企業調査通じて弱点と対策整理
昨今、サイバー攻撃の巧妙化・多様化が進む中、特に中小企業においては、限られたリソースや知見不足から十分な対策が取られていない現状が指摘されている。そのような状況を踏まえ、独立行政法人情報処理推進機構(IPA)では、中小企業を対象にASM(Attack Surface Management、リスクの検出・評価)ツールによる診断を実施し、さらにアンケートやヒアリング調査を通じて効果や課題を多面的に検証し、実施報告書とサイバーセキュリティリスク事例集にまとめ公開した。
事例集では、中小企業にどのようなセキュリティ上の弱点があり、その弱点が狙われるとどのような被害が起きるのか、そしてどのように対策すればよいのかを、できるだけ分かりやすくまとめている。
ここでは、掲載事例を紹介する。
対策取っていても定期点検を
【事例1】VPN装置の脆弱(ぜいじゃく)性悪用によるランサムウエア感染・ファイル暗号化
製造業を営むA社(売り上げ規模約10億円、従業員数80人)は、兼任ではあるが情報システム担当者を配置し、ウイルス対策ソフトの導入やオンラインバックアップの整備などのセキュリティ対策を実施していた。ある日、ランサムウエアに感染し、設計データや経理データが暗号化されるインシデントが発生した。
クラウドにバックアップを取っていたが、バックアップデータも暗号化されてしまい、データ復旧が困難となった。その結果、一部の業務が停止し、取引先に対して納期遅延を起こすこととなった。
調査した結果、リモートワークで使用しているVPN(Virtual Private Network、仮想専用線)機器に脆弱性があったが、ファームウエア(ハードウエアを制御するソフトウエア)の更新ができておらず、攻撃に悪用されていることが判明した。そこで、VPN機器のファームウエアを更新し、設定の見直しを行った。また、クラウドの認証を見直すとともに、オフラインバックアップを取得するようにした。加えて、インシデント対応計画を整備し、従業員に対して定期的なセキュリティ教育を実施した。
【事例2】クラウド設定ミスによる情報漏えい
情報通信業を営むB社(売り上げ規模約10億円、従業員数100人)は情報システム担当を設置し、EDR(セキュリティソリューションの一つ)の導入やログの収集・監視、インシデント対応計画の策定などの対策を実施していた。ある日、クラウドストレージに保存していた顧客リストや取引条件などの情報が漏えいするインシデントが発生した。その結果、取引先からの信頼が低下し、一部の顧客との取引が停止となった。
調査した結果、クラウドストレージのアクセス権限に誤設定があり、B社のクラウドストレージがインターネットから誰でも閲覧可能な状態であったことが判明した。そこで、クラウドストレージのアクセス権限の全社点検と再設定を行うとともに、アクセス権限に関する設定・管理手順を文書化した。また、アクセスログの定期監査と自動通知設定を行った。
他社の事例を知ることで、対策の必要性を理解し、どこに注意すべきか具体的にイメージができるようになる。自社のセキュリティ対策強化の参考にしていただきたい。
(独立行政法人情報処理推進機構・江島将和)
「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」についてはこちらを参照
