ニュース

「ウイルス感染を想定したセキュリティ対策を」、IPAが企業・組織に注意喚起

 独立行政法人情報処理推進機構(IPA)は2日、企業や組織の重要な業務や機密情報には、ウイルス感染を想定した「多層防御」を行うよう呼び掛ける注意喚起を行った。

 IPAでは、攻撃は年々巧妙になっており、情報漏えいや金銭窃取の被害が後を絶たないが、その被害の多くはメールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が原因で、特定のセキュリティ対策製品を導入しただけでは被害を防ぐことができない場合があると説明。

 個人情報や機密情報を扱う業務やその他重要な業務においては、ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策を多層で行う「多層防御」を考慮したセキュリティ対策と運用管理の継続的な実施を呼び掛けている。

 多層防御のポイントとしては、ウイルス感染や内部不正が発生しても、被害を回避・低減できるシステム設計や運用ルールになっているか、ルールが徹底されているか、PDCAサイクルに沿って見直していくことが重要だとしている。

 第1のポイントとしては「ウイルス感染リスクの低減」を挙げ、まずウイルス感染を極力回避する必要があると説明。ソフトウェアの更新の習慣化および徹底、セキュリティソフトウェア(ウイルス対策ソフト)の導入、メールの添付ファイルのブロック、ウェブフィルタリング、手口を知るための教育や標的型攻撃などを想定した訓練の実施などの対策を行うことを求めている。

 第2のポイントは「重要業務を行う端末やネットワークの分離」として、ウイルス感染があっても、被害を緩和できるように端末単位やネットワークで分離することが有効な対策だとして、一般の端末(メールやウェブを閲覧する端末)と重要業務システムとを分離することや、部署など業務単位でネットワークを分離する対策の実施などを呼び掛けている。

 第3のポイントは「重要情報が保存されているサーバーでの制限」として、重要な情報が保存されているフォルダーにはその範囲の業務担当者のみが閲覧できるようアクセス権を設定することや、データが持ち出されても読むことができないよう、データの暗号化やパスワードによる保護を行うといった対策を求めている。

 第4のポイントは「事後対応の準備」として、有事の際に迅速に対応するための体制を整備しておくことや、有事の際の手順書や関係省庁や調査会社などの連絡先を準備しておくことを挙げている。

(三柳 英樹)