日本経済新聞
2018年3月28日(水)
お申し込み

サイバー攻撃、その対策 意味ないかも

ネット・IT
2018/3/28 6:30
保存
共有
印刷
その他

 サイバー攻撃による企業の情報流出被害が相次いでいる。企業は不審なメールは開かないように呼び掛けたり、パスワードを定期的に変更させるなど対策を強化しているが、社員に負担を強いる割に効果が疑問視される対策が少なくない。情報セキュリティーの専門家らに取材した。

画像の拡大

画像の拡大

画像の拡大

 ハッカーがウイルスを仕込んだメールを、社員がうっかり開いてしまう被害が頻発している。多くの企業は社員が不審なメールを開かないように、模擬メールを送信するなど攻撃を防止する訓練を強化している。

 IT(情報技術)部門は開封率を引き下げようと、2度、3度と訓練を繰り返す。回数を重ねれば開封率は下がっていくが、社員数が多い大企業ではゼロにすることは確率論的に難しい。

 ハッカーからすれば、開封する社員が1人いれば十分。誰かが開封するまで何度でもメールを送ってくる。開封率がゼロにならない以上、不正侵入を許してしまうリスクは訓練前とさほど変わらない。

 情報セキュリティーのS&J(東京・港)の三輪信雄社長は「不審メールの訓練は開封率低下を目標にするのではなく、不審なメールに気づいてIT部門に報告する社員を増やすことを目的にすべきだ」と指摘する。IT部門に報告する社員がいれば全社員に注意喚起し、不審メールを監視強化して攻撃を防ぐことができる。

 セキュリティーに詳しい情報安全保障研究所(東京都三鷹市)の山崎文明主席研究員は「メール訓練は役に立たない」と言い切る。山崎氏が勧めるのは、米グーグルや米マイクロソフトをはじめとするIT関連企業・団体が共同開発した「DMARC(ディーマーク)」と呼ぶ技術だ。

 メール送信者のIPアドレスや電子証明書をもとに、実在する企業のメールアドレスを勝手に使う「なりすまし」を見破れる。ただ、ハッカーが「O(英字のオー)」を「0(数字のゼロ)」に変更するなど、本物と1字違いのメールアドレスを使う場合がある。これだとDMARCも検知できない。

 メール関連のセキュリティー製品を販売する米プルーフポイントで、マーケティングを担当するアデニケ・コスグロフ氏は「1字違いメールアドレスの検知には、次世代のメール監視システムが有効だ」と指摘する。

 社員が送受信するメールから、通常の状態を人工知能(AI)の機械学習で把握する。いつもは連絡のない相手からメールで突然、やり取りが始まるなど、不自然な動きがあると「異常」が起きている可能性があるとして知らせる仕組みだ。プルーフポイントをはじめとするセキュリティー企業が実用化している。

 多くの企業が取り組みながら、情報セキュリティー専門家の大半が「何の意味もない」と口をそろえるサイバー攻撃対策もある。それは「メールの添付ファイルの開封に必要なパスワードをメールで通知する」もの。通常、添付ファイルの暗号化からパスワードを通知するまでの一連の操作をシステムで自動化する。

 添付ファイルが第三者の手に渡っても、中身を盗み見られないようにする対策と位置づけられている。ただ、パソコンやサーバーがハッキングされてファイルを添付したメールが流出するのであれば、パスワードを知らせるメールも抜きとられると考えられる。ファイルを守る効果は薄く、受信者にパスワードを入力させる手間を増やしているだけという。

 三輪氏は「パスワードはメールではなく電話で知らせたり、事前に会議で決めたりすべきだ」と主張する。「面倒だ」と訴える社員が多ければ、山崎氏は「ダウンロードサイトを活用してみてはどうか」と提案する。

 ファイルをダウンロードできるウェブサイトのリンクをメールで知らせる方法だ。セキュリティーが確かなダウンロードサイトを選び、ダウンロードできる期間を短く設定し、ダウンロード回数も1回に限れば、ファイルが第三者の手に渡るリスクを抑えられる。

 社内システムにログインするパスワードを2、3カ月に1回、社員に変更するように求める企業も多い。パスワードが外部に流出しても、頻繁に更新していれば第三者がログインできないので安全だ、と考えているためだ。だが定期的なパスワード変更は効果が薄いという指摘が出ており、総務省もセキュリティー関連の指針から「パスワードを定期的に更新しよう」という記述を3月にやめている。

