具体的な演習で身近な危機を体感

サイバー攻撃の防止には、大きく分けて技術的な対策と人的な対策がある。技術的な対策では、ウイルス対策ソフト導入の徹底や、ソフトウェアのアップデートを欠かさないなど。

一方、増加傾向にある標的型攻撃メールに備えるためには、組織内外の関係者への啓蒙活動である人的な対策が欠かせない。「標的型メール攻撃においては、ウイルスが組織内に入り込むきっかけをつくるのは人間の〝能動的な〞動き。添付ファイルを開いたり、不正プログラムが仕組まれたサイトのURL をクリックしてしまうのを防がなければなりません」（大森氏）。

サイバー攻撃に対して文書や口頭で注意を喚起するだけでなく、実際にトレーニングを実施するのも効果が高い。不定期に標的型メールを模したメールをランダムに社員に送信すると、意外と簡単にファイルを開いてしまう人も多い。体験すれば、「こんな風に業務の中に危険が潜んでいるんだ」と気づくことができる。

普段行う業務の中に、情報セキュリティの視点を盛り込むことも有効、と丸山氏は話す。「たとえば、マーケティング部門が実施するウェブサイトのログ解析で、海外などからの不自然なアクセスが定期的にないかをチェックする。ソーシャルメディアガイドラインの策定においては、個人の書き込んだ情報自体が狙いとなることは少ないが、標的型メールの本文をつくるために悪用されることがあることを知ってもらうなど。プラスアルファのチェック項目が機能するようにしておけば、防げることも多くあります」。

最近では、個人情報を入力してもらったり、製品情報が検索できるような動的なサイトをつくることも増えている。企業側は利便性や活用意図をもって何気なく増やしたページが、不正なアクセスを呼び込むシステムのぜい弱性を生み出していることもある。「自社が注意するだけでなく、制作会社に対して契約時にセキュリティのチェックリストを渡し、満たさない場合には任せないといった処置も必要でしょう」（丸山氏）。

関連部門が連携する想定訓練も有効

インシデント発生時の対応のため、社内の関連部門が集まり、CSIRT（Computer Security Incident Response Team：コンピューターインシデント緊急対応チーム）を設ける企業が、大手を中心に増えている。

CSIRTは、インシデントへの対応を行うほか、組織内だけでなく外部との連絡や情報提供を受ける窓口として活動するチームであり、普段から組織内だけでなく外部のCSIRTと連携をとり、対応について相談したり類似の状況の有無について情報を共有する役割も担う。「CSIRTと呼ぶと敷居が高く感じられるかもしれませんが、専属の要員を設けず、仮想チームとして活動を行っている企業もあります。設置していない企業であれば、インシデント発生時に必要な部門連携を把握するためにも、まずは簡単な演習をやってみてもよいかもしれません」（JPCERT/CC・満永氏）。

丸山氏は、には、必ず広報担当者がメンバーとして入るべきと指摘する。「技術の進化や環境変化が激しく、専門的な知見が必要な分野ですが、広報担当には他の事案と同様に正確で迅速、そして一般の人への分かりやすく説明することが求められます。CSIRT の設置などの対応策をプレスリリースすることで、組織としての対応姿勢をアピールする企業も見られるようになりました。情報セキュリティへの対策が、企業価値を高めることを認識すべきでしょう」。

【バックナンバー】
・1回目 人間心理を巧みに利用。高度化するサイバー攻撃の手法（2013/5/23）
・2回目不正な攻撃の被害者であっても、情報流出は企業価値を毀損する（2013/5/27）

【関連記事】
白井 邦芳「CSR視点で広報を考える」
・facebook今さらながらひっかかってしまうなりすまし手口（2013/5/23）