法人のセキュリティ対策はどうする？楽天モバイルサービスの対応を

データを暗号化し金銭を要求する「ランサムウェア」

ランサムウェアは端末内のデータを暗号化し、暗号化の解除と引き換えに金銭を要求する不正プログラムです。被害が起こるプロセスを、以下にまとめました。

• 攻撃側はWebサイトやメールに悪意あるサイトへのリンクを掲載する、またはネットワークに侵入するなどの方法で、企業側（法人）の端末をランサムウェアに感染させる
• 被害を受けた法人のデータが暗号化され、データの閲覧や機器の操作ができなくなる
• 攻撃側は暗号化を解除する代わりに、企業側（法人）に対して金銭を要求する。金銭を支払わない場合はデータを公開するなどと脅迫する場合もある

不審な添付ファイルを開いたり、安全性が不透明なリンクをクリックしたりすることは、被害の代表的な契機です。

年々増加している日本企業を狙ったランサムウェア（標的型メール）への対策を行うには、企業内の情報システム・IT担当者だけでなく、全ての従業員がセキュリティについて意識を持っていることが重要となります。

サプライチェーンを起点にグループ全体へハッカーが攻撃をする際にも、各サプライチェーンやグループ企業における対策が重要となります。

取引先や委託先を経由して攻撃する「サプライチェーン攻撃」

取引先や委託先のなかには、セキュリティ対策が十分でない法人もあるかもしれません。サプライチェーン攻撃は悪意ある者がこの弱点を突き、侵入先の法人を経由してターゲットの法人を攻撃する方法です。その目的は、大きく以下の2つに分かれます。

• ターゲットとする法人が持つ、機密情報や個人情報を盗み取る
• ランサムウェアを用いて、金銭を要求する

サプライチェーン攻撃は、自社のセキュリティ対策が万全でも被害を受けるおそれがあります。被害の防止には、取引先や委託先のセキュリティ対策にも注意することが重要です。

不正な機密情報や個人情報の持ち出し

セキュリティ被害の脅威は組織の内部からもたらされる場合もあります。USBメモリに代表される携帯可能な媒体や紙などを利用して、従業員が正規の手続きを経ずに、情報を外部に持ち出すケースが該当します。持ち出す代表的な理由として以下が挙げられます。

• 取引先の情報を、転職先でも活用したい
• 情報を外部に販売して、収入を得たい

持ち出された機密情報や個人情報が外部に流出すると、信用問題にもなりかねません。

誤操作や紛失など、不注意による情報漏えい

誤操作や紛失など、不注意による情報漏えいも代表的なセキュリティの課題です。宛先の誤りによる誤送信やスマートフォンの紛失には、特に注意が必要です。

ひとたびデータが外部に漏れれば、情報の拡散を止めることは困難です。悪意ある者の手に渡れば、フィッシング詐欺などの被害を引き起こす原因にもなりかねません。パソコンやスマートフォンに不要なデータを残さない、データを暗号化するなど、不注意が起きても被害を防ぐ仕組みが求められます。

セキュリティはシステムや仕組みの導入で確保する

法人がセキュリティの取り組みを進める際には、人間の注意力に頼らないことが重要です。「個々の従業員が十分に気を付けていればミスは起こらない」という認識を持つ限り、十分なセキュリティは実現できません。

たとえ人間がミスをしてもトラブルやセキュリティ事故を防ぐシステムや仕組みの導入は、組織のセキュリティレベルを高めます。個々の注意力に頼らずシステムや仕組みで脅威に対応し、組織の信頼を守りましょう。

端末の使用や情報管理に関する社内ルールを定める

社内ルールを定めることは、組織のセキュリティを担保するうえで重要です。定めるべき社内ルールは、大きく以下の2つに分かれます。

• トラブルの防止を目的とするルール
• トラブル発生後の対応を適切に行うルール

情報漏えいなどのトラブルを防ぐルールを定める

業務フローや業務マニュアルには、情報漏えいなどのトラブルを防ぐルールを盛り込むことも重要です。盛り込むべきルールとしては、以下のようなものが考えられます。

• 不要となったIDは速やかに削除する
• 機密情報・個人情報を扱う、または情報を持ち出す際は、上司の承認を得る
• 端末の共有を避ける
• ソフトやアプリは許可されたもののみを使い、最新の状態にアップデートする

