ポイントは、IoT機器やリモートデバイスの「棚卸し」

それではこれからの2年に向けて、企業はどのようなセキュリティ対策をとればよいのでしょうか。

現状、サイバー攻撃はメールとWebサイトによる脅威が大きな割合を占めています。特にメール経由は、全体の9割を占め、巧妙化・複雑化しています。「なりすまし」などの手法を活用した攻撃も増えているのです。そのためメールの文面に乗せられてうっかり添付ファイルを開いてしまったり、リンクをクリックしてマルウェアに感染するなどのケースが後を絶ちません。やはり、「請求書」「見積書」「（宅配便の）不在連絡」などを騙るメールが届けば気になってしまうので、こうした被害がなくならないのでしょう。

メール経由では新種のマルウェアもあります。マルウェアは表向きには問題を起こさず、その裏でシステムの脆弱性を悪用して感染を広げる活動を行うものです。ウイルス対策ソフトによる防御を回避されてしまう可能性が高い攻撃の1つです。さらに最近ではSNSを利用したアタックも増えているため、こうした攻撃に対応した最新の製品・サービスを導入した上で、従業員へ適切なセキュリティ教育を施す必要があります。もちろん、DDoS攻撃やWebサイト改ざんなどへの対策も重要です。

IoT機器では、ユーザーがインターネット接続を意識せずに使用しているケースが多く、攻撃に気づいていないことがあります。家電への攻撃方法としては、家庭用のブルーレイレコーダーへインターネットから不正アクセスを実施し、マルウェアに感染させ、DDoS攻撃に利用する手法が確認されています。企業においても、部署単位で無許可の無線LANアクセスポイントやリモートアクセス機能を持つ外付ハードディスクを設置していたり、会議室に家庭用ブルーレイレコーダーを設置していることもあるでしょう。これによって外部から不正にアクセスされる危険性が高まります。

昨今では、従業員が個人保有のスマートフォンやタブレット、ノートPCなどのリモートデバイスを職場に持ち込み、業務使用するBYOD (Bring your own device)も拡大しています。それらをオフィス外で使用する時、暗号化が施されていないWi-Fiサービスに接続していないでしょうか。

こうした攻撃への対策としては、まず社内にあるIoT機器や個人保有のリモートデバイスを洗い出し、設定を確認したり、ファームウェアをアップデートする、あるいは社内ネットワークと直接接続しないようにするなど、セキュリティーリスクを軽減するための「棚卸し」が第一歩となるでしょう。