情報セキュリティ白書 ダントツ人気コンテンツの「国内のセキュリティインシデント」 その11 標的型攻撃 ④ ~企業・組織の対策~

　標的型攻撃の連載の最終回は企業・組織が実践すべき対策について簡単に紹介します。

■組織が実践する対策

1)　体制の整備・強化
　組織は不審メールの通報窓口を設置し、その存在と通報の仕方を周知しておく必要があります。不審なメールを受信した場合、速やかに通報されなければ、標的型攻撃に気付くのが遅れ、被害が拡大してしまう可能性があり、危険だからです。また通報は外部から寄せられることも考えられるため、外部向けの窓口を設けることも重要なポイントとです。またこうした窓口に寄せられる情報を適切に処理するための体制としてCSIRT（シーサート：Computer Security Incident Response Team）の設置も有効な手段です。

２）訓練と教育
　体制の整備だけでなく、感染被害が実際に発生した場合に備え、迅速かつ適切に対応できるよう日頃から対応能力を向上、維持するための訓練と教育が有効です。例えば、擬似的な標的型攻撃メールを従業員等に送信し、そのメールへの対処を行う「標的型攻撃メール訓練」を実施します。従業員は訓練を通じて、不審メールの着目すべき個所を確認したり、添付ファイルを開封（ウイルス感染）してしまった場合に必要な対処を確認したりできます。この訓練を定期的に行うことで、従業員の対応能力を向上、維持することが可能になります。

　 またCSIRTに対しては、他組織で発生したインシデント（セキュリティ事故、被害）や自組織で発生しうるインシデントを基にシナリオを作成し、インシデント発生を想定した演習を実施し 、CSIRTの対応能力や体制の課題を洗い出します。その上で、必要な改善を行うなど、対応能力の向上・維持を図ります。

３）システムによる対策
　・不審メールを確保する仕組みの確立
　不審なメールを検知した場合には削除せずに隔離、保存し、CSIRTなど特定者のみがアクセスできるようにします。これにより安全な環境で解析することができ、調査に必要な情報が得られます。

　・適切な修正プログラムの適用
　IT資産管理システムなどを活用し、組織内で修正プログラムが適切に適用される仕組みを用意します。もし、修正プログラムの適用が難しい場合は、脆弱性を悪用した攻撃を検知・遮断する仮想パッチによる脆弱性対策の検討が必要です。

　・ファイルの実行防止
　利用者の環境で実行可能なファイルを制限し、ウイルス感染を防止します（セーフリスト化） 。これが難しい場合、実行が望ましくないファイルを指定して実行を制限しておきます（ブロックリスト化）。
　　
　これまで、4回にわたり標的型攻撃の手口と被害事例、対策などを説明してきました。最後に、前回に続きIPAが作成した標的型攻撃を題材にした動画を紹介します。1つ目の映像は経営者の視点で標的型サイバー攻撃に備えるための組織マネジメントのポイントについて、2つ目は標的型攻撃で組織的に対処できなかったため、被害が拡大したという架空の事例です。いずれもドラマ仕立てで、楽しく学ぶことができます。是非ご覧下さい。

（１）組織の情報資産を守れ！
　　　~ 標的型サイバー攻撃に備えたマネジメント ~（映像時間：10分）

（２）見えざるサイバー攻撃
　　　~ 標的型サイバー攻撃の組織的な対策 ~ （映像時間：13分）

　次回からはビジネスメール詐欺について数回に分けて取り上げる予定です。
なお「情報セキュリティ白書2020」のPDF版が12月1日から簡単にダウンロードできるようになりました。ダウンロード後には是非アンケートもお願いいたします。
https://www.ipa.go.jp/publish/wp-security/sec-2020.html