Office 2003 サポート終了に伴うセキュリティ対策

2014年4月にOffice2003 は、Windows XPと共にサポート終了を迎えます。サポート終了後の製品は、セキュリティ更新プログラムが提供されなくなり、日々進化するセキュリティリスクへの対応が困難になります。ではどうすればよいのでしょうか?本日は、サポート終了に伴う対策について、ご紹介させていただきます。

どのくらいリスクがあるの?

昨今、メディアでは、ウィルスや不正アクセスによるサイバー攻撃への備えが多く取り上げられていますが、「どんな風に危険なのか実感がわかない」、「どういう対策をとればよいのかわからない。」、という声も同時に多く頂戴します。しかしOffice 2003 のサポートが終了すると、セキュリティの脆弱性が大きくなるため、これを機に、悪意をもった攻撃者達が、静かに広範囲な攻撃を開始すると想定されています。これらの攻撃によって、あなたの会社の情報が漏洩するだけではなく、知らず知らずの間にサイバー攻撃の「踏み台」となって、大事な取引先に多大な被害を与えることも、十分に起こりえるのです。

よくあるセキュリティに関する誤解をご紹介します。

 

  • PC側の対策を十分しているからOffice などのアプリケーションは大丈夫。  

    いいえ。サイバー攻撃の1つである「標的型攻撃」は、Office などのドキュメントファイルが悪用されることが特徴です。ドキュメントを扱うOfficeやAdobe Readerなどのアプリケーションの脆弱性をついて、悪質なコードを埋め込んだドキュメントファイルをメールなどに添付して送信し、ユーザーに悪質なコードを読み込ませ実行させることによって、情報搾取などを行います。そしてこの標的型攻撃は近年さらに脅威を増しています。 経済産業省の「サイバーセキュリティと経済 研究会報告書 中間とりまとめ」によると、標的型攻撃を受けた企業数が、2007 年は 5.4% であったのが2011 年には 33% と全体の約 1/3 へと急増しています。 

  • 標的型攻撃は大企業だけでは?中小企業は大丈夫!

    いいえ。取引先への攻撃の足掛かりとして利用されるケースがあります。シマンテックが発表した2013 年版の「インターネット セキュリティ脅威レポート」*1 によると、標的型攻撃は 2012 年に42 %増加し、1 日の平均攻撃回数は 116 件に達すると報告されています。さらに、従業員数 250 人未満の企業を標的とする攻撃件数が全標的型攻撃のうち 31% と、前年の 3 倍に達しています。攻撃者は、小規模企業であっても、取引先を攻撃するための足掛かりとして利用できることなどから攻撃の標的になっていると考えられます。 

  • ウィルス対策ソフトを導入し、ウィルス定義ファイルを常に最新に保っておけば攻撃は防げるのではないか?
    ウィルス対策ソフトでは、ウィルスのサンプル(検体)を作成することで、マルウェアを検出し駆除します。一方、標的型攻撃で利用されるマルウェアは、特定の企業を攻撃するために極めて限定的なマルウェアが使われます。限定的なマルウェアの検体をウィルス対策ソフトですべて検知することはきわめて困難であり、従来のウィルス対策ソフトだけでは、標的型攻撃を防ぎえないのが実態です。

 

それでは、サイバー攻撃の中でも特に注目される「標的型攻撃」へ備えるためにどのような対策が必要なのでしょうか?

標的型攻撃への備えは、ドキュメントのセキュリティ対策から

「標的型攻撃」の対策のポイントはドキュメントのセキュリティ強化です。ドキュメントのセキュリティ強化は3つのフェーズで考えることが重要です。

  • 設計フェーズ    ~ アプリケーションそのもののセキュリティ強化~
    アプリケーションそのものが堅牢であれば、標的型攻撃の被害を受けにくくなります。Officeでは、設計/ 開発段階からセキュリティを考慮し、新しいバージョンになるほど、セキュリティ機能の強化を図っています。 
  • メンテナンスフェーズ ~  日々進化する脅威への対応 ~
    標的型攻撃では、アプリケーションの脆弱性が利用されます。したがって、脆弱性を修正するセキュリティ更新プログラムが公開された場合は、できるだけ早く適用し、脆弱性を放置しないことが重要です。クラウドから提供される Office 365 ProPlus では、常に最新の Office が利用できるしくみが用意されています。
  • 運用フェーズ ~ 行動パターンを変えてセキュリティを高める ~
    セキュリティを高めるために、PC の持ち出しや USB メモリの使用を禁止している企業は少なくありません。しかし、それによって従業員の業務効率が低下してしまっては、企業の競争力を維持することは困難です。Office 365 を活用すれば、セキュリティと生産性を高いレベルで両立させて運用することが可能です。

