スマートフォンをほぼすべての人が持つ時代、企業側もDXを推進してデジタル化を進めています。この状況で、ITを悪用したいわゆるサイバー攻撃は増え続けています。総務省の『サイバー攻撃の最近の動向等について』という資料を見ても、2020年4月以降に受けたサイバー攻撃が増加したと回答している企業が前年同月比で33.8%となっています。そのサイバー攻撃の中でも数が多いのがフィッシングという方法です。
フィッシング対策とは
フィッシング対策とは、フィッシング詐欺と呼ばれるサイバー攻撃への対策を指します。そのため、まずフィッシング詐欺について説明していきます。フィッシング詐欺とは、悪意のある電子メールなどを個人に対して送信し、受信した人がそのメールを開封し、リンクをクリックするログイン画面などが表示され、そのログイン画面にユーザー名やパスワードを入力してしまうと情報が盗み取られてしまうという手口です。
もう少し具体的に言いますと、例えば有名ECサイトやクレジットカード会社などを名乗ったメールが自分に届いたとします。そこにはお得な情報やお知らせ、「急いでパスワード変更してください」という注意喚起などが書かれています。そのメールを開封してリンクをクリックすると見慣れたログイン画面が出てきます。自分のユーザー名とパスワードで怪しむことなくログインをしようとすると情報が盗まれます。
このような流れになるのです。
総務省も注意喚起のWebページを用意していますし、警察庁のサイバー犯罪対策プロジェクトのページは画像があって分かりやすいです。
これが企業の情報だったらと考えると更に恐ろしくなりますね。
フィッシング対策
それではそんなフィッシング詐欺の対策とはどうすればよいのかというと、個人レベルでの対策としては、以下のポイントがあります。
- 受信したメールのタイトルや件名の確認
- 受信したメールの送信先を確認
- メールに記載されているURLを確認(本物のサービスのURLと違う場合は疑う必要あり)
- メールに記載されているURLにカーソルを合わせるとどのURLに遷移するのかが出てくるのでクリックする前に確認
どれも個人の注意でできることですが、こういった対策は個人レベルで実施するよりも仕組み化をするほうが安全で正確です。
セキュリティキーとは?
現在Webサービスなどのログインを行う場合、PCやスマートフォンを使った2段階認証を利用することが増えてきています。
しかし、この方法では毎回手間がとてもかかりますし、パスワードと組み合わせて利用するために覚えておかなければいけないパスワードが増えていくことなどのデメリットがありました。
こういった課題を解消し、企業で利用できるセキュリティレベルを担保するためにセキュリティキーが利用されます。
セキュリティキーにはいくつかのタイプがありますが、例えば、自分のセキュリティキーを自分のPCのUSB端子に差し込む事によって認証を行う、スマートフォンやタブレットであればBluetooth接続をして認証するなどの形を取る物理的なセキュリティキーが存在します。
このセキュリティキーによって、パスワード認証などの必要がなくなりますので、先ほど説明したフィッシング詐欺に引っかかる可能性を減らす事ができます。
さらに、複数のパスワードを大量に覚えておく必要がなくなるため、利用者側の負担も下げることができるようになります。
物理的なセキュリティキーをどのように各個人が管理していくのかはしっかり決めていく必要がありますがこれからのセキュリティ対策としてとても有効と言えます。
代表的なセキュリティキーソリューションとして、YubiKeyというものがあります。詳細については YubiKey ページをご覧ください。。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部