2020年10月に総務省が発表した調査結果によると、都道府県(47団体)・政令指定都市(20団体)におけるテレワーク導入率は95.5%に上りました。しかし、大部分を占める市区町村(1721団体)ではわずか19.9%に留まったようです。
総務省によるとテレワーク制度未導入の理由として最も多かったのは「窓口業務や相談業務などがテレワークになじまない」(82.7%)でしたが、次に多かったのが「情報セキュリティの確保に不安」でした。
セキュリティ不安でテレワーク導入に踏み切れない自治体が多い一方で、企業だけでなく行政もサイバー攻撃の対象になっている現状も見られます。
自治体を狙ったウイルス攻撃が増加
サイバー攻撃の増加から情報を守るために、総務省は2015年に自治体向けの情報セキュリティ対策として以下の「三層の対策」を発表しました。
1. データ持ち出し不可設定及び二要素認証
2. アクセス制御
3. 外部からの攻撃対策の徹底
しかし、その後もサイバー攻撃の手口はより巧妙化し、自治体もさらなる対策の強化が求められています。
以下で、自治体を狙ったウイルス攻撃の実例を3つご紹介します。
日本年金機構:不正アクセスによる情報流出
前述した総務省による「三層の対策」発表のきっかけになった事件が2015年の日本年金機構に対する外部からの不正アクセスです。このサイバー攻撃により約125万件の個人情報が流出、原因は職員が電子メールに添付されたファイルを開封したことにより、不正アクセスが行われたこととされています。
広島県:県内23自治体を狙った攻撃
広島県が明らかにしたところによると、広島県と県内23自治体が接続拠点として使用しているクラウドサービスが、2022年2月16日から2日以上にわたり「DDoS攻撃」を受けたとのことです。それにより自治体のホームページは接続不良に陥りましたが、攻撃者の要求や目的は分かっていません。
DDoS攻撃とは、ウェブサイトやサーバーに対して過剰なデータを送付することで負荷をかけてアクセスできなくしたり、ネットワークの遅延を引き起こしたりするサイバー攻撃の手法です。
愛知県:PCR検査システムへの攻撃
2022年2月5日、愛知県職員が県のPCR検査システムを立ち上げたところ、画面に英語が表記され、使用できない状態になっていました。調査の結果、システムのデータを管理するサーバーが「ランサムウェア」による攻撃を受けたことが分かりました。これにより個人情報が漏洩するなどの被害はありませんでしたが、サーバーは一時停止に追い込まれました。
社外で仕事をする際のセキュリティ意識
2022年2月23日、経済産業省は「昨今の情勢を踏まえたサイバーセキュリティ対策の強化についての注意喚起」を行いました。そこにはサイバー攻撃事案の潜在的リスクが高まっているため、各企業・団体がサイバー攻撃の脅威に対する認識を深めるとともに、講じるべき対策についても挙げられています。以下で、そのうちのいくつかを見てみましょう。
テレワーク必須時代に身に着けておくべき通念
■パスワードが単純でないかの確認
インターネットサービスを利用する際にはパスワードの設定が必要ですが、同じパスワードの使いまわしはしないようにします。また、可能な限りパスワードの文字列は12文字以上の十分な長さにし、記号・数字・アルファベットの大文字・小文字を混ぜるようにします。
■多要素認証の利用
多要素認証とは認証の3要素である「知識情報(Something You Know)」、「所持情報(Something You Have)」、「生体情報(Something You Are)」のうち2つ以上を組み合わせて認証することを指します。昨今、パスワードだけではセキュリティ確保は限界と考えられており、多要素認証が多くのクラウドサービスで採用され始めています。
例えば、ATMで現金を引き出す際には「所持情報」であるICカードと「知識情報」であるパスワードが組み合わされており、多要素認証を採用しているといえます。ウェブ上ではパスワードのみによる「一要素認証」がこれまで主流でしたが、2018年9月にマイクロソフトが「パスワード時代の終わり」を宣言し、複数のクラウドサービスで多要素認証が採用されるようになりました。現在もっとも多く利用されている方法はIDとパスワード(知識情報)でログインし、スマートフォンアプリで生成される認証コード(所持情報)を入力することによる認証です。