 

新しいOffice によるセキュリティ対策

ドキュメントのセキュリティ対策の3つのポイントは、最新のセキュリティ対策を備えた、新しい Office の導入が大きなポイントとなります。ここでその一例をご紹介いたします。 

  1. 設計フェーズ: アプリケーションそのもののセキュリティ強化
    マイクロソフトは、Office をバージョンアップするたびに、セキュリティを強化し、最新のセキュリティ脅威への備えを図ってきました。
    Office 2007 以降、Office はOpen XMLというファイル形式を採用していますが、この形式は、従来のバイナリ形式と異なり、文字や書式のデータがテキスト形式で保存されるため、厳密なチェックを行うことができるうえに、悪質なコードを埋め込むことも困難です。また、マクロ実行の可否についても、厳密な定義が行われており、通常のドキュメントファイルにマクロを埋め込むことはできません。
    さらに最新のOffice である「Office 365 ProPlus」及び「Office ProfessionalPlus 2013」では、万一悪質なコードが埋め込まれ、危険なファイルが開いたとしても、PCに影響が及ぶ前にブロックし、情報を読み取ることを防ぐ機能、「保護されたビュー」が強化されています。これは一例ですが、このように最新のOffice では、アプリケーションそのものを強固にし、標的型攻撃に備えるセキュリティ機能が実装されています。
  2. メンテナンスフェーズ:日々進化する脅威への対応
    標的型攻撃への備えにおいてもう1つ重要なことは、脆弱性を修正するセキュリティ更新プログラムが公開されたら、できるだけ早期に適用することが重要です。攻撃する側はセキュリティ更新プログラムが公開されたことでアプリケーションの脆弱性を知り、その脆弱性を突くプログラムを作成したあと、セキュリティ更新プログラムが適用されていないアプリケーションをねらって攻撃をしかけるのです。 逆に言うと、セキュリティ更新プログラムを公開直後に適用すれば、ほとんどの標的型攻撃は防ぐことができるのです。したがって、アプリケーションのセキュリティ更新プログラムが公開されたら、できるだけ早期に適用することが重要です。 しかし、課題もあります。現在のように、複数のデバイしかしながら今日のマルチ デバイス環境では、社内で分散するデバイスに対して、一律かつタイムラグなく、セキュリティ更新プログラムを適用することが難しくなっています。Office 365 ProPlus では、セキュリティ更新プログラムは自動かつタイムリーに適応されるため、こうした手間はかかりません。メンテナンスフェーズにおいて標的型攻撃を防ぐという点でも、Office 365 ProPlus は理想的なアプリケーションの実行方法となっています。
  3. 運用フェーズ:
    従来セキュリティと利便性はトレードオフとされてきましたが、最新のテクノロジを活用して、利便性とセキュリティを高いレベルで適切にバランスさせるとともに、常に運用方法をチェックし、バランスが崩れていれば柔軟に変更していくことが重要です。例えばファイル共有における安全性確保。 現在、多くの企業では、社外のユーザーとファイルをやりとりするとき、ファイル転送サービス、USB デバイス、添付ファイル、紙などを利用しています。しかし、いずれも決して安全な方法とはいえません。個人情報の漏えい経路として最も多いのは紙です。USB デバイスや添付ファイルが、誤送信や紛失、盗難などのリスクを伴うこともよく知られています。また個人向けのファイル転送サービスでは、権限設定によっては、情報を渡すべきでない人にデータが渡ってしまうリスクを伴います。 さらに、いずれの方法も、情報を受け取るエンドユーザーの管理にセキュリティレベルが依存します。つまり、情報を受け取った人がしっかり管理すればある程度は守れますが、ずさんな管理をしたら、情報は容易に漏れてしまうのです。こうした個人の運用に頼った管理をしているようでは、重要な情報を社外のユーザーと安心して共有することはとてもできません。 したがって、社外ユーザーと安全にファイルを共有するなら、情報の受け手がだれであっても、管理者側がセキュリティレベルをしっかりコントロールできるしくみが必要です。Office 365 であれば、SharePoint や Outlook Web App を活用することで、こうしたしくみを実現できます。

 

今日ご紹介した具体的なセキュリティ対策について、ホワイトペーパーとしてご提供を開始しました。

 

 [その他関連情報]

 ------------

 *1) シマンテック、「インターネットセキュリティ脅威レポート 2013 第 18 号」  https://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp