の
規制も重要
災害でデータが
破壊されても事業は
続けなければ行けない
出社したら、まずはスケジュールをチェックするのが私のルーティンだ。しかし、その日は違った。なぜかパソコンの画面が開かない。そして、総務部長の青山が真っ青な顔で社長室に飛び込んできた。「社長、つ、ついにうちもランサムウェアに感染してしまったようです。最近、日本でも猛威を振るい始めた身代金要求型ウイルスで、すでにほとんどのファイルが開けません…」。 そういう有害なプログラムがあることは知っていたが、まさか当社のような小さな会社が狙われるとは。彼が見せたパソコンの画面には「ファイル復元のお支払いはこちらをクリックしてください」の文字と不気味な顔が…。そう、
これが悪夢の始まりだった。 さっそく、経営幹部を緊急招集して対応策を協議したが、埒が明かない。システム担当者の報告では「ファイルが一度暗号化されてしまうと、ランサムウェアを駆除しても、復元する鍵がない限り、開くことができません。ヤツは○百万円分のビッドコインを購入して支払うように要求しています」という。 当社はこれまで産地直送食品の卸を主に事業を行ってきたが、数年前にEC事業を始めた。最近、その売り上げが伸びてきたところだというのに、サイトはダウンしたままだ。最悪なことに、一部バックアップが取れていないというではないか。これはもう身代金を払うしかないのかと、重い空気が会議室に
漂い始めた。だが犯罪者に屈しても良いのか。 結局、我が社がとった策は、バックアップの取れていなかったデータの復旧はあきらめ、情報システムを初期化することだった。多額の費用と手間がかかり、その間の機会損失と評判の悪化は、大きな痛手となった。 その後の調査の結果、感染原因は、一人の若手社員がセミナーの案内メールに扮した地図(ランサムウェア)を開いてしまったことだと判明した。日頃からあれだけメールやファイルの取り扱いには注意するよう、徹底させていたはずだったのだが…。どうすれば、こうしたサイバー攻撃から身を守ることができるのだろうか。
ランサムウェアの攻撃
オオアキナイ商事 大木俊男 社長
ふつうに情報セキュリティ対策はしていたのに、なぜ当社が…
日頃から一般的な情報セキュリティ対策は行っているつもりだったオオアキナイ商事。実際、アンチウイルスソフトやファイアウォールなどはちゃんと導入していた。ではなぜ、こうした事態を招いてしまったのだろうか?
情報漏えいの不安モクキン不動産開発・岡田社長の悩みは、多くの中堅・中小企業経営者が抱えている課題だろう。ヒト・モノ・カネといったリソースが少ない企業は、情報漏えい対策にどう取り組めばいいのか?
自然災害や人的災害などで、万一、重要なデータが消滅してしまったら、その損害は計り知れないだろう。未然に防ぐには、自然災害などの被害を受けたときを想定し、事業を立て直し、継続する計画を立てておくことが必要だ。この課題に中堅・中小企業はどのように取り組めばいいのか?
P A R T 2
2016年1月から始まったマイナンバー制度。この制度については開始前から情報漏えい対策の必要性が指摘されていたので、当社も予防策としてセキュリティソフトや情報管理システムを導入した。しかし、先日参加した情報セキュリティ関連のセミナーによると、その程度の対策では十分ではないという。 また、最近読んだ雑誌には、海外では社内外の不正行為による個人情報の漏えいや社会保障番号を悪用する事件が頻発していると書いてあった。日本も、もはや他人事ではないかもしれない。 そうはいっても、当社は全国展開で不動産開発を手がけ、一歩一歩成長してした中小企業。ようやく社員も100
名を超えたが、さらなる発展のために、人材はなるべく成長分野に投入していきたいところだ。 さらに、もう一つ別の問題もある。社内ルールで社外への顧客データの持ち出しは禁止しているが、営業スタッフの中には危機管理意識が薄く、顧客データの入ったノートパソコンやタブレットを平気で持ち歩いている者がいる。もちろん、他人に見せているわけではないので今のところトラブルは起きていないが、重要ファイルを持ち出しているケースもあり、不安は募るばかりだ。 そういえば、日本でも以前、内部関係者が大量の顧客情報をコピーして持ち出し、名簿業者に販売していた事件があった。犯行がばれるまで何度も持ち出し、不正に販売していたと
いうから恐ろしいことだ。 当社の社員にはそうした不届き者はいないはずだが、このまま放置しておくわけにもいかないだろう。どんなに厳しく社員教育をしても、社員一人一人が抱える個人的な事情をすべて把握することは難しい。信用していないようで申し訳ないが、金銭苦から犯罪に走る者が出ないとも限らない。 そこで考えたのが、コンプライアンスの徹底は当然のこと、誰が、いつ、どんな情報にアクセスしているのかを見えるようにして情報漏えいの防止と抑止を図ることだ。しかし、それには多くの費用がかかるだろう。残念ながら、当社にその余裕はない。何か、最小限のコストや手間で最大限の効果が上がる対策はないものだろうか。
モクキン不動産開発 岡田浩司 社長
コストや手間を抑えて情報漏えい対策をしたいが…
P A R T 1
