警察庁の発表によると、サイバー犯罪の検挙数は増加傾向にあり、令和3年は上半期だけでも5,000件を超えているという。その中でも標的型攻撃は、IPA※の「情報セキュリティ10大脅威」にて、ここ数年常に1・2位に挙げられている。攻撃手段としてはメールが使われることも多く、自治体職員にとって非常に身近な脅威だ。
鴫原さんは「常に脅威にさらされていると考えるべき」と警鐘を鳴らす。「平成27年に起きた日本年金機構の情報漏えい事件では、約125万件の個人情報が流出し大きなニュースとなりました。自治体の情報は常にねらわれています。とりわけ、標的型攻撃メールは日々進化しており、侵入に気づかないケースも多いのです」。ウイルス対策ソフトやネットワークの分離といった対策で安心している声もあるが、「100%安全な環境はない」と強調する。「標的型攻撃メールは今やウイルス対策ソフトに検知されないものが大半です。メールの文章もいたって自然なものが多く、侵入を完全に防ぐのは困難。そうなると、最後は“人の行動”で守るしかありません」。そこで開発されたのが、同社の「gINC(ジーインク)」だ。
※IPA=Information-technology Promotion Agency(独立行政法人 情報処理推進機構)
“標的型攻撃”は、特定組織をねらったサイバー攻撃の1つ。攻撃メールの場合は、メール開封でPCを感染させて侵入し、攻撃者は感染PCを起点に組織内のシステムを探索。機密情報などを外部に流出させる。ほかにWEBの改ざんや、サーバーへの不正アクセスなどの手法もある。
※1 IPA(情報処理推進機構)による「情報セキュリティ10大脅威2021」より抜粋
※2 感染したPCのデータに暗号化などの制限を設け、解除と引き換えに身代金を要求する不正プログラム
同サービスは、標的型攻撃メール対策の訓練ソリューション。一般的に導入されているのはクラウド型で、ダミーの攻撃メールを外部から送信し、それを職員が開封した・しなかったのログを取る。しかし、自治体ではネットワークの三層分離や無害化によって訓練メール自体がはじかれることもあり、この手法は十分とはいえないという。
そこで、専用サーバーを使用し、職員の行動訓練にまで対応した拡張版の「gINCX(ジーインクス)」が用意されている。クラウド型との違いは、庁内に小さな専用サーバーを設置し、担当職員がいつでも何度でも訓練メールを送信できること。また、全員が“訓練メールを開く”ことを前提とした、いわゆる防災訓練のようなこともできるのが大きなポイントだ。訓練時には事前通知が送られ、職員はメールの開封後、直ちにLAN接続を切断、所轄部署に報告という行動をとる。システムは訓練メールの開封やLANケーブルの抜線などを記録し、未開封の人に対しては対応を促すリマインダーを送り、最後まで追跡する。ここまで徹底する必要性について「メールの開封確認だけの場合、開封しなければ良しとされていますが、それでは、いざ開けてしまったときの対応は身につかないままなのです」と指摘する。「侵入されることを前提に、職員が即行動できる教育が必要。最後のセキュリティは、やはり“人”だからです」。
現在、同社のサービスは、金融機関をはじめとする大手企業や自治体で導入されており、ある組織では、対象部署を変えながら毎月訓練を実施しているそうだ。「訓練は緊張感を伴わなければ、形骸化してしまいます。年に1回のイベント的な訓練では、真の効果はありません」。攻撃に気づいた際に求められるのは“迅速な行動”だ。防災訓練と同様に、標的型攻撃メールに対しても訓練を繰り返すことで、何をすべきかが身につき、被害を最小限に抑えることができるという。「包括的にサポートするため、そうした対策のノウハウを学ぶ動画講習や勉強会(右欄参照)も用意しています。時代に合わせた最新情報を知ることや、危機意識を高めることが重要です」と力を込める。
環境設備だけに頼らない、実践的な人の対策を重視する同社のソリューション。メールに限らず巧妙化が進むサイバー攻撃から地域の大切な情報を守るには、“職員一人ひとりが最後のとりで”だということを自覚する必要があるだろう。
ゲイトウェイ・コンピュータ
ソリューション推進部
鴫原 倫文(しぎはら ともふみ)さん
過去の標的型攻撃メールは文章に不審な点があった。現在は巧みな文面で違和感がなく、アドレスも偽装されており見破るのは難しい。
標的型攻撃メールに仕込まれるウイルスは対策ソフトが検知しない新種。日々続々と生まれており、従来の仕組みでは防ぐことが困難。
感染に気づいていないPCから、USBメモリなどによるデータ移動の際に入り込み、別のPCに接続した時点で感染を広げることも。
サーバーを庁内に設置するので、職員が自分で実施のタイミングや回数を設定可能。訓練の上限設定もないため、定期的な実施と抜き打ち式を組み合わせて、独自の訓練プログラムを組むことができる。
非常時に求められるのは、現場の迅速な行動。現在推奨されているのは即時の“ネットワーク切断”と“所轄部署への報告”を行うこと。システムでLAN切断を認知するので、対応の徹底を確認できる。
「セキュリティプロフェッショナル認定資格」を持つ講師が行う講習の動画配信サービスを提供しており、こちらはgINCXのユーザーでなくても受講可能。訓練後の勉強会もオプションで用意されている。
一度試してみたいという自治体の方々のために、デモ機の無料トライアルを実施しています。訓練の流れを実際に行うことで、効果を体感することが可能です。トライアル期間はご要望に応じて相談可能ですので、まずはお問い合わせください。
サービス提供元ゲイトウェイ・コンピュータ株式会社
