サイバーセキュリティ対策でウェビナーを開催|GC東京
マルウェア発生時に対処できる
体制の構築を
GCJ(主催)及びGC東京(主管)は、存在価値事業委員会並びに環境保護・情報セキュリティ事業委員会の担当で、6月7日(水)午前10時30分から12時まで、「中小企業がいま取り組むべきサイバーセキュリティ対策とは?」をテーマに、NTTグループの日本情報通信株式会社 セキュリティ&ネットワーク事業本部の方々を講師に招き、ウェビナーを開催した。
第一部では、同事業本部担当課長でセキュリティエバンジェリストの山本仁一氏が、「サイバー空間の最新情報といま取り組むべきセキュリティ対策」と題して講演を行った。第二部では同社のセキュリティサービス製品について紹介した。
初めに山本氏は、近年は中小企業が狙われるケースが増えていると言及。「実際に存在する企業のメールを盗んで請求書や報告書を送り付け、それを閲覧すると怪しいサイトに誘導したり、データを盗んだりして、被害を与えるマルウェアが増えています。そして、被害者のファイルを暗号化し復旧するために身代金の支払いを要求するのが、ランサムウェアと呼ばれているもので、ランサムウェアはマルウェアの一種になります」と、メールでの攻撃について解説した。
また、IPA(独立行政法人情報処理推進機構) が調査した「中小企業における情報セキュリティ対策に関する実態調査」を紹介し、「情報セキュリティ対策の投資について、特に何も実施していない企業が3割ほどいるのは不安です」と述べ、対策の必要性を訴えた。
さらに帝国データバンクのアンケート調査に触れ、「1年以内にサイバー攻撃を受けた」と回答した企業が24.2%いることから、「中小企業であっても対策をしないわけにはいかないことが、実際の数値で分かると思います」と対策を促した。
ガイドラインを参考に
自社診断し具体的な対策を行う
サイバーセキュリティ対策の実施については、IPAの『中小企業の情報セキュリティ対策ガイドライン』を参考にして、付録にある情報セキュリティ5か条の実施と、「5分でできる!情報セキュリティ自社診断」を行い、実施状況を把握することが大切だという。そして、診断結果に基づいて実施すべき対策を検討することを勧める。
「平時に何をすれば良いのか、組織の階層ごとに対応してほしい。経営層の役割はリスクを理解してサイバーセキュリティ対策の方針を明確にし、組織全体に浸透させることです。経営層を支える組織はリスク分析を行い、システム障害や情報漏洩が生じた時の損失の把握が大事です。現場の社員は分析結果を認知し、被害状況を知り、すぐに復旧に取り掛かれるようにしておきましょう。関係者は全員インシデント発生時には、どのような体制でどんな対処をすべきかを把握しておきます。これらをBCPの中に盛り込んで実際に訓練していくことが重要です」と、BCPの策定も促す。
補足事項として、情報資産の適切な管理、何を守るべきかの認識、データへのアクセスは必要最小限の権限とし、また、クラウドサービス側の責任内容も把握することを指摘する。
さらに社員へのセキュリティ教育や啓蒙活動も重要であるとし、BCPを策定して訓練を行い、有事の時に対処できるようにしておくことが大切だという。最後にITやセキュリティが分かる人材を組織の中で育てていくことが重要だとし、人材教育の大切さを訴えた。
第二部では、「日本情報通信が勧めるGCJ組合員向けのセキュリティソリューション」と題して、同社が提供しているセキュリティソリューションについて、セキュリティエンジニアである金城氏と南氏が、通信系対策のソリューション、エンドポイント対策のソリューション、サイバーリスク可視化サービスの安全性を確認するソリューションについて説明を行った。
最後に質疑応答に移り、同事業本部サービスインキュベーション部の中山部長が、「不正アクセスが疑われた時に最初に行うこと」については、「疑いのある端末を社内のLANから切り離すことが先決」。「パソコンのアンチウイルスソフト」については「同社のyaraiという製品が新手の手口にも対応しているので最適である」。「自社ドメインになりすますメール対策」については「DMARC技術を使っている製品を提供しているので検討してほしい」と、次々と事前に受けていた質問について回答した。
◆セキュリティ対策の問い合わせ先
gcj-nic@niandc.co.jp (gcj会員向け専用メーリングリスト、日本情報通信(株) 担当宛て)
|