時代に応えるソリューション/検討〜導入まで、深謀遠慮 #06 セキュリティソフトを導入しただけで安心していませんか?

 企業に対するサイバー攻撃は増加の一途をたどり、しかも攻撃内容は巧妙かつ高度になっています。東京商工リサーチの調査結果によれば、2020年中に上場企業および子会社で発生した情報流出事故は103件、流出した個人情報は約2,500万人余りにも上りました。セキュリティシステムを導入していても、ハッカーたちは常に新たな穴を見つけて攻撃してきます。セキュリティ対策はまさに“終わりなき戦い”、持続的な対応の必要性は日々高まっています。

Q1 急増するサイバー攻撃、御社の備え、大丈夫ですか

サイバー攻撃の中でも、年々増えているのが標的型攻撃メールです。送られてくる攻撃メールは、大きく次の2種類。「市販のウイルス対策ソフトでは検知の難しい、不正プログラムを仕込んだファイルを添付したメール」、もしくは「クリックするとウイルス感染するURLを文中に仕込んだメール」です。とはいえメールの文面そのものは、業務に関連した内容を装っているので、一読しただけで危険なメールだとはなかなか気づきません。
しかし添付ファイルを開いたり、文中に記されたURLをクリックすると目に付かないところで勝手に不正プログラムがインストールされます。添付ファイルがごく普通のWordやExcelの文書でも、マクロプログラムが組み込まれている恐れがあります。そしてどこかに一つでも穴が開くと、知らぬ間に重要情報が抜き取られてしまいます。

令和に入ってほぼ倍増した
不正アクセス行為

システムの脆弱性をついた不正アクセスも増えています。「システム構築の際には、安全性確保に万全の体制をとったから大丈夫」などと油断は禁物です。完全に安全なシステムなどというものは存在せず、必ずどこかに脆弱性を抱えています。システムとは構築してから後に、さまざまな弱点が出てくるものです。一方で攻撃側は常にレベルアップし、新たな弱点を見つけます。セキュリティ対策ソフトを導入していても、決して安全とは言い切れません。サイバー攻撃は日進月歩で進化しており、守る側には不断の対応が求められます。

増加傾向にある標的型攻撃メール 増加傾向にある標的型攻撃メール

Q2 標的型攻撃メールに対応する力を養う訓練サービス

標的型攻撃メールは、どんどん巧妙化しています。件名に“緊急”や“至急”などの言葉を使うケースは少なく、“請求の件で”などと普通の要件を装い請求書が添付されていたりします。日々メール処理の多い経理や総務関係の方々、役員クラスの方なども、こうしたメールをつい開封してしまいがちで、攻撃メールの開封率が高めのようです。攻撃メールの実態と危険性を認識してもらうには、実際に攻撃メールを体験するのが一番。そのためオプテージは『標的型攻撃メール訓練サービス』を提供しています。

社員の危機認識レベルに応じて
最適なメールで訓練を実施

サービス提供に際しては、まずヒアリングを行い社員の危機管理レベルを把握し、その上でメールの文面を作成・送付します。文面作成には、オプテージが培ってきたノウハウを活用。関電グループ各社に送られてきた膨大な攻撃メールを解析して得た攻撃パターンを元に、訓練メールを作成します。開封状況は報告書にまとめ、必要があれば別途メール対応訓練も承ります。

mineo(VPN-SIM) mineo(VPN-SIM)

Q3 システムの堅牢さを高める脆弱性検査

オプテージの『脆弱性検査』サービスでは、サイバー攻撃から情報システムを防御するためOSやミドルウエア、Webアプリケーションの脆弱性を検査し、検査報告とともに脆弱箇所の対策提案を行います。稼働中のシステムに外部から専門的なツールを使って擬似的に侵入を試みたり、設計書に基づいてシステムの中身を理解したうえで攻撃を仕掛けて脆弱性を確認する検査など、ご要望に応じてきめ細かく対応。セキュリティレベルを高めるコンサルティングや監査などのサービスも別途ご提供しています。

システムの脆弱性を早期発見する『セキュリティ脆弱性検査aaS』

日本で使われているソフトウエアに関する脆弱性関連情報は、JPCERT/CC※1やJVN※2によって日々更新・提供されています。これらの最新情報と、お客さまが使用されているシステムのソフトウエア情報を自動的に突き合わせ、日々のチェックを漏れなく実施するサービスが『セキュリティ脆弱性検査aaS』です。
 社内のサーバOSやミドルウエアなどに関する情報を事前登録しておけば、本サービスが最新のセキュリティ情報とのマッチングを実施。脆弱性に関して何らかの問題が発覚した場合は、ご担当者に直ちにメールで通知します。利用に際しては、自社システムに関するデータをクラウドに登録するだけでOK。導入から運用までオプテージが懇切丁寧にサポートします。

  • (※1)JPCERTコーディネーションセンター:コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人。
  • (※2)Japan Vulnerability Notes:日本で使用されているソフトウエアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト。
脆弱性検査 脆弱性検査
どこが違うオプテージ? どこが違うオプテージ?

◎記載されている会社名、システム名、製品名は
各社の登録商標または商標です。

HOMEに戻る