なぜ中小企業における不正送金被害が続出しているのか第4回「被害補償対象の条件とは」

万が一不正送金被害に遭遇した場合、セキュリティパッチを最新の状態にしていたかどうかが監査の対象の一項目として挙げられます。銀行が指定するような対策を施していない場合、補償が減額される、もしくは補償がゼロになることもありえます。

特集コラム

2015年2月18日（水） 15時20分

日本の中小企業の多くは情報セキュリティ担当者が不在

●中小企業の情報セキュリティ対策

インターネットを介した情報の流出や攻撃被害は、今後増えることはあっても減ることはないでしょう。一時的に不正送金の金額が減ったり、新聞やニュースでの掲載回数が減ることはあるかもしれません。しかしながら、インターネットが社会インフラ化している中、世界と比べて情報セキュリティに対するリテラシーが高くない日本が世界中から狙われ続けることは事実でしょう。

とりわけ、日本の中小企業は情報セキュリティ担当者がおらず、社内のパソコンにすこし詳しいだけの人が責任を負わされたり、地方のシステム会社やOA機器販売会社に丸投げだったりする傾向にあります。さらに地方のシステム会社や地域のOA機器販売会社が情報セキュリティに詳しくなく、正しい提案がなされていない事態も見受けられます。

では、日本の中小企業が安全に自社の情報資産やお金を守るために重要なのはどういったことでしょうか。これには、１，知る、２，最新化３，持ち込ませないの３つが重要になります。今回は１，知ると、２，最新化について説明します。

●１．知る　知らないことには対策の打ちようがない

前回の記事でお伝えしたように、サイバー攻撃には様々な形態があります。振り返りの意味も含め、ご覧になっていない方は、もう一度ご確認ください。

なぜ中小企業における不正送金被害が続出しているのか
第1回「全銀協の考え方」
第2回「もう「ITは苦手」は通用しない」
第3回「建設・製造・医療・介護業界の例」

例えば閲覧すると遠隔操作プログラムをダウンロードしてしまう動画サイト。また、時事問題に絡めたり、人の興味を惹いたりする精巧な詐欺サイト。不正送金被害は地方の法人が拡大しているという事実。まずはこのような事実があるという事を知ることが、情報セキュリティ対策のスタートラインです。知らないものには対策の打ちようがありません。

最近では、シリアでの法人人質事件に便乗した、悪質なスパムツイートが出回りました。興味をもってクリックをしてしまうと、自分のTwitterアカウントからスパムメールのように自分のツイート（つぶやき）として投稿されてしまいます。時事問題に興味を持ってしまうのは仕方がないことです。

このような問題も知っていれば疑わしい動画等を不用意にクリックしなくなりますが、知らないからこそ被害に遭遇する可能性が高まるのです。是非、セキュリティ問題を取り上げる新聞やニュース等の情報に関心を持ってください。

また、攻撃そのものの「可視化」も重要です。どのような攻撃を受けているのか、社員がどのサイトにアクセスしているのか。詐欺メール等が実際に社内に飛んできているのか等のログ情報や履歴を残しておくことです。

●２．最新化　XPは最新OSに変える、セキュリティの穴をふさぐ

社内にあるWidnwosXPパソコンは、最新のOS（Windows８）に変えましょう。2015年7月にはWindowsサーバ2003のサポート終了が控えています。そのまま使い続けるのは危険なので、こちらも最新版に変えることをおすすめします。

どうしても、XPパソコンや、2003サーバを使い続けなければならない場合、最もおすすめする方法は、XPパソコンをネットワークから外しインターネットに接続できない状態にすることです。

また、Windows8等の最新版を使っている場合でも、時間の経過と共にどうしても「セキュリティの穴」が見つかってしまうもの（これは「セキュリティホール」や「脆弱性」と言われるものです）。なるべく早急に最新バージョンへ更新することが効果的です。これを、セキュリティパッチを当てると言います。

これらの対策を早急に打たなくてはいけない理由は2点あります。1つはそのまま使い続けるとパソコンが乗っ取られる可能性があるという理由です。

パソコン乗っ取りの手口のひとつは以下のとおりです。まず攻撃者がインターネット閲覧ソフトウェアであるインターネットエクスプローラ（IE）の欠陥を見つけ、攻撃用プログラムを用意します。次にターゲットとするサイト閲覧者が好んで見に行くようなホームページサイトに侵入し、攻撃用のプログラムを仕掛けて待ち伏せするのです。

その後サイト閲覧者が、欠陥のあるインターネットエクスプローラ（IE）でホームページを見に行くと攻撃者への進入を許してしまう、パソコンが乗っ取られてしまうのです。さらには遠隔操作で情報を抜き取られたり、攻撃者自身の足跡を消すための踏み台として使われたり、同じ社内ネットワーク上にあるパソコンへの乗っ取りを企てられたりすることもあります。「セキュリティの穴」を放置しておくことは、鍵の壊れたドアをそのまま放置し続けるようなもので、外部からの侵入リスクが高まり危険です。すぐに最新化するようにしてください。

セキュリティパッチを当てるもうひとつの理由は、オンラインバンキングでは情報セキュリティ対策の最新化が被害補償条件の一項目として上げられている場合があることです。インターネットバンキングの利用時に不正送金被害が起きた場合の補償条件として、ほとんどの銀行が「インターネットバンキングを利用するパソコンの基本ソフト（OS）やインターネット閲覧用のソフトウェア、その他ソフトウェアを最新の状態に更新すること」「メーカーのサポート期限が切れたOSやインターネット閲覧用のソフトウェアは使わないこと」を挙げています。これは、全国銀行協会のガイドラインでも明らかになっており、各銀行もそれに倣っています。

万が一不正送金被害に遭遇した場合、セキュリティパッチを最新の状態にしていたかどうかが監査の対象の一項目として挙げられます。銀行が指定するような対策を施していない場合、補償が減額される、もしくは補償がゼロになることもありえます。インターネットバンキングで使っているパソコンは専用端末とし、ネットサーフィン等をしないことはもちろんですが、最新のセキュリティパッチが適用されているかどうかを常時チェックするのも重要です。

《船井総合研究所経営コンサルタント那須慎二／技術監修ウォッチガード・テクノロジー・ジャパン》