定めたルールは、従業員に浸透させる必要があります。十分な教育を行い、セキュリティを脅かす芽を摘みましょう。

トラブルが起きた際の対応ルールを定める

業務をルールどおりに進めた場合でも、トラブルが起きることはあり得ます。有事の際の対応ルールも、定めておきましょう。ルールとして以下の項目を含める必要があります。

• セキュリティインシデントを発見した場合の通知先
• 初動対応の方法
• 調査から復旧までの方法
• 外部へ公表するタイミングと方法
• 外部からの問い合わせ窓口の設置
• バックアップを取得する範囲とタイミング

トラブルが起きた際の対応は、スピードが重要です。対処が遅れると組織的な隠ぺいを疑われ、自社の信用を失いかねません。自社の情報や資産を守るためにも、正確な情報をもとに迅速な対処を行いましょう。

BYODを禁止し、業務は社用の端末のみで行う

従業員の私用端末を仕事でも使う「BYOD」は、トレンドの一つです。しかし情報漏えいなどのリスクを考えるなら、業務は社用端末のみで行うのが鉄則です。

BYODの場合、従業員の端末の機能を制限したり、セキュリティソフトをインストールしたりするといった措置をとることが難しく、業務中に私的な連絡をされてしまうこともあります。組織の信用を守るためにも、業務に必要な端末やパソコンは支給するのが良いでしょう。

自社の情報や端末に関する権限を適切に設定する

社内のデータにアクセスできる人を必要最小限に絞ることで、セキュリティのリスクを下げることができます。さらに、スマートフォンやパソコン、タブレットといった端末の機能を絞ることも、誤操作や情報漏えいなどのリスク回避に繋がります。

社用携帯は遠隔で情報の把握や操作を行えるようにする

社用携帯を紛失してしまうと組織の信用問題に発展しかねません。いざというときに備えて、遠隔で情報把握や端末の操作ができるようにしておきましょう。

ソフトウェアやアプリを最新の状態に保つ

ソフトウェアやアプリには、定期的に更新プログラムが配信されています。このなかにはセキュリティに関するアップデートも少なくないため、できるだけ最新の状態に保つようにしましょう。社内システムとの相性を迅速にチェックしたうえで、可能な限り早期に適用してください。

パスワードを定期的に更新する

パスワードの定期的な更新も、有効な対策の一つに挙げられます。パスワードはIDや個人を特定できる情報とともに、知らない間に悪意ある者の手に渡っている可能性もあることが理由です。期限を定めて全社にパスワードの更新を求め、応じないアカウントを停止することで、不正なログインなどセキュリティに関するリスクを下げられます。

楽天モバイルあんしん管理

「楽天モバイルあんしん管理」は、法人のパソコンとスマートフォンを一括管理し、高いセキュリティの実現に寄与するサービスです。アプリは業務に必要なものを配信できる一方で、業務に不要な、または危険をもたらすアプリの利用を制限できます。USBメモリなどの外部媒体やカメラの使用制限も可能。これらの対策により、「機密情報を外部に流出させる」事象を防ぐことが可能です。

操作状況や位置情報もチェックできるため、パソコンやスマートフォンの利用状況を見える化できます。業務にふさわしくない行為の検知にご活用ください。万一の盗難や紛失の際は位置情報をチェックしたうえで、遠隔でのロックや初期化も可能。情報漏えいの防止にも役立ちます。

MDMスマート導入パッケージ

楽天モバイルは法人向けMDMスマート導入パッケージを、「セキュリティパッケージ」というサービスで提供しています。キッティング作業やポリシー作成などに対応しますので、「Rakuten最強プラン ビジネス」のコストパフォーマンスが高いサービスを手間なく導入できます。

「楽天モバイルあんしん管理」で解説したセキュリティの項目も含まれますので、導入後のセキュリティも万全です。設定漏れによりセキュリティが脅かされるリスクを下げられるでしょう。

InterSafe GatewayConnection

InterSafe GatewayConnectionは、さまざまなOSに対応した、クラウド型のWebフィルタリングツールです。国内最高水準を誇るデータベースと、業界最大級となる149カテゴリのWebフィルタリングが搭載されています。 

InterSafe GatewayConnectionは、検索数の多いメジャーサイトだけでなく、アクセスが少ないサイトや海外のサイトを含め、99％以上のWebサイトを分類できる機能を備えていますアクセス制限をかけることで業務端末の私的利用防止に繋がるだけでなく、不正サイトやマルウェアが潜むサイトへのアクセスを防ぐことも、可能です。

ランサムウェアやサプライチェーン攻撃といった外部からもたらされる脅威のリスクを下げることができるため、セキュリティの入口対策にも繋がります。