自治体や公的機関を取り巻くサイバー攻撃の脅威は、年々巧妙化しています。
本連載では、全15回にわたり、現場の職員が今日から実践できる情報セキュリティの基礎知識を解説します。
本連載について
本連載は、現在STORESで販売中の『自治体・公的機関向け 情報セキュリティ研修動画パッケージ』の講義内容を全編書き起こしたものです。
研修の導入をご検討中の担当者様は、内容の確認用としてご活用ください。
[→ 動画パッケージの詳細・販売ページはこちら(STORES)]
サンプル動画はこちら👇
講義2:自治体・企業を狙う最新の脅威
皆さん、こんにちは。
講義1では「セキュリティは自分を守る習慣である」というお話をしました。
では、具体的に「何から」自分を守ればいいのでしょうか?
今、私たち自治体の職員が直面しているのは、昔のような「誰彼かまわずウイルスを送りつける」といった単純な攻撃ではありません。
「あなた」や「あなたの組織」をピンポイントで狙い、巧妙に罠を仕掛けてくる攻撃です。
今回は、特に皆さんに知っておいてほしい2つの大きな脅威についてお話しします。
1. データの「人質」事件:ランサムウェア
一つ目は、最近ニュースでもよく耳にする「ランサムウェア」です。
日本語で言うと「身代金要求型ウイルス」ですね。
想像してみてください。
ある朝、出勤してパソコンを開くと、保存していた書類や顧客データがすべて暗号化されて開けなくなっています。
そして画面には、「元に戻してほしければ、期限までにお金を払え」という犯人からのメッセージが表示されている……。
これがランサムウェアです。
実際、日本の地方自治体や大きな病院でも、この攻撃によって数週間にわたって窓口業務が止まったり、手術ができなくなったりする事件が起きています。
犯人の狙いは「業務を止めて困らせ、お金を絞り取ること」です。
これはもはや、ITの世界の話ではなく、現実の「事業停止リスク」なんです。
2. 「知り合い」を装う:標的型メール攻撃
二つ目は、「標的型(ひょうてきがた)メール攻撃」です。
これは、皆さんの仕事のやり取りを徹底的に調べてから送られてくる、非常に質の悪い「なりすましメール」です。
昔の迷惑メールは、日本語が不自然だったりして、すぐに見分けがつきましたよね。
でも、今の攻撃は違います。
例えば、「昨日送った会議資料の修正版です。ご確認ください。」という件名で、皆さんが本当にお世話になっている取引先や上司の名前で届きます。
しかも、過去に実際にやり取りしたメールの返信(Re:)という形を装っていることすらあります。
「あ、昨日の続きかな?」とついつい添付ファイルを開いたり、リンクをクリックしたりした瞬間に、あなたのパソコンは乗っ取られ、組織のネットワーク全体にウイルスが広がるきっかけを作ってしまうのです。
なぜ「私たち」が狙われるのか
「うちのような小さな部署や会社を狙っても意味がないのでは?」と思うかもしれません。
ですが、攻撃者にとって、自治体や企業は「情報の宝庫」です。
- 住民や顧客の個人情報
- 銀行口座の情報
- あるいは、より大きな組織へ侵入するための「踏み台」としてのアクセス権
彼らにとって、これらはすべてお金になります。
だからこそ、システムをいくら強固にしても、その入り口にいる「私たち職員」という人間を、メールや嘘の電話で騙そうと必死になってくるわけです。
システムの「外」にあるリスク
私は普段、クラウドサービスの安全性をチェックする仕事をしていますが、
どれだけISMAP(イスマップ)のような厳しい基準をクリアした安全なクラウドを使っていても、
「職員のIDとパスワードが盗まれてしまったら」、
泥棒に玄関の鍵を渡しているのと同じになってしまいます。
システムが安全であることと、私たちが安全に使うこと。
この両方が揃って初めて、組織の守りは完成します。
次の講義では、こうした恐ろしい攻撃を防ぐために、専門家がどのような基準で「安全なサービス」を選んでいるのか。
その知恵を皆さんの日常に活かす方法をお話しします。
今回の記事(第2回)の内容を含め、全15回の講義を収録した「研修用動画パッケージ」を販売しています。
・資料作成や登壇の準備をゼロにしたい
・専門家による正確な情報を職員に届けたい
・研修の配布用スライドPDFも手に入れたい
そんな方は、ぜひ以下の販売ページをご確認ください。
また、クラウド認証ドットコムでは、 個別の情報セキュリティ研修(オンライン・対面) での教育支援を行っています。
「自庁の独自ルールを盛り込みたい」「職員の理解度を直接確認したい」といったご要望にお応えします。
専門講師が貴組織の課題に合わせたカリキュラムで登壇いたします。
■ 自治体職員向けセキュリティ研修:連載一覧(全15回)
- 講義1:オリエンテーションと本コースのゴール
- 講義2:自治体・企業を狙う最新の脅威
- 講義3:「信頼できるサービス」を見分ける重要性
- 講義4:CIA(機密性・完全性・可用性)を簡単に理解する
- 講義5:職員一人ひとりが「最大の防御壁」であり「最大の弱点」
- 講義6:メール・標的型攻撃の巧妙な手口
- 講義7:パスワード管理と多要素認証(MFA)
- 講義8:SNS利用と情報漏洩の落とし穴
- 講義9:クラウドサービス(SaaS)利用時の注意点
- 講義10:公共のWi-Fiと持ち出しPCのセキュリティ
- 講義11:【ステップアップ】政府や自治体が認めるクラウドの基準とは?
- 講義12:違和感に気づいたら?初動対応の鉄則
- 講義13:報告ルートの確認と演習
- 講義14:本コースの振り返り
- 講義15:これだけは守ってほしい「5つの約束」