山に囲まれているせいか、夏になるとこのあたりは雷が多い。あの日も夕方になって急に黒い雲がわき出し、ゴロゴロ鳴り始めたが、「いつものことだ」くらいにしか私は思っていなかった。 だが、空に稲光が走り、近くにある当社のビルに送電している変電所に落雷があり、ビル全体が停電してしまったのだ。しばらくして電気は復旧したが、真っ先に気になったのはサーバのことだ。 急いで情報システム担当者に状況を尋ねると、案の定、「電源が寸断された影響で、サーバに預けていた顧客データベースの一部が破壊されてしまいました」という。と、その場に営業部長の葉山が駆けつけた。「社長、お客様からの
申し込み処理やキャンセル処理ができません。サービスに支障を来たしています」。現場はパニック状態のようだ。 バックアップを取っているサーバにアクセスして復旧を試みているが、作業に手間取っているらしい。日頃からそうした訓練をやっておくべきだった…。 しかも、よく話を聞けば、バックアップファイルが最新のデータに更新されているかどうかも疑わしいという。なんてことだ。どうすればいいか指示がほしいと言われても、情報セキュリティの知識がない私にはなす術がなかった。相談できる相手も思い浮かばない。 だが幸いにも、結局丸1日かかったが、バックアップからデータの復旧は
することができた。その間、お客様からの申し込みはもちろん、問い合せなどにも対応できず、大変な迷惑をかけてしまったわけだが。 こんなことなら、安全にデータを保管してくれるデータセンターに預けておけばよかったのだが、後の祭りだ。もう二度とこんなことは繰り返してはならない。 考えてみれば、このところ日本は地震が多いし、異常気象や大型台風、火山の噴火など、自然災害のリスクがますます高まっているような気がする。いつ起きてもおかしくない自然災害から大切なデータを守るためにバックアップ体制を再構築したいが、どんな方法が効果的なのだろうか。
バックアップへの過信
旅行代理店サトヤマ 山本一郎 社長
落雷で顧客データベースが破壊!バックアップ体制を再構築したいが…
P A R T 3
1
2
3
1
2
3
1
2
3
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
企業の情報資産は“多層防御”で守れ!
社内システム
共有フォルダ プリンタ
PC
多層防御の導入例
STOPSTOP
ホームページ&メール
有害サイト
インターネット
不正アクセス
メールプロバイダ
外部からのウイルスの脅威を防ぐためのソフトウェア
操作禁止・制御、外部持ち出し制御マイナンバー安全管理措置
スパムメール対策
ウイルス Webフィルタリング
ファイアウォール、アンチウィルス、アンチスパム、不正侵入検知(オプション)など、複数のセキュリティを1台に統合
外部ストレージ
インターネット出入り口対策
社内・所内FortiGate統合脅威管理(UTM)製品
基幹システムファイルサーバー
SOXBOX NXアプライアンス製品
SOXBOX NX
SymantecEndpointProtection
バックアップ対策
PCのウイルス対策情報漏えい対策
(専用装置)
STOPSTOP
IT-BCP対策を段階的に考えると
効果と課題
データ喪失のリスク軽減
事業所 事業所 事業所 別の場所 事業所 別の場所
同一施設内のため災害への配慮が必要
データ喪失を回避でき、災害時のダメージを軽減
バックアップ
短時間での復旧が可能
設備の二重負担
業務停止時間の回避
設備、要員の二重負担
セキュリティ&バックアップ
概要
システム&データ
ハードウェア
運用体制&メーカー
施設設備
レベル1
データ分散
レベル2
IT冗長化
レベル3
運用要員分散
レベル4
システムやデータに影響する範囲にウイルス対策を行い、データは別の装置にバックアップを行う。
データのバックアップは、複数の手法を組み合わせ、遠隔地に保管するなど、データ分散を行い保管する。
災害時に速やかに復旧できるようにIT環境を冗長化させる。コストがかかるため、リスクの許容範囲と調整した検討が必要。
災害時にIT環境とともに運用要員も対応できる体制の構築が必要。
構成イメージ
ダイヤモンド・オンライン(2016年8月22日)公開
株式会社ミロク情報サービス
〒163-0048 東京都新宿区西新宿1-25-1 新宿センタービル48F 私書箱4051号電話 03-5326-0381http://www.mjs.co.jp/
お問い合わせ先
企業規模の大小は関係ないランサムウェアや情報漏洩のリスクがあなたの企業を狙っている!
!企業の情報資産は“多層防御”で守れ
3つのストーリーから学ぶ
日に日に巧妙化するサイバー攻撃をはじめ、内部・外部からの情報漏えい、地震や水害によるシステム障害・サーバ故障など、企業の情報セキュリティに関するリスクは高まるばかりだ。それは大企業だけの話ではない。そこで本編では、企業に今迫っている3つの最新サイバーリスクを、ストーリー仕立てで紹介する。また、そうした事態を未然に防ぐための有効な対策を、中堅・中小企業の情報セキュリティに詳しいミロク情報サービスの加藤部長に聞いた。
ミロク情報サービス営業本部 営業推進部サービス企画グループ長部長加藤 武史氏
1
2
3
※本資料に登場する3つの会社の社長のストーリーは、取材に基づきダイヤモンド社が構成したフィクションです。実在の企業とは関係ありません。
3 2
5 4
7 6
DIAMOND onlineIT&ビジネス
DIAMOND onlineIT&ビジネス
DIAMOND onlineIT&ビジネス
DIAMOND onlineIT&ビジネス