OCN セキュリティ対策（個人・中小企業のお客さま）

企業や組織を狙うサイバー攻撃の勢いは一向に衰えません。サイバー攻撃と一口に言ってもその手口や種類はさまざまです。中にはコンピュータの「脆弱性」を悪用することで企業内ネットワークに侵入し、マルウェア感染や情報漏えいなどの被害をもたらすものもあります。事業部門の従業員が注意するべき脆弱性と対策を紹介します。

脆弱性は、プログラムの設計ミスなどが原因で生じるセキュリティ上の弱点で、マルウェア感染や不正アクセスの要因となる不具合です。OS（基本ソフト）やソフトには脆弱性がつきもので、サイバー攻撃を受けることによって初めてその存在が明らかになるものもあります。たとえば、サイバー犯罪者によって改ざんされたWebサイト（脆弱性攻撃サイト）の閲覧や、メールに添付されたファイルの開封がきっかけでパソコンがマルウェアに感染してしまうことがあります。こうした攻撃で悪用されるのが脆弱性です。ここから事業部門の従業員が行うべき脆弱性対策について見ていきましょう。

日々の業務遂行に欠かせないパソコンのOSやソフトにも脆弱性が存在します。通常、OSやソフトに脆弱性が見つかった場合、その開発元は速やかに脆弱性を修正するための更新プログラムを作成し、ユーザに無償で提供します。ユーザはそれを適用することでOSやソフトを安全に使い続けることができます。

一般に大企業は、統合管理ツールなどを用いることで多数のパソコンに更新プログラムを計画的に配布し、あらかじめ指定した日時に一斉適用できる体制をとっています。複数のパソコンを一括管理する仕組みを備えていない企業については、システム管理者が従業員に更新プログラムの適用を個別に依頼するケースなどがあげられます。

一般に、OSやソフトの開発元から更新プログラムが提供された場合は速やかに適用することが推奨されます。ただし、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その緊急性や安全性を確認した上でアップデートのタイミングを従業員に指示する場合もあります。従業員には企業に定められた方法、手順、タイミングでOSやソフトをアップデートすることが求められるのです。

また、私たちはWindowsの標準ブラウザであるInternet Explorer（IE）を、少なくとも9カ月以内にMicrosoft Edgeなどの最新ブラウザに移行しなければなりません。Windows 10におけるデスクトップアプリとしてのIEが2022年6月15日にサポート終了になるためです。サポート期限切れのソフトは脆弱性が見つかっても、それを修正する更新プログラムが配布されません。つまり、脆弱性をそのまま放置せざるを得ず、マルウェア感染や情報漏えいなどのリスクが日増しに高まってしまうのです。業務用パソコンの既定ブラウザをIEからMicrosoft Edgeなどに切り替えるようシステム管理者から指示があった場合は速やかに従ってください。

企業によっては、商品やサービスの認知度アップ、販売促進などを目的としたキャンペーンサイト、およびECサイトを事業部門ごとに立ち上げるケースもあるでしょう。その設計・開発、運用・保守においてセキュリティの観点で欠かせないのがコンテンツ管理システム（CMS：Webサイトのコンテンツを構成するテキストや画像、デザイン・レイアウト情報などを一元管理するシステム）の脆弱性対策です。CMSの脆弱性を放置しているとどうなるでしょうか。Webサイトを不正に書き換えられ、マルウェア拡散の踏み台にされることがあります。またECサイトの決済画面を改ざんされ、そこで利用者が入力したクレジットカード情報を盗み取られるかもしれません。利用者に実害が及んでしまった場合、運営元である企業の管理責任を問われ、社会的な信用も失墜することになるでしょう。

CMSの運用・保守をオーナーである事業部門が担っている場合は、脆弱性情報の収集と修正パッチの迅速な適用を徹底してください。外部事業者に委託している場合は、契約書に明記されているとおりに脆弱性対策が行われていることを確認しましょう。

期間限定の特設サイトなどを公開したまま放置するのも避けてください。CMSのアップデートがおろそかになりがちで、Webサイト改ざんなどの被害に遭うリスクが高まるためです。不要になったWebサイトは速やかに閉鎖することをおすすめします。

企業にはシャドーITと脆弱性の問題もあります。シャドーITは企業が許可していない、あるいは利用ルールを設けていないIT機器やソフトなどを従業員がビジネスシーンに持ち込むことを指します。事業部門が企業やシステム部門の承認を得ることなく独自にIT機器やソフトなどを導入・利用することもそれに含まれます。

シャドーITはセキュリティ統制の観点で忌避すべきものです。シャドーITが行われると、システム部門が企業のIT環境の全容を把握できず、脆弱性などのセキュリティリスクを正確にとらえられないためです。当然、無断で使われるIT機器やソフトにはシステム部門の管理が行き届かず、それぞれの脆弱性対策は運用者の裁量に委ねられてしまいます。このため、厳しいセキュリティルールを定めている企業の多くは、従業員や事業部門が無断でIT機器やソフトなどを導入し、それらを業務利用することを認めていないのです。

ルールにはそれが作られた理由があります。禁止されているのであれば、それに従うのが従業員の務めです。企業やシステム部門が許可していないIT機器やソフトを業務に使いたい場合は必ず正式な申請・承認プロセスを経てください。ビジネスシーンへの持ち込みを許可された場合は企業のルールに従って脆弱性対策を行うことが重要です。