【今月の訪問先】 サイバー大学 IT総合学部 准教授　園田道夫さん （IPA研究員／JNSA研究員） いよいよ夏期休暇の時期が近づいてきました。早くも休み中のプランを練っている社員もいるようですが、ここで気になる情報がひとつ。夏期休暇などの長期休暇の際は、特にITのセキュリティに気をつけなくてはいけないという話を聞いたのです。うちでも何か対策をしなくてはと思いましたが、そもそもなぜ長期休暇に必要なのか、どう対処したらいいのかがわかりません…。そこで今回は、ITセキュリティの専門家でもあるサイバー大学准教授の園田道夫さんにセキュリティに関するお話を伺いました。 ― まずはITセキュリティ全般についてお聞きしたいのですが、ここ最近目立っている傾向はありますか？ 広い意味でのコンピュータウイルスにあたるんですが、「スパイウェア」が増えていますね。 ― スパイウェア、ですか？ ええ。インターネットなどを通じてパソコンの内部へ忍び込み、中に保存してある個人情報を盗み取るプログラムです。ひと昔前のウイルスといえば、画面にメッセージを表示したり、内部のデータを破壊したりと、目に見える行動をとっていました。まあ、いわゆる愉快犯的なものが多かったんですね。しかし、最近のスパイウェアは裏側でこっそりとスパイ行為を働き、そこで得た情報を悪用することで、経済的な利益を得るためのものがほとんどです。この種のウイルスはなるべく自分の行動を隠そうとしますから、感染してもなかなか気がつきにくいんですね。 ― スパイウェアに侵入されると、どのような被害が予想されるのでしょうか？ たとえば、スパイウェアには叩いたキーの動きなどを記録するものがあります。ネットショッピングでクレジットカードの番号と暗証番号を入力することがあるかと思いますが、そうしたスパイウェアは、それを盗み取ってしまいます。こうなると、金銭的な被害を受けることが考えられますよね。 また、パソコン内部の個人情報、たとえばメールアドレスや住所録などが盗まれ、名簿として売られてしまうケースもあります。さらにこれらのデータがまた別のかたちの詐欺に悪用され、二次的被害が発生することもあるんです。 ― それは怖い。でもうちの会社はウイルス対策ソフトを導入しているから安心ですよね？ いいえ、実はウイルス対策ソフトでウイルスは完全に防げません。最近のウイルスは日ごとに進化しているため、対策が追いつかないんですよ。特にスパイウェアの登場によって、ウイルスの配布でお金儲けができることがわかってから、こともあろうにウイルスのビジネス化が進み、“市場”ができてしまいました。アンダーグラウンドの世界では開発環境が整備され、素人でも簡単にウイルスをばらまくことが可能になってしまったんです。 ― となると、ウイルスやスパイウェアは防ぎようがないのですか？ いえいえ、そんなことはありません。ほとんどのウイルスはユーザーがファイルを“実行”しなければ感染しないものです。ウイルスはなんといってもメールで送られてくる場合が多いですから、怪しいメールの添付ファイルをダブルクリックしないだけで、ある程度の感染を防ぐことができると思います。ただウイルスを配布するほうも知恵を使い、メールにそれらしい件名や内容を書くことで、なんとかして添付ファイルをクリックさせようとします。 ― それは私も引っかかりそうです。うっかりウイルスに感染しないためにはどうすればいいですか？ やはり、添付ファイルを開かないのが一番安全ですが、そうはいかない場合もありますよね。もし、開かなければいけないときは、アプリケーションからそのファイルを開くようにしましょう。たとえばメールにワードファイルが添付されていたら、まず、ワードを起動します。そして、ワードの「メニュー」の「ファイル→開く」からそのファイルを開いてみる。ウイルスならその時点で開くことができません。 ちょっと面倒ですが、メールの添付ファイルを直接ダブルクリックするのは止めて、そうした開き方を習慣にすると安心です。 ― スパイウェアの脅威はわかりましたが、会社がとれる対策としては、どのようなものがありますか？ スパイウェアは得た情報を配布者まで送る必要があります。ですから、不正なアクセスを検知・阻止する仕組みを作っておくことです。代表的なものとしては「ファイアウォール」が挙げられます。 ― ファイアウォールとはどのようなものですか？ ネットワーク上の防火壁ですね。外部のインターネットと社内ネットワークの間に、ハードウェアまたはソフトウェアの「壁」を置くことで、不正なアクセスを防ぐものです。Windows XPには標準で搭載されていますし、最近ではウイルス対策ソフトやルータに組み込まれている場合もあります。 ― ファイアウォールを導入すれば安全ということですか？ 残念ながら、絶対に安全とは言い切れません。先ほどお話ししたように、ウイルスの侵入は完全に防ぐことができません。メール等を経由してすり抜けてしまうこともあるんです。そういったファイルを実行してしまうと、やはりウイルスに感染してしまいます。 ― それではどうすればよいのでしょうか？ ファイアウォールの機能のひとつに、双方向の通信を監視してくれる機能があります。通信に許可が必要な設定にしておけば、怪しい通信が行われようとしたときに教えてくれますから、その際は許可しなければよいわけです。これなら、最悪スパイウェアに感染したとしても、データの流出は防ぐことができます。 ― それでは今回の本題、夏期休暇とITセキュリティの関係について伺いたいのですが 夏期休暇に限りませんが、長期休暇に入ると会社から人がいなくなります。基本的にパソコンは電源を落としておくことになるかと思いますが、その間は当然Windowsやウイルス対策ソフトの更新ができません。つまり、ウイルス対策の最新情報に対してタイムラグができてしまうというわけです。ですから、休みが明けて最初にパソコンの電源を入れた際、すぐにWindowsやウイルス対策ソフトをアップデートしないと、インターネット上の脅威に対して脆弱な部分が残ってしまう可能性があるんですね。 ― 統計でウイルスの発生件数は夏期休暇のあたりが一番多いと聞きましたが、それはどうしてですか？ そうですね、強いて理由を挙げるなら世の中の学生が夏休みに入るからでしょうか。たっぷりある自由な時間を使って、ウイルス作りに励むような人が出てきてしまうのでしょう。 また、休みの間は出社している人が少なくなるなど、会社側にもセキュリティ面でスキが大きくなることも理由のひとつかもしれません。悪意を持った人間からすると、絶好の“狙いどき”になるわけですから。 ― なるほど。では夏期休暇の前後はどのような点に注意すればよいですか？ 休暇前と後には、最低でも「ウイルス対策ソフトの定義ファイルを最新の状態にしておく」「Windows Updateを実行する」の2つはやっておきましょう。定義ファイルとはウイルスの指名手配リストのようなものです。たまにウイルス対策ソフトを入れただけで満足してしまい、使用期限が切れてもほったらかしにしていらっしゃる方がいますが、定義ファイルが最新でなければ意味がありません。また、Windows Updateですが、これはWindowsに存在する不具合を修正し、最新の状態に更新する機能です。この不具合等を攻撃されないためにも、「Windows Updateを実行する」は必要です。 もし、そうしたプログラムを自動更新にしていないなら、休み明けの最初の作業はこれらのアップデートですね。パソコンの電源を付けたら、忘れずにすぐ行ってください。 ― もし、社内のパソコンがウイルスに感染してしまった場合、どう処置すればよいですか？ ウイルス感染したパソコンは直ちにネットワークから切り離しましょう。つまり、LANケーブルを抜くんですね。そうすれば、被害も最小限に食い止めることができます。感染をいち早く発見するためにも、先ほど申し上げた通信監視システムなどを導入するとよいでしょう。ウイルスに感染したパソコンは挙動不審になったり、怪しい通信が増えたりするので、そういった点にも注意しましょう。 ― 休み中に自宅で作業したいという社員がいます。ファイルを持ち帰るようなのですが、この場合は何に気をつけたらよいでしょう？ 社員の家のパソコン環境に注意する必要がありますね。たとえばファイル共有ソフト「Winny」を介して情報を流出させる暴露ウイルスが新聞紙上をにぎわせていますが、自宅のパソコンにWinnyがインストールされていた場合、事故が起こるリスクは格段に上がってしまいます。 ― その社員はWinnyを使っていないので大丈夫だと言っていますが… その社員が家族とパソコンを共用している場合、本人が知らなくても家族の中の誰かが勝手にWinnyのようなファイル交換ソフトをインストールしている可能性もあります。また、Winny以外の手段で情報を流出させるウイルスもありますので油断は禁物です。いずれにせよ、自宅のパソコンを仕事で使う際は細心の注意を払うことが大切ですね。 ― 今まで伺った話をもとに、我が社でも対策を進めようと思うのですが、やはり専任のセキュリティ担当を置くべきなんでしょうか？ そうですね、そうすることをおすすめします。セキュリティ対策は直接本業とは関係ありませんから、社員個人に任せても業務外のことなので積極的になれず、つい対策は怠りがちになるからです。 ― 担当者を置く際に注意すべきことはありますか？ 