攻撃をすばやく察知する
――社内端末への脅威侵入のリスクにどう対応するかも重要だと考えます。その辺りの対策についてお聞かせください。
まず言えることは、端末への脅威の侵入を100%阻止するのは至難という点です。実際、最近の標的型メールは巧妙で、社員が誤って開封してしまうリスクは防ぎ切れません。ですから、肝心なのは「攻撃されたこと」をいかにすばやく察知し、脅威の拡大や実害の発生を食い止めるかです。
――そのために必要な対策とは何なのでしょうか。
システム面で言えば、エンドポイントソリューションなどで端末の挙動を監視することが必要でしょう。また、たとえ社員の端末が攻撃者に乗っ取られても、重要データが持ち去られないようにすることが大切です。
当社の場合、重要データは社内のプライベートクラウド上にあり、端末が不正プログラムに汚染されたことが分かれば、そのアクセスをすみやかに遮断することが可能になっています。また、不正プログラムの動きが見つかれば、ある程度自動的に感染端末が特定できるようにもなっており、感染端末を特定したのちには、当該社員に問い合わせ、最悪の場合、その端末をネットワークから切り離すといった対処を行っています。さらに重要エリアについては、また別の仕組みで不審な動きをとらえられるようにしてあります。こうした多段の防御によって、重要データが外部に持ち去られるリスクを低減することができるようになるのです。
――社員教育などの人的な対策についてはいかがでしょうか。
もちろん、それも大切です。継続的に社員のセキュリティ意識を高めていけば、感染リスクを"ゼロ"にはできないまでも、感染の確率は下げられます。
もう1つ、学習によって防御の能力を高めるという意味では、事例を基に「疑似体験」を重ねていくことも効果的です。例えば、他社に起きたセキュリティインシデントが「自分たちの会社で起こりえるのか」、仮に起きたとして「どこで、どのように実害の発生・被害の拡大を食い止めることができるか」といった検証を行っていくわけです。こうすることで、自分たちの対策に関する新たな気づきが生まれ、対策上の漏れやウィークポイントを減らしていくことが可能になるのです。
