このページの本文へ

前へ 1 2 次へ

週刊セキュリティレポート ― 最終回

万が一マルウェアに感染したときは その3

セキュリティの根本はインシデントに備えた体制作りから

2012年09月10日 09時00分更新

文● 富安洋介/エフセキュア

  • この記事をはてなブックマークに追加
  • 本文印刷

 マルウェアの対策について、前々回前回とおもに技術的な面での対応方法を取り上げてきました。最終回となる今回では、体制や社員教育の面でどういった対策が必要かということを考えたいと思います。

情報セキュリティインシデント責任者の設置を

 マルウェアの感染など情報セキュリティインシデントを正しく処理することは、信頼できる企業かどうかを判断するバロメータの1つになっています。このため、情報セキュリティインシデントが発生した際に、それを正しく取り扱う責任者を設置し、責任者の判断の元に対策を行なうという体制が必要なのです。

 情報セキュリティインシデント責任者のおもな仕事としては、インシデントの被害の範囲を確認すること、必要に応じて社外への通知(プレスリリースや取引先への連絡など)を行なうこと、再発防止策を立てることの3つがあると考えられます。

 前々回でも紹介したように、例えPCでマルウェアを検知したとしても、それが必ずしもマルウェア感染とは限りません。検知した内容を確認し、それが本当に危険性のあるものなのか、危険性があったとしてどの程度の被害があるのかを見極める必要性があります。

 マルウェアの解析については、利用しているアンチウイルスソフトのベンダーのほか、マルウェアの解析を行なうサービスを提供している企業もあるので、可能であればそれらも活用しましょう。その際に気を付けるべきは、検知したファイルを無闇に削除しないことです。アンチウイルスベンダーといえども、実際に検知したファイルをもらって調査しないことには、そのマルウェアの挙動を正確に確認することができません。特に最近は、未知のウイルスへの対策ということもあり、挙動から判断するヒューリスティック検知や、複数の種類の亜種をまとめて検知するジェネリック検知という技術が使われることが多く、検知したマルウェアの名称とその動作内容が必ずしも1対1で結びつかなくなっているからです。

 被害の実態に応じて、場合によっては社外へ通知する必要があります。どの程度の被害で社外への通知が必要になるかは、業種や取り扱っている情報にもよるため、一概にはいえません。そういう意味では、情報セキュリティインシデント責任者は単にITやセキュリティの知識があるだけでなく、その会社の業務全般に対する広い理解が要求されます。

 再発防止策については、「システムでできること」、「社員の教育が必要なもこの」の2種類が考えられます。

 たとえば、アンチウイルスソフトのパターンファイルが、プログラムの問題により更新されていなかったためにマルウェアに感染したというのであれば、古いパターンファイルのPCをネットワークに接続させないことはシステムで対応可能です。

 しかし、標的型攻撃に代表される、ソーシャルエンジニアリングを駆使して感染するマルウェアに対しては、社員教育が必要です。

 本連載の第19回で触れましたが、2011年に「内閣官房情報セキュリティセンター(NISC)」が政府機関の職員6万人を対象に標的型攻撃メールへの対策訓練(PDF)を行なっています。この訓練の1回目は不審な添付ファイルを使用して行なわれ、1割の職員が実行してしまうという結果になりました。ですが、2回目は添付ファイルではなく不審なリンクを使ったのですが、リンクをクリックした職員は3%で、第1回目の訓練により不審なメールに引っかかり難くなっていることが伺えます。同じような訓練を一般企業が行なうのは難しいかもしれません。ですが、定期的に情報セキュリティに関する情報の発信を行なうことで、社員の注意喚起を促せるのではないかと思います。

(次ページ、「専門家の育成がこれからの課題」に続く)


 

前へ 1 2 次へ

この連載の記事
ピックアップ