攻撃リスクを回避するためにWebブラウザを切り替えたとしても、また別のリスクにさらされることになる。
情報セキュリティの専門家なら、組織内でセキュリティについての認識を高めることは、悪天候との闘いのようなものだと身に染みている。やらなければならないのだが、無駄に思えることも多い。しかし、世界でも名だたる企業がサイバー攻撃の被害に遭ったと伝えられる中、企業はあらゆる手段を駆使して情報セキュリティ強化を追求しなければならない。
本稿では、社外秘情報の流出につながりかねない攻撃に遭って被害が出るのを防ぐため、組織内のセキュリティに対する認識をどう高めるかについて解説する。
最近、悪天候で路面が凍結して運転が難しくなり、交通事故が急増したことがあった。事態を憂慮した自動車関連団体や省庁は、路面の状況に合わせて運転する方法など注意すべき点についてアドバイスを出した。幸い、車をすべてハンドリングの良さで定評がある某ブランドに買い換えるようにと勧告したところは皆無だった。凍結した路面でのハンドリング性能は確かに車種によって差があるが、そのような勧告が皆無だったのは、問題の根本原因は車でなく運転者にあることを誰もが知っているからだ。
さて、天候とセキュリティ問題はどう関係があるのか。ドイツ連邦情報セキュリティ局と、サイバー攻撃問題を管轄しているフランスの政府機関Certaは最近、Googleに対する攻撃発生を受けて、ネットユーザーに対してInternet Explorer(IE)の代替ブラウザ利用を促す勧告を行った。だがこの攻撃は限定的かつ高度に標的を絞ったものであり、国民すべてにWebブラウザの切り替えを促すのは、山間部に雪があるという理由で全国に向けて四輪駆動車に切り替えるよう促すに等しい。
どんなWebブラウザにもセキュリティ問題はある。別のWebブラウザに切り替えれば特定のリスクは防げるかもしれないが、ユーザーはまた別のリスクにさらされる。この点は議論もあるかもしれないが、IEは本質的にほかのWebブラウザに比べて安全性が低いと単純に主張するのは、現実に即していない。確かにIEの脆弱性がGoogleなどの各社に対する攻撃経路の1つとして利用されたのは事実だが、この脆弱性を悪用するためには「セキュリティに無頓着な」ユーザーが必要だった。
真の問題はインターネットの情報セキュリティに関する認識不足であり、最も現実的かつ長期的な解決策は、アクセスのための手段を変えることではなく、ユーザーの使い方を変えることだ。インターネットの利用は車の利用と同様、ドライバーがどの程度の注意を払うかは、利用環境に応じて変わる。外部に漏れては困る情報を扱う組織に勤めているのなら、インターネットを使うことのリスクとそのリスクを避ける方法について、認識を高める必要がある。
Googleが受けたような攻撃、それにWebブラウザを使ったさまざまな攻撃を回避するためには、技術とセキュリティ啓発を組み合わせるのが最適だ。
第一に、今回の脆弱性を突いた攻撃はIE 6に対してのみ通用する。単純に(しかも無料で)IE 8にアップグレードすれば、フィッシング詐欺やマルウェア攻撃の多くは避けられる。NSS Labsのランキングでは、フィッシング対策とマルウェア対策のセキュリティ機能において、IE 8はほかのブラウザよりも上位にランクされている。
第二に、この種の攻撃を実行するためにはユーザーに電子メールのリンクをクリックさせたり悪質なWebサイトを閲覧させなければならない。それによってユーザーのPCがトロイの木馬に感染し、攻撃者はPCを乗っ取ることができる。どれほど興味をそそられる内容に見えても、一方的に送られてきたメールのリンクをクリックしたり、添付ファイルを開いたりしてはいけないと、ユーザーに徹底させることが不可欠になる。
ただし公正を期すために言っておくと、今回の攻撃には、標的を絞り込んで具体的な内容を盛り込む極めて高度なソーシャルエンジニアリングの手口が使われた。これは、従業員の情報セキュリティに対する知識や技術を継続的にチェックし、アップデートしなければならないことを物語っている。これには、最新の攻撃にどんな手口が使われているかを知り、ユーザーにその周知を徹底することが含まれる。最新のフィッシング詐欺などソーシャルエンジニアリング攻撃の見分け方と対処の仕方をユーザーが知っていれば、この種の攻撃が成功する確率は大幅に低くなる。
英国政府機関の国家インフラ保護センター(CPNI)は、Webブラウザについての警告は出さなかったが「状況を監視」し、「リスクが変わればアドバイスを公表する」と述べた。
同国がもしアドバイスの必要があると判断した場合、それが情報セキュリティ問題に関するユーザーの啓発に的を絞ったものになり、ブランドやWebブラウザについてのものにならないことを願う。Webブラウザの脆弱性とサイバー攻撃はインターネットライフの現実として存在するものであり、単に最新の攻撃を避けるだけでなく、安全なインターネットの利用方法をユーザーに徹底させるため、もっと手を打つ必要がある。
本稿筆者のマイケル・コッブ氏は、データセキュリティおよび解析に関するトレーニングやサポートを提供するITコンサルティング会社、Cobweb Applicationsの創業者兼マネージングディレクター。CISSP-ISSAP(公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル)の資格を持つ。共著書に「IIS Security」があり、大手IT出版物に多くの技術記事を寄稿している。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