担当者からすれば仕事の負担が増えるわけです。ですから経営者は担当者の業務負担を減らすなど、十分にサポートしてあげましょう。もちろんセキュリティ対策を仕事の成果として評価することも大切ですね。 ― 社内のセキュリティ意識を高めるためには、どうしたらよいでしょうか 私も研究員として在籍しています情報処理に関する団体、独立行政法人 情報処理推進機構（IPA）では、啓発目的のセミナーを全国で実施しています。IPAは企業向けですが、もっと一般向けにはNPO・日本ネットワークセキュリティ協会（JNSA）も「インターネット安全教室」というセミナーを全国展開しています。こういったセミナーに参加してもらうのもひとつの手でしょう。また、実際にウイルスのデモンストレーションを見せてあげるのも効果的です。 ― ウイルスのデモですか？ はい。具体的にどのような攻撃を受け、どのように情報が盗まれるのかを見せてあげるんです。文字や口で説明するよりは、よほど早く理解してもらえますよ。IPAのホームページからこういった教材が入手できますので、ぜひご活用ください。 独立行政法人 情報処理推進機構（IPA） セキュリティセンター [ http://www.ipa.go.jp/security/index.html ] NPO・日本ネットワークセキュリティ協会（JNSA） [ http://www.jnsa.org/ ] ― どうも我が社の経営者はセキュリティ対策に乗り気でないような… そういった場合、経営者の方には具体的な損害額の数値を出すと話を聞いてくれますよ。こちらも研究員として在籍しているんですが、NPO・日本ネットワークセキュリティ協会（JNSA）では、「情報セキュリティインシデントに関する調査報告書」として、個人情報の漏えい問題を整理し、想定損害賠償額を発表しています。これを読めば、事故が起こった際にどの程度の損害が出るのか具体的にわかりますので、ITセキュリティへの危機意識が高まると思います。 また、IPAのホームページには、企業のセキュリティレベルを判定する「情報セキュリティ対策ベンチマークセルフチェック」を用意しています。こちらを使って、自社のセキュリティランキングを客観的に評価し、予算の獲得に役立ててもよいと思います。 ― わかりました。さっそく我が社でもITセキュリティ対策に取りかかりたいと思います。ありがとうございました。 独立行政法人 情報処理推進機構（IPA）セキュリティセンター 【サイバー大学 IT総合学部 准教授　園田道夫】 独立行政法人 情報処理推進機構（IPA）研究員 NPO・日本ネットワークセキュリティ協会（JNSA）研究員 【サイバー大学】 http://www.cyber-u.ac.jp/ ITパワーマガジン好評連載中！ 今月のテーマは「セキュリティ」 そのウッカリが命取り！データを安全に運ぶ・保管する 「いっちょやってみる！うちのIT化」バックナンバー 2007年4月号 第1回 「うちのIT化、何からはじめたらいいの？」（システムコンサルタント 宮本誠之さん） 2007年5月号 第2回 「コスト削減を生み出す！会社を持ち上げる攻めのIT化」 （ITシニアアナリスト 伊嶋謙二さん） 2007年6月号 第3回 「業務効率化で企業の未来を創造する時間をつくろう！ 」 （ITコーディネータ　野村真実さん） 2007年7月号 第4回 「あなたのPCも狙われている?!夏期休暇前のセキュリティ対策」 （サイバー大学 IT総合学部准教授　園田道夫さん） 2007年8月号 第5回 「キーボード操作を極める！業務を効率化させるPCテクニック 」 （ITコンサルタント/Webマーケティングディレクター　後藤暁子さん） 2007年9月号 第6回 「企業の規模は関係ない！中小企業の人材確保大作戦」（人事コンサルタント 樋口弘和さん） 2007年10月号 第7回 「ビジネスブログをはじめよう！活用のポイントと運営のコツ教えます」（ビジネスブログプロデューサー 白石 崇さん） 2007年11月号 第8回 「ITコンプライアンスってなんですか？“遵守”意識の向上が会社とあなたを守ります 」（弁護士　田島 正広さん） 2007年12月号 第9回 「上手に使って売り上げアップ！中小企業が取り組むネットマーケティング」(webマーケティングコンサルタント　渥美 英紀さん) 2008年1月号 第10回 「ネットの波を乗りこなせ！今すぐ役に立つ検索テクニック 」 (テクニカルライター　水野 貴明さん) 2008年2月号 第11回 「『見えないコスト』ってなんですか？知れば回避できるIT業務のコスト・トラブル 」 (企業IT化コンサルタント・プロデューサー　宮下 徹さん)