■IoT機器を含む情報資産の保有状況を把握する
今や家電や自動車、オフィス複合機や工場に設置されたセンサー、監視カメラなど、IoTは家庭でも職場でも至るところで活用されています。もちろん行政機関も例外ではありません。
IoT機器もインターネットに繋がっている以上、パソコンやスマートフォンと同じようにセキュリティリスクが存在することは覚えておきましょう。実際にIoT機器がマルウェアなどウイルス攻撃の標的になり、データが改ざんされたり、機能を停止させられたりするといった事案が発生しています。自治体に関していえば、2018年に河川などの監視カメラが不正アクセスを受けた例もあります。
また、インターネットとの接続を制御する装置の脆弱性は攻撃に悪用されることが多いため、最新のファームウェアや更新プログラム等セキュリティパッチを迅速に適用するようにしましょう。
■添付ファイルやURLリンクを不用意に開かない
2014年に発見されて以来、世界中で猛威をふるっているマルウェア「Emotet(エモテット)」は2021年4月以降国内での感染は激減していましたが、2021年11月頃から再び活動再開が報告されています。IPA(情報処理推進機構)によると、2022年2月時点でも被害相談は増加しており、警戒が必要であるとしています。
Emotetの攻撃メールの手口は基本的に一貫しています。それは添付ファイルの開封やURLリンクのクリックを誘導し端末を感染させ、メール情報を盗みます。それだけでなく、感染被害が連鎖的に他の端末、別の企業や組織に広がっていくのです。
そのため、重要な顧客や取引先、知人からのメールのように思えても、すぐに添付ファイルやURLリンクを開かずに、落ち着いて本物かどうかを確認する習慣を付けることが大切です。
別の解決策として使えるねっとの「使えるメールバスター」もおすすめ、標的型攻撃メール、迷惑メールをメールサーバに届く前にブロックしてくれるので安心です。完全クラウド型メールセキュリティサービスなので、個々のPCにインストールすることなく最新版更新の手間も不要です。
■データ消失等に備えてデータのバックアップを実施
サイバー攻撃の中でも行政や民間企業を問わず脅威に陥れているものの1つにランサムウェアがあります。コンピュータのデータを暗号化し、解除する条件として多額の金銭を要求する不正プログラムのことですが、経済産業省によると日本国内でランサムウェアの被害に遭った企業が支払った身代金の平均額は約1億1,400万円にも上ります。
そのための対策として欠かせないのが、オフラインのストレージにバックアップデータを保存することです。そうすれば、万が一ランサムウェアに感染しても、ストレージを完全に初期化しランサムウェアを消し去った後にバックアップデータを復元することが可能です。
使えるクラウドバックアップ
都道府県や政令指定都市だけでなく、今後は市町村自治体でもテレワークが浸透していくことが考えられます。業務に携わるひとり一人の意識の向上だけでなく、現場のシステムもそれに見合ったものに変えていくことが求められるでしょう。
そのためのソリューションの1つとしておすすめなのが、使えるねっとが提供する「使えるクラウドバックアップ」です。バックアップ機能だけでなく、データを守り、使うための機能を1つにまとめたサービスです。
クラウドの利用はこんなに簡単+セキュリティも安心
行政機関においてはサービスの安定性が特に重要です。この点、使えるクラウドバックアップでは「イメージバックアップ」という方法を採用し、システム全体を一気にバックアップ、万が一データが消失しても通常業務が再開できます。
また米軍も採用する最高レベルのセキュリティを採用し、すべてのファイル転送もAES-256で保護します。さらにAIベースのテクノロジー「アクティブプロテクション」により、ファイル、バックアップデータ、バックアップソフトへの疑わしい改変を即座に検出・遮断することで、ランサムウェア攻撃から大切なデータを守ります。
価格は容量200GB、パソコン1台+モバイル3台込みで月単価¥1,408(2年契約)、低コストでの導入が可能です。
無料のトライアルご希望もお待ちしております。まずはお気軽にお問合せください。
使えるクラウドバックアップの詳細はこちら>>
無料通話:0120-961-166
(営業時間:10:00-17:00)
.png)
.jpg)
.png)
コントロールパネルログイン