見ただけで感染!? でももう大丈夫！

今、求められる中小企業が安心してビジネスに集中できるための包括的なセキュリティ対策とは？

脅威の変化～企業や個人の情報を狙う脅威へ

見ただけで感染！！そして一向におさまらないWebサイトの不正改ざん事件・・・
｢Webの危険性」について話題になっていますが、ここ１・２年で脅威の傾向が急激に変わってきています。脅威の変化のポイントは、大きく以下の３つで起こっているのです。

1. 「脅威の目的・狙い」
   　・　「犯罪に利用するための個人・企業情報の不正取得」への変化。
   　・　「脅威はお金になる｣という闇の市場が出来上がっており、組織化されている。
2. 「脅威がどこからくるか」
   　・送付メール形式で感染ファイルを配布
   　・数年前にはやった「二ムダ」や「コードレッド」などのネットワーク越しの攻撃から、Webサイトを経由したものへと変化しています。
3. 「脅威の姿」
   　・目的：情報の不正取得
   　・「潜む」「隠れる」という形で、より検知しづらい傾向。

「最近ウイルスは減っている」といった印象を持つ方もいるようですが、実はこうした背景から一見人目には、見えなくなっているというのが現状です。実際、2007年以降も脅威は過去20年間と比べても20倍以上に増加。（発見・報告されたマルウェアの発生数が、2007年は550万件とされ過去20年間の合計の約20倍といわれている）　つまり、脅威自体は増えているが、多様化していることと感染経路や形態が複雑化し、見えづらくなっているため、ユーザからはあまり認識できなくなっている。対策も進まないということで、現状セキュリティリスクは増しているのです。

中小企業でも無視できない情報漏えい・個人情報保護

中小企業の中では「個人情報保護制度では、５０００人を超える個人データを持つ企業を個人情報取扱事業者と定めているから、うちは関係ないのでは。」という声を聞くことがありますが、実は他社との取引がある限り、中小企業といえども無関係ではないのです。企業が守るべきは、社員個人が保有する顧客情報や従業員自体の個人情報も含まれますし、取引先の会社が個人情報保護制度で対象内に入る場合には、監督責任がありますので、事業を委託される側の中小企業でも個人情報の取り扱いで問題があれば責任を問われることになります。中堅・大手の企業では、IT統制などを進める一環で、今後取引先の監査をさらに強化する傾向が強まってくると考えられ、中小企業でも、ウイルス対策ではなく、企業内の情報を守るという観点で「情報セキュリティ」をいかに確保するかを真剣に考えなくてはならい時期にきていると言えます。

Webサイトを経由した感染には、大きく２つの流れがあります。1つ目は、Webサイトにフィッシング詐欺を仕掛けて、ユーザを誘い込み、そのWebサイトを知らずに閲覧したユーザから不正に情報を取得する、あるいはトロイの木馬やスパイウェアなどをWebサイトのコード紛れ込ませてダウンロードさせ、遠隔から不正操作を行うというのがあります。2つ目に、外部から正規のWebサイトの脆弱性を付いた不正改ざんを行い、感染サイトに仕立て上げるというのがあります。

2008年の3月頭には、通常の70～100倍にも上るSQLインジェクションの攻撃が観測され、日本でも1万ページ以上のサイトが改ざんされた可能性なども指摘されています。
もはや危険ではないWebサイトをページの見かけだけで判断することは、非常に難しくなってきており、いつでも誰でも気づかずに罠にかかってしまう可能性があるのです。


シナリオ２： 迷惑メールとWebサイトを組み合わせた攻撃

もう１つの経路、巧妙な誘い込みメール（迷惑メール）には、不正なサイトのURLをメールに仕込み、ユーザに大量に配信する、というものです。ユーザが興味を持ちそうな話題や懸賞などで「うっかりクリック」を誘いこみ、ここから先は前にご紹介した不正サイトを経由した攻撃へとつながります。
実際にある企業では、ウイルス対策製品を導入していたにもかかわらず、Webを感染経路として数十種類の不正プログラムに短時間で感染する事件に見まわれ、専任のセキュリティ担当者を投入して、システム復旧まで何週間かの時間を費やす被害に見舞われました。
こうしたWebサイトを利用した攻撃は、日を追う毎に巧妙に変化し、高度化しています。迷惑メール対策だけでも、URLフィルタリングやパターンファイルによる検知、ファイウォールでも、もはや防ぐことが難しい状況になっているのです。

