約125万件の個人情報が漏洩した日本年金機構問題をうけて、情報処理推進機構(IPA)が企業や組織に対して、「ウイルス感染を想定したセキュリティ対策と運用管理を」という【注意喚起】を促しました。

以下、「多層防御のポイント(管理・運用の見直し例)」部分の引用です。

1. ウイルス感染リスクの低減
・ソフトウェアの更新の習慣化および徹底
・セキュリティソフトウェア(ウイルス対策ソフト)の導入
・メールの添付ファイルのブロック
・ウェブフィルタリング
・教育や訓練

2. 重要業務を行う端末やネットワークの分離
・一般の端末と重要業務システムとの分離
・部署など業務単位でのネットワークの分離

3. 重要情報が保存されているサーバーでの制限
・共有フォルダのアクセス権の設定
・データの暗号化やパスワードによる保護

4. 事後対応の準備
・体制の整備
・手順書や外部の連絡先の準備

最重要項目は「2. 重要業務を行う端末やネットワークの分離」です。

システム構築としては、機密情報を取り扱う端末機器はネットワークから分離することがベストですね。
実務レベルでは不便が生じるかもしれませんが、ルールを作成し、それを順守する運用体制を構築する必要があります。

また、「教育や訓練」は、しっかり行わないといけません。

教育や訓練
 手口を知るための教育や標的型攻撃などを想定した訓練の実施により、攻撃に気付く知見や能力を養うことで、ウイルス感染するリスクを低減させます。

藤沢市では、職員に対してテスト用の標的型メールを送信する「抜き打ち訓練」を行っているとのことです。
藤沢市 標的型メールの抜き打ち訓練 NHKニュース
 【追記2015/06/10】リンク先記事がなくなったようなので、Wayback Machine経由の記事を表示します。

記事より引用。

藤沢市は去年1月、市の各課のIT担当職員160人に対し、抜き打ちでテスト用の標的型メールを送って訓練を行いました。メールには情報セキュリティー研修会への参加のお礼というタイトルが付けられ、研修会で配布した資料をダウンロードできるとするアドレスが記されていますが、研修会も、差出人の「情報推進課」も実在しないものでした。
しかし、対象者の4割近い60人余りがメールを開いてリンクをクリックしてしまったということで、訓練を行ったIT推進課の大高利夫課長は「啓発を行っても、実際に送られてくるメールは実在したり、実在しそうな組織名や内容が記されて送られてくるので完全に防ぐのは困難だと実感した」と話しています。

今回、送られたメールのタイトルは、厚生労働省が2年前に公表した厚生年金基金制度の見直しに関する文書の見出しと同じで、日本年金機構の業務に関係するような内容だったようです。

完全に防ぐことは困難かもしれませんが、こういった「標的型攻撃メール」が存在していることをしっかりと認識することが大事だと思います。

参考資料

『IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」』より引用。
 製品に関する問合せメール例

このようなメールが届いたとき、あなたのチェックスキルはいかがでしょうか。

IPA 独立行政法人 情報処理推進機構では、以下の情報も公開しています。
セキュリティ対策の情報が記載されております。ぜひご一読ください。

「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開
『IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」』