カスペルスキーが世界25カ国4000社、日本では219社を対象に、情報セキュリティリスク調査を実施した。そのデータを元に日本の企業のセキュリティの状況と守るべきポイントを、カスペルスキーのコーポレートビジネス本部 技術統括部 統括部長の関場 哲也氏に話を伺った。
セキュリティ予算は他国と変わらずも…
まずセキュリティにかける予算については、海外と比べて日本企業が低いわけではなく、アメリカやドイツ・フランスと比べてもほぼ同等。しかし、セキュリティ専任担当者が少ない傾向が見えてくる。
――IT担当者はいても、セキュリティ専門のスタッフは少ない?
関場氏 : 日本企業の約23%が、セキュリティ専門スタッフがいないと答えている。アメリカ(約14%)やフランス(約8%)と比べると、かなり高い。(予算との関係を見ると)日本企業はセキュリティに対する意識は高いものの専門スタッフを置かず、セキュリティ管理をベンダーに丸ごとアウトソースしてしまっている現状が見て取れる。
――脆弱性への対応はどうでしょうか?
関場氏 : 日本企業はシステムの安定稼働を優先し、脆弱性に対して「パッチを当てる」という意識が低く、脆弱性情報・脅威情報を得るための投資も少ない。ただ、これはベンダー側の「情報を提供する」という意識の低さも要因の1つ。脆弱性情報・脅威情報を積極的に開示していく必要がある。
――ソフトウェアアップデートも十分に行われていない状況ですか?
関場氏 : 顧客の状況を見ると、大企業ほどWindows Updateを怠っている傾向がある。アップデートすると、全社的な刷新が必要で手間とコスト、インフラ負荷がかかるため、何年もパッチを当てていないという企業すらある。それに対して中小企業は、規模が小さいこともあって、Windows Updateをちゃんと行っている傾向が強い。大企業にとって手間がかかることは理解できるが、基本中の基本であるWindows Updateにきちんと取り組むべきだ。
――最近の脆弱性の傾向を教えてください
関場氏 : 盲点としては、Web上の動画再生で使われているマイクロソフトのSilverlightが狙われている。サポートが終わりつつあるSilverlightだが、今でも現役活躍中なWebサイトは少なくない。Silverlightの厄介なところは、標準のWindows Updateでアップデートされないことで、攻撃者にとっても狙い目の脆弱性になっている。ほかにも、Webで動くアプリケーションは全般的に脆弱性が狙われやすい。理解ある人も多いと思うが、企業のファイアウォールはWebを通す。そのため、Webが「最適な攻撃場所」になってしまっている。
企業におけるランサムウェア被害とメールでの感染対策
――今年前半にランサムウェアの被害が増えましたが現在の状況はどうでしょうか?
関場氏 : ランサムウェアの種類は急増している。カスペルスキーが収集した数で言えば、1月-3月が2900種類であったのに対して、4月-7月は9296種類と3倍以上に増えた。被害の件数自体は、3月をピークに落ち着いてきている。7月以降のデータは判明していないが、実感レベルで見ると横ばいで、被害は続いているように感じる。
「ランサムウェア」と聞くと個人ユースのデバイス被害をイメージしがちだが、被害のうちの21%は企業における感染であり、注意を怠ってはいけない。カスペルスキーでは無償のランサムウェア対策ツールも提供しており、こうしたソリューションで社内環境を再確認してほしい。
――ランサムウェアの感染経路はどこでしょうか?
関場氏 : 圧倒的にメール経由。メールの添付ファイルを開いてしまうことで、ランサムウェアに感染している。添付ファイルによる感染を防ぐには、拡張子表示が重要なのだが、多くの企業ユーザーは拡張子を表示していない。誰でもできる基本対策として、ぜひ拡張子を表示する設定に変えてほしい。