今求められるセキュリティ対策とは

では、こうした今の脅威に対抗するためには、どのようにしてセキュリティ対策を強化すればよいのでしょうか？
まずは、「①Web/メールに潜む罠から情報を守る」ために、ユーザがうっかりクリックしてしても危険な不正Webサイトへの接続を強制的にブロックする｢脅威の元から断つ｣機能と、誘導口となる迷惑メールのブロック機能の強化が急務でしょう。また、「②変化する脅威への備え」として、次々と新種・亜種が現れるボットウイルス対策の強化、パターンファイル検索だけに依存にしない対策の強化も必要です。迷惑メール→Webサイト→感染、という一連の攻撃の流れに沿って、ポイント毎に攻撃をブロックする多重防御の仕組みを備えることが、今のセキュリティ対策強化には必須だと言えるでしょう。

さらに、｢③社内全体が見える、強制力のあるセキュリティ管理の実現｣ということで、社内の対策状況や脆弱性をすぐに把握できる監視機能、社員にセキュリティポリシーの徹底化を強制する管理機能の強化が求められます。
中小企業のなかには、個人向けの製品をクライアントPCに導入・運用しているところも少なくありません。数が少ない場合はこの方法でも管理・運用は可能ですが、数十台規模になってくると、その運用だけでも負担になるだけでなく、どうしてもクライアントPCごとの管理となり、社員のリテラシーにばらつきがあると、管理やポリシーの徹底が難しくなってしまいます。ここがセキュリティ対策の強化において、ボトルネックとなっているケースも少なくありません。
導入事例として取材をさせていただいたお客様の例では、個人向けのセキュリティ対策製品を利用していた際に感じていた対策強化上の限界を、法人向けのセキュリティ対策製品である、Trend Micro ビジネスセキュリティTMに乗換えたことで解消し、対策・管理の強化と効率化の両立化を図っています。

• 医療法人野毛会 もとぶ野毛病院
• 株式会社ゼロワン

情報漏えい対策やセキュリティ対策の強化で重要なことは、1つ目には社員の教育、2つ目には社員・情報の管理を徹底するための仕組みつくり、3つ目に迅速な状況把握と対応を実現する仕組みですが、実際のところ、社員の意識改革や責任に頼るのも難しいところがあります。結果的には、いかに社内のセキュリティ対策状況を把握し、管理を効率的にかつ効果的に実現する仕組みを導入するかが肝になると言えるのでしょう。

すべてまとめて応える包括的なビジネスセキュリティのためのソリューション

対策強化に向けて抱えている中小企業の悩みを解消し、ウイルス・スパイウェア対策に加え、危険なWeb/迷惑メールへの対策強化、中小企業で必要とされる管理機能を網羅し、社内のPC/サーバを一括で遠隔からの管理を実現するのが、法人向けのセキュリティ対策製品であるTrend Micro ビジネスセキュリティTMです。人手のない中小企業において、できるだけ効率的になおかつ包括的なビジネスセキュリティを確保するために求められる最新の対策機能と予防・復旧の強化、集中管理の機能やレポート機能、日々の運用の自動化を、1つのソフトウェアで実現します。

ビジネスセキュリティTM 5.0では、中小企業のお客様から要望が高かった迷惑メール対策をプラグインで簡易に導入できるよう新たに機能を追加し、パターンファイル検索だけではなく、不審なプログラムのインストールや実行・変更などを監視し、許可されていない変更や実行を未然にブロックする不正変更監視・挙動監視の機能も追加している。さらに「社員管理」機能を強化し、社内の業務に不必要なアプリケーションの利用制限やインスタントメッセンジャーサービスなどによる情報漏えいの抑止効果を高める付加機能なども提供しています。従来のウイルス対策だけの製品から、包括的にビジネスセキュリティを高めるための機能を強化し、ウイルス対策から情報セキュリティ対策へのステップアップの実現を目指しています。

Trend Micro ビジネスセキュリティTM　製品について詳しくはこちら

Windows Server 2008の対応を以下の製品で開始しております。
・ウイルスバスター コーポレートエディション 8.0 Service Pack1
・ビジネスセキュリティ 5.0

※2008年9月29日（月）のBCNでも紹介されました!!
　
～中小企業が安心してビジネスに集中できる包括的な「ビジネスセキュリティ」を実現する～

Windows Server 2008およびHyper-V への対応について