組織内の情報セキュリティ啓発が不可欠な理由：最大のリスクは認識不足

攻撃リスクを回避するためにWebブラウザを切り替えたとしても、また別のリスクにさらされることになる。

≫ 2010年03月23日 08時00分公開

[Michael Cobb，TechTarget]

　情報セキュリティの専門家なら、組織内でセキュリティについての認識を高めることは、悪天候との闘いのようなものだと身に染みている。やらなければならないのだが、無駄に思えることも多い。しかし、世界でも名だたる企業がサイバー攻撃の被害に遭ったと伝えられる中、企業はあらゆる手段を駆使して情報セキュリティ強化を追求しなければならない。

　本稿では、社外秘情報の流出につながりかねない攻撃に遭って被害が出るのを防ぐため、組織内のセキュリティに対する認識をどう高めるかについて解説する。

　最近、悪天候で路面が凍結して運転が難しくなり、交通事故が急増したことがあった。事態を憂慮した自動車関連団体や省庁は、路面の状況に合わせて運転する方法など注意すべき点についてアドバイスを出した。幸い、車をすべてハンドリングの良さで定評がある某ブランドに買い換えるようにと勧告したところは皆無だった。凍結した路面でのハンドリング性能は確かに車種によって差があるが、そのような勧告が皆無だったのは、問題の根本原因は車でなく運転者にあることを誰もが知っているからだ。

　さて、天候とセキュリティ問題はどう関係があるのか。ドイツ連邦情報セキュリティ局と、サイバー攻撃問題を管轄しているフランスの政府機関Certaは最近、Googleに対する攻撃発生を受けて、ネットユーザーに対してInternet Explorer（IE）の代替ブラウザ利用を促す勧告を行った。だがこの攻撃は限定的かつ高度に標的を絞ったものであり、国民すべてにWebブラウザの切り替えを促すのは、山間部に雪があるという理由で全国に向けて四輪駆動車に切り替えるよう促すに等しい。

　どんなWebブラウザにもセキュリティ問題はある。別のWebブラウザに切り替えれば特定のリスクは防げるかもしれないが、ユーザーはまた別のリスクにさらされる。この点は議論もあるかもしれないが、IEは本質的にほかのWebブラウザに比べて安全性が低いと単純に主張するのは、現実に即していない。確かにIEの脆弱性がGoogleなどの各社に対する攻撃経路の1つとして利用されたのは事実だが、この脆弱性を悪用するためには「セキュリティに無頓着な」ユーザーが必要だった。

　真の問題はインターネットの情報セキュリティに関する認識不足であり、最も現実的かつ長期的な解決策は、アクセスのための手段を変えることではなく、ユーザーの使い方を変えることだ。インターネットの利用は車の利用と同様、ドライバーがどの程度の注意を払うかは、利用環境に応じて変わる。外部に漏れては困る情報を扱う組織に勤めているのなら、インターネットを使うことのリスクとそのリスクを避ける方法について、認識を高める必要がある。

情報セキュリティ問題の啓発

　Googleが受けたような攻撃、それにWebブラウザを使ったさまざまな攻撃を回避するためには、技術とセキュリティ啓発を組み合わせるのが最適だ。

　第一に、今回の脆弱性を突いた攻撃はIE 6に対してのみ通用する。単純に（しかも無料で）IE 8にアップグレードすれば、フィッシング詐欺やマルウェア攻撃の多くは避けられる。NSS Labsのランキングでは、フィッシング対策とマルウェア対策のセキュリティ機能において、IE 8はほかのブラウザよりも上位にランクされている。

　第二に、この種の攻撃を実行するためにはユーザーに電子メールのリンクをクリックさせたり悪質なWebサイトを閲覧させなければならない。それによってユーザーのPCがトロイの木馬に感染し、攻撃者はPCを乗っ取ることができる。どれほど興味をそそられる内容に見えても、一方的に送られてきたメールのリンクをクリックしたり、添付ファイルを開いたりしてはいけないと、ユーザーに徹底させることが不可欠になる。

　ただし公正を期すために言っておくと、今回の攻撃には、標的を絞り込んで具体的な内容を盛り込む極めて高度なソーシャルエンジニアリングの手口が使われた。これは、従業員の情報セキュリティに対する知識や技術を継続的にチェックし、アップデートしなければならないことを物語っている。これには、最新の攻撃にどんな手口が使われているかを知り、ユーザーにその周知を徹底することが含まれる。最新のフィッシング詐欺などソーシャルエンジニアリング攻撃の見分け方と対処の仕方をユーザーが知っていれば、この種の攻撃が成功する確率は大幅に低くなる。

　英国政府機関の国家インフラ保護センター（CPNI）は、Webブラウザについての警告は出さなかったが「状況を監視」し、「リスクが変わればアドバイスを公表する」と述べた。

　同国がもしアドバイスの必要があると判断した場合、それが情報セキュリティ問題に関するユーザーの啓発に的を絞ったものになり、ブランドやWebブラウザについてのものにならないことを願う。Webブラウザの脆弱性とサイバー攻撃はインターネットライフの現実として存在するものであり、単に最新の攻撃を避けるだけでなく、安全なインターネットの利用方法をユーザーに徹底させるため、もっと手を打つ必要がある。

本稿筆者のマイケル・コッブ氏は、データセキュリティおよび解析に関するトレーニングやサポートを提供するITコンサルティング会社、Cobweb Applicationsの創業者兼マネージングディレクター。CISSP-ISSAP（公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル）の資格を持つ。共著書に「IIS Security」があり、大手IT出版物に多くの技術記事を寄稿している。