【基本のき】セキュリティについてもっとわかりやすく!

「セキュリティが破られた」と聞いたとき、どういうイメージをもちますか？多くの方は、次のように受け止めるのではないでしょうか。

• 当社のサーバが攻撃され、サービスを停止させられた！（妨害行為）
• 内部情報が盗まれた！（データを人質として身代金を要求する行為）

ここでは視点を変えて、攻撃する側の「目的」を推察してみましょう。
昨今の事件から、攻撃側はビジネスとしてこのような破壊活動を行っていることがわかってきました。
ということは「より少ない手数で、より多くの効果を」狙ってくるはずです。

そう考えると、前者は特定の会社を狙ったものになりそうです。有名な企業であるほど宣伝効果が高いためです。
そのため、これらの企業はプロに任せて対策をするしかありません。

しかし後者はお金を払いそうな組織であれば規模の大小を問わないでしょう。つまり、多くの中小企業にとって気をつけないといけないのは「データ流出」です。
もちろんここもプロに任せて……と言いたいところですが、実際のところ、対策費を積める企業は少ないでしょう。

ということで、できる範囲で自衛できる方法を考えてみましょう。

ほとんどの場合、狙われるのは「ファイル」です。
そして多くの企業で、重要なデータを Excel ファイルなどで管理しているため、業務停止に追い込まれやすいのです。

攻撃の手口は驚くほど単純です。

1. 関係者を装った偽メールを手当たり次第に送り、ウィルス付きの添付ファイルを開かせる
2. ファイルを開くことで、そのPCに攻撃プログラムをインストールさせる

というのがよくある手口です。
ウィルス付きファイルは、いわゆる実行形式ファイル（.exeなど）はもちろん、マクロが埋め込まれたExcelファイルなどもあります。

添付ファイルを実行すると、ウィルスに感染します。
感染したPCだけでなく、そこからつながっている社内サーバにまで侵入し、手当たり次第にすべてのファイルを暗号化していきます。
あっという間に行われますので、 ウィルスチェックソフトが警告を出したときには手遅れ です。
あとはアナウンスに従って身代金を払うかどうかを迫られます。

これらは迷惑メールフィルタ機能や、ウィルスチェックソフトで対応できないのでしょうか。

この偽メールはますます高度になっており、難しいのが現状です。
メールという仕組みは、発信者を簡単に詐称できます。（なりすまされた本人は、自分の名前が騙られていることもわかりません）
文面もどんどん洗練された内容になっています。

たとえば上司や取引先が発信元のメールに "重要なお知らせがある。詳細は添付資料を参照のこと。" などと書かれていれば、おもわず添付ファイルを開いてしまうのではないでしょうか？
つまり、 今や誰が地雷を踏んでもおかしくない状況 です。

では、自衛手段はないのでしょうか？まさか、すべてのメールを疑うわけにもいかないですし……

そこでおすすめしたいのは、セキュリティを重視した、社内文化の改革です。具体的には次のポリシーを掲げます。

メールにファイルを添付しない、させない、開かない。

つまり、日常業務でやりとりするメールにファイル添付が「ない」のを当たり前とし、仮にあったとしても「開かない」を原則とすれば、攻撃をかわせます。
もちろん社内だけでなく取引先ともこの運用ルールを守っていただきます。
これだけで、かなりのリスクを減らせますね。

そうはいっても、メール添付なしでデータをどう共有すればいいのか、悩みますよね。

ということで、メール添付に代わって、 データベースを使った自社専用のアプリケーションを用意する ことをおすすめします。

” あれ、その（開発した）アプリケーションが攻撃されるのなら、同じじゃないの？データベース自体も攻撃されるでしょ？" と気づいた方。
鋭いです！

いわゆるスクラッチ開発（手作り）で構築した場合、セキュリティの穴がないことを保証するのは大変です。
プログラマーのうっかりミスもあり得ます。残念ながら人間の仕事にミスはつきものです。
どこかに穴がないか、つぶさに調べるのは骨が折れます。

ようやくノーコード・ローコード開発ツールの話につながります。
これらのツールを使って開発されたアプリケーションの方が、手組みの開発より安全な可能性が高いです。
例えばコード生成型のツールは、生成コードが最初からセキュリティ攻撃に耐えうるようになっています。つまり、漏れや抜けが、ありません。

さらに、専用アプリケーションには「誰がどのデータを閲覧したか」という操作ログを残すようにしてください。
「しかるべき権限のある人だけが特定のデータを閲覧・更新できる」というルールを加えることもお忘れなく。
「誰がいつ、どのデータを、何から何に更新した」という記録をとることができるようになれば完璧です。
これらはどれも、Excelファイルによる運用では無理な話でした。

社内だけでなく、社外とのデータ共有も、この専用アプリケーションをクラウドで提供し、社外用アカウントを発行してシステムを使ってもらうことができます。これによって双方でメール添付をやめると合意すれば、その後に送られるメールの添付ファイルは、すべて開封しないと決めることができます。とても安心ですね。

専用アプリケーションは構築せず、 Google Drive や One Drive などのクラウドサービスを利用している方も多いと思います。
ここでも気をつけないといけない点があります。それは そのサービスの「デフォルト設定」を確認すること です。

これまでにも、大手クラウドサービスを利用しているにもかかわらず、少なくない頻度でデータ流出事故が起こっています。

この原因の一つとして、

• クラウドサービスの標準設定がユーザのデータを「公開」するという設定がデフォルトになっており、単にユーザがその仕様に気づかなかった。

というものがあります。

ところがクラウドサービス事業社のコメントは、ユーザの利便性を重視したというものが多いです。
ここからわかることは 「セキュリティと、ユーザの使い勝手（利便性）は相反する」 ということです。

サービスの利用を開始するのは簡単ですが、この設定はどういう影響を及ぼすのか、は利用者も知っておくべき、という話でした。
ここが複雑で理解が難しいなら、ノーコード・ローコード開発ツールを用いて自分仕様のアプリケーションを構築するということもアリでしょう。

• メール添付でのファイルのやりとりはやめる
• 自社アプリケーションのセキュリティ対策は、手組みよりもノーコード・ローコードツールがより安心
• クラウドサービスは、やみくもに使わず公開設定などをよく確認する

え、これだけ？と思われた方もいるのではないでしょうか。

SQLインジェクション脆弱性とかクロスサイトスクリプティング脆弱性とかLog4jの脆弱性問題とかSpring frameworkの脆弱性問題とかHTTPSとかなんとか……。今回はこれらの専門用語をすべて割愛しました。
知らなくてもよいということではありませんが、それよりも前の段階でできることを書きました。

これに加えて、自分が利用している端末の OS や Web ブラウザを常に最新版にアップデートしていくこと も大切です。
別の言い方をすれば、最新の OS や Web ブラウザが使えないようなアプリケーションとは早めに縁を切ることがよいでしょう。

メールにファイルを添付する、という文化をやめることは大変です。しかし、これを続けてきたことで、いつ誰が事故にあってもおかしくないという状況になっています。
この対策にコストをかけることも大変です。攻撃側に主導権がある以上、守る側が負担すべきコストはつりあがっていきます。

攻撃側を無力化し、コストを抑える意味でも、ファイル添付をやめる、というのは一考するアイデアでしょう。