 米ノースカロライナ大学もシステム利用者に3カ月ごとにパスワード変更を義務付けていた。同大の研究チームが5万個のパスワードを分析した結果、更新時に一定の規則に従って少しだけ変更したパスワードが多く見つかった。

 例えばパスワードに含まれる数字の「1」を更新時に「2」「3」と増やしていく。あるいは最後の文字を先頭に移動させる。頻繁な更新を義務付けると、利用者は忘れないように類推しやすいパスワードを設定していた。

 研究チームが類推機能を持つソフトを使ったところ、更新したパスワードの4割を3秒以内に割り出すことができた。これでは定期的にパスワードを変更しても不正侵入を許してしまう。

 山崎氏は「頻繁にパスワードを更新することは利用者の負担を増やすだけ。類推がしにくい長くて複雑なパスワードを設定すべきだろう。更新は必要ない。仮にするとしても1年に1回程度が限度だ」と指摘する。

 三輪氏も「自分だけが理解できる文章をパスワードに設定すれば、長くても覚えやすい。定期的なパスワード変更に意味がないとは言えないが、防止効果について深く考えずに更新を義務付けるのはナンセンス」と強調する。

 社員の負担を最小限に抑えて賢くシステムを守ることは業務効率の改善につながる。IT部門は社員に不便を強いる対策に十分な効果が見込めるのか見極めなければならない。

 【日経産業新聞 2018年3月28日付】

(企業報道部 吉野次郎)

春割実施中!日経電子版が5月末まで無料!

保存
共有
印刷
その他

電子版トップ

関連キーワード

  • 日経平均(円)
    3/28 大引
  • 21,031.31
  • -286.01
  • -1.34%
  • NYダウ(ドル)
    3/27 終値
  • 23,857.71
  • -344.89
  • -1.42%
  • 日経アジア300
    3/28 16:30
  • 1,417.44
  • -20.66
  • -1.43%
  • ドル(円)
    3/28 16:25
  • 105.56-57
  • +0.07円安
  • +0.06%
  • ユーロ(円)
    3/28 16:25
  • 130.66-70
  • -0.84円高
  • -0.63%
  • 長期金利(%)
    3/28 12:45
  • 0.030
  • ±0.000
  • NY原油(ドル)
    3/28 3:20
  • 64.72
  • -0.53
  • -0.81%
日経平均について銘柄一覧
QUICK
日経からのお知らせ

来春の新入社員を募集 記者など4職種

日経電子版をもっと知りたい方はこちら

【春割】今申し込むと電子版が5月末まで無料!

おすすめ情報

[PR]

一覧はこちら

アクセスランキング 一覧

3/28 16:00 更新

日経BP社

日経トレンディネット

ミッドタウン日比谷 仕事帰りに便利な飲食店が集結

日経 xTECH

aiboはなぜ静か? 音を封じ込める執念のメカ設計

日経ビジネスオンライン

医療格差は人生格差

え?落とし穴だらけ? 血液がん検査のホントのところ

トレンド・ボックス

トヨタ・スープラ復活 BMWとの協業の現場から

NIKKEI STYLE

マネー研究所

まさかの住宅ローン破産? 「普通の家計」の大誤算

出世ナビ 藤原・カルビー執行役員

シリアル朝食で大ヒット 仕事もテニスも前衛で攻め

ヘルスUP

中性脂肪減らす食事 「オサカナスキヤネ」をとろう

グルメクラブ 食の豆知識

丸ごと春キャベツ解体新書 完全使いこなしマニュアル

新)BIZGateロゴ

日本的デジタル化の落とし穴

日本のイノベーションを阻む壁とは

天下人たちのマネジメント術

最強交渉人・勝海舟の江戸無血開城

エグゼクティブ転職

エグゼクティブ力診断テスト

経営管理能力、リーダーシップ力を5分でチェック

次世代リーダーの転職学

不本意な人事評価にメゲない「3つの対処法」

ウーマノミクス・ストーリー

「女性が働きやすい」をお手伝い、私が健康経営を勧める理由(東京海上日動)

NIKKEI SmartWork

PICK UP

人も仕事も多様性を追求、イノベーション創り出す丸紅へ

日経のイベント・セミナー

天気 プレスリリース検索

訂正・おわび

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報

イベント・セミナー

教育・キャリア

各種サービス

日本経済新聞 電子版について

日本経済新聞社について

Nikkei Inc. No reproduction without permission.