Digital Arts News Watch

2015年3月、情報処理推進機構(IPA)は、情報セキュリティ分野の有識者による審議と投票により選出された、情報セキュリティの脅威トップ10を発表しました。
https://www.ipa.go.jp/security/vuln/10threats2015.html

IPAは、この資料が各企業や組織の研修や教育などにおいて活用され、セキュリティ対策の普及につながることを期待するとしています。

発表されている2015年の情報セキュリティにおける脅威トップ10は次のとおりで、

1位 「インターネットバンキングやクレジットカード情報の不正利用」
2位 「内部不正による情報漏えい」
3位 「標的型攻撃による諜報活動」
4位 「ウェブサービスへの不正ログイン」
5位 「ウェブサービスからの顧客情報の窃取」
6位 「ハッカー集団によるサイバーテロ」
7位 「ウェブサイトの改ざん」
8位 「インターネット基盤技術を悪用した攻撃」
9位 「脆弱性公表に伴う攻撃」
10位 「悪意のあるスマートフォンアプリ」

今回は1位から3位について、簡単に解説させていただきます。

1位 「インターネットバンキングやクレジットカード情報の不正利用」

ウイルスやフィッシング詐欺によって、インターネットバンキングやクレジットカード情報が窃取され、不正送金や不正利用が行われる被害が、個人だけでなく法人にも急増しました。

＜警察庁提供資料（https://www.npa.go.jp/cyber/pdf/H270212_banking.pdf）＞

各金融機関から提供されている二要素認証の利用や無償のツールを利用することが有効な対策ですが、「このツールをインストールすれば、すべての被害を対処できるわけではない」ということに注意しなければならないと考えます。被害に遭わないためには、ツールをインストールする以外にウイルス対策ソフトやWebフィルタリングソフト、標的型攻撃対策ソリューションの導入といった、対策製品の組合せによる多層防御をおすすめします。

2位 「内部不正による情報漏えい」

これまでセキュリティリスクとして、外部からの攻撃を意識することが多かったのですが、2014年の大手教育関連会社の情報漏洩以降、内部不正への対策に注目が集まりました。

内部の人間が悪意を持つと、正当な権限を用いて情報を窃取でできてしまうため、対策は非常に難しいと言えます。対策には情報の重要度に応じたアクセス権限の設定や離職者のアクセス権の抹消、ファイルの追跡や削除が可能な監視や管理体制を整え、継続的に対処し続ける必要があります。

3位 「標的型攻撃による諜報活動」

メールを活用したマルウェアの感染とそこから発生する脅威はこれまで同様、重大な懸念事項とされています。身に覚えのないメールのリンクや添付ファイルは不用意にクリックしないといった基本的な対策を2015年も継続して実施することをおすすめします。

10大脅威を踏まえて

このように年々巧妙化する脅威に対して、企業は自社のセキュリティ対策やセキュリティ教育が正しく行われているか考えるべきではないでしょうか。

これらの脅威への対策のため、デジタルアーツでは、「i-FILTER」や「FinalCode」を提供しています。

Webフィルタリングソフト「i-FILTER」は、フィッシング対策として「フィッシング対策協議会」および、その運営事務局である一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）の2団体、警視庁サイバー犯罪対策課等と連携しています。情報提供を受けたフィッシングサイトのURL情報は、データベース内の「フィッシング詐欺」という専用カテゴリの中に持っています。これにより、フィッシングによる被害を軽減します。

また、「未知の脅威」に対する防御策で業界をリードする「FireEye」の製品と「i-FILTER」は自動連携することができるため、管理者の手間を省き即時にWebの脅威を防ぎます。FireEye のWebセキュリティNX/CMシリーズが検知したマルウェアによるC＆Cサーバーへの通信を、連携モジュールが自動で「i-FILTER」に登録します。これにより、C＆Cサーバーへのコールバック通信を即時にブロックすることが可能になり、Web上の複合型の高度な脅威による自社の機密情報の漏洩を阻止します。

ファイル暗号化・追跡ソリューション「FinalCode」は、詳細なアクセス権限の付与した上でファイルを暗号化。ファイルの管理と監視を継続的に行うことが可能です。

持ち出されたファイルがいつ、誰によってどんな使われ方がされたか追跡できたり、リアルタイムで閲覧権限を変更できたり、不正な持ち出しが発覚した際にそのファイルを削除できるため、内部不正による情報漏洩対策に有効なソリューションです。

いずれの製品も30日間無料でご利用いただける試用版をご用意しておりますので、ぜひお試しください。
＜製品開発担当：桑原＞

「i-FILTER」「FinalCode」の詳細は下記をご確認ください。