第2回【QTnetインタビュー企画】企業の情報を守るセキュリティ対策で、一番有効な方法を知っていますか?

  • 本記事は2018年9月のメールマガジン配信記事です。

前回は、情報セキュリティの第一人者・小松教授へのインタビューによって「情報漏えいの7割が人的要因によるもの」であると驚きの事実が分かりました。
そこで今回は福岡県警からサイバー犯罪のアドバイザーを委任されている、九州大学の小出教授に「サイバーセキュリティ対策で一番有効な方法」を伺ってきました。

第2回目は「企業の情報を守るセキュリティ対策で、一番有効な方法を知っていますか?」

第2回【QTnetインタビュー企画】企業の情報を守るセキュリティ対策で、一番有効な方法を知っていますか?

情報漏えいは、どうやって防げばいいのか、頭を悩ませている中小企業の経営者や担当者は多いのではないでしょうか? 九州大学情報基盤研究開発センターの小出洋教授は、福岡県警から九州で初めて「サイバー犯罪対策テクニカルアドバイザー」を委嘱された情報システムの権威者です。今回は小出教授の話を交えて、従業員への「教育」の観点から情報セキュリティ対策についてお伝えします。

1. 「教育不足」が原因?仮想通貨「NEM」580億円流出

警察庁によると、不正アクセスなどサイバー犯罪に関する2017年上半期(1~6月)の警察への相談件数は前年同期比4.9%増の6万9977件で、過去最多となった。中でも不正アクセスやウイルスに関する相談が前年同期の1.5倍を超える6848件に急増。インターネットバンキングや仮想通貨の利用者が拡大する中、セキュリティ対策の一層の強化が課題になっている

「教育不足」が原因?仮想通貨「NEM」580億円流出

2018年1月、大手仮想通貨取引所のコインチェック(東京都渋谷区)が、外部から不正なアクセスを受け、仮想通貨「NEM(ネム)」約580億円分が流出した問題は、記憶に新しい方が多いのではないだろうか。
教授は「仮想通貨の売買や管理はシステム上において従来と変わっていない。コインチェックの事案も従業員へのセキュリティ対策の教育が行き届いていなかった可能性があると推測されます。セキュリティについて高度な技術や知識がなくてもある程度の対策はできるんです」と話す。

2. 即実践!従業員が最低限やっておくべき
「3つのセキュリティ」

では、どうやってセキュリティ対策を講じればいいのだろうか。教授は「情報を守るのもヒトであり、攻撃するのもヒトです。このため最大の防御は情報セキュリティに関する教育です」と対策について言及した。

即実践!従業員が最低限やっておくべき「3つのセキュリティ」

セキュリティ教育のためには、情報システムに対する経営者や従業員の「考え方」を見直す必要がある。例えば、企業では、外部の人間の侵入を防ぐために、警備員がいたり、最後に仕事を終えた従業員が部屋の鍵をかけたりするということを当たり前に行っている。このように物理的なセキュリティと同じように、情報システムも最低限保護することが当たり前という認識を持たなければいけないという。

具体的な策として、教授は三つ要素を挙げた。

  1. 安全なパスワードの管理
    英単語と数字を混在させるなどして、ハッキングツールの機械的な処理で割り出しにくいものにするように指導する。
  2. アプリの管理
    従業員がパソコンでどんなアプリを使用しているかを把握し、業務に不要なアプリは削除する。
  3. メールの管理
    知らないアドレスから届いたメールを開かないように徹底させる。

この三つの要素は基本中の基本としながらも「その基本ができていない企業は多いんです。この基本ができるだけでも、何もしないよりは情報は保護されます。セキュリティ意識を高めることが何よりも大切なんです」と教授は強調した。

3. 福岡県警が発信「中小企業を守る」最新セキュリティ

教授は「中小企業はシステムのプロの技術者を新たに雇うことは財政面で難しいところもあると思います。しかし、あきらめてしまえば、情報という資産が奪われて、会社が倒産する危機に陥りかねません。そうならないためには、第三者機関の活用をお勧めします」と提案した。

福岡県警が発信「中小企業を守る」最新セキュリティ

福岡県警はF-CSNET(福岡県中小事業者サイバーセキュリティ支援ネットワーク)NEWSを公式ホームページに立ち上げている。県下約14万社の中小事業者を対象に、ネットワークでの事業内容や最新の脅威情報やセキュリティ対策等を発信している。
「福岡県内の99.9%の中小企業がこのネットワークに入っています。配信された記事を、従業員に教えて実践するだけでもセキュリティの強化につながります」と企業独自で解決するのではなく、専門機関の力を取り入れる必要性を説いた。

4. 「まさか日本で」2020年に20万人が不足、情報セキュリティ人材

改めてセキュリティ強化の必要性が浮き彫りになった事案が昨年5月に発生した。ランサムウェア(身代金要求型ウイルス)による被害が世界的に広がり、警察庁はその1カ月後、類似ウイルスの感染拡大を確認している。
「攻撃する側の技術は進化します。新たなウイルスは利用者が感染に気付かない恐れがあります。システムを扱わない従業員の教育と並行して、技術者のスキルを上げることも不可欠です」と語る。

「まさか日本で」2020年に20万人が不足、情報セキュリティ人材

経済産業省は2020年の情報セキュリティの人材は20万人弱不足する試算を出している。こうした背景から、九州大は2018年度から社会人にサイバーセキュリティ技術を教える「enPiT Pro(エンピットプロ)」を始めた。福岡県警やYAHOO JAPANなどと連携して産学官で必要な人材を育成する文部科学省の支援事業であり、2021年度までに約600人の確保を目指すという。

教授は「技術者は今の業務をやるだけで精一杯の状態にあります。それでは成長しません。いろんな会社の技術者が集まり、情報を共有したり、先の情勢まで読みとったりすることで力をつけて競い合えばイノベーションが起きると考えます。enPiT Proはそういう場にしたい」と説明し、「今は、俯瞰的な立場から情報セキュリティ対策を描けなくなっているんです。それぞれのセクションの人たちが一体となって総合力で情報を守っていかなくてはいけない時代です。資源が乏しい日本で情報を守ることは、すなわち日本の経済を守ることになるんです」と力を込めた。

あとがき

普段私たちは、玄関の鍵をかけたり道路側に荷物を持たないようにしたりして犯罪を未然に防いでいます。これと同じように情報セキュリティ対策も「日々の当たり前の対策」として考え、実践していくことが大切なんですね。小出教授に教えていただいた、三つの要素(1)パスワード対策、(2)不要なアプリの削除、(3)不審なメールは開かない、まずはこれらを忘れずに実行していきたいと思います。