【敵は身近に潜んでいる?】なぜExcelマクロの危険性から目を背けるのか

pactera

Microsoft Office(以下Office)は販売開始から30年以上経った現在なお、企業ビジネスITにおいて大きな存在です。一方、Officeを介在したマルウェア感染など、セキュリティの懸念も昔から語り継がれてきました。

本稿では、Excelのマクロ機能を例に、そのセキュリティ上の課題を考察します。

 

目次

Excelマクロとは

読者のみなさん、今日もExcel使っていますか?

スプレッドシートExcelは便利な一方、IT業界の一部ではExcel方眼紙だのネ申エクセルだのと散々に言われています(なんとExcel方眼紙がWikipediaの項目にありました!)。それでもWindowsユーザーが多い本邦ビジネス界では、Excelを含むOfficeはメールアプリと同じくらい重要なビジネスITツールです。

さて、Excelの機能のひとつにマクロがあります。ご存知の方も多いと思いますが、マクロは反復作業の自動化などに使われる便利な機能です。毎週毎月のデータ集計、CSVデータのレポート化、整形した帳票の印刷…さまざまな用途で使われ、現場の業務改善に役立っています。エンドユーザーコンピューティングの一環、あるいは走りと言えるでしょう。

* 参考:マイクロソフト「Excel マクロは難しくない! VBA からマクロ ボタンまで業務効率化の方法を解説」

一方、Excelマクロにはセキュリティ上の問題と属人化という問題がついて回ります。今回はExcelマクロを、この2つの視点でご紹介します。

 

 

Excelマクロの危険性―マクロウイルス

Excelマクロの危険性の第一は、マクロ実行環境がマルウェア感染の温床となることです。ExcelやWordなどのマクロ機能を悪用したマルウェア(ウイルス)の存在は伝統的なもので、20世紀から流行していました。代表的なマクロウイルスが1999年に流行したMelissa(メリッサ)で、これはExcelではなくWord経由で感染するマルウェアです。その後、マクロウイルスの流行や大規模被害は一時期減少していたように思います。

これは、Officeのセキュリティ強化が進んだことと、利用者の意識向上によるものでしょう。「インターネットからのマクロは、Officeでは既定でブロックされます」に代表されるように、Microsoft社もツールベンダーとしてセキュリティ機能を強化しています。しかし、それ以上に利用者の意識向上に寄るところも大きいでしょう。「覚えのないメールに注意する」「疑わしい添付ファイルは開封しない」といった利用者の行動の変化がセキュリティ強化には欠かせないことは言うまでもありません。

しかし、2019年頃から流行したマルウェア・Emotet(エモテット)で再びマクロ機能が注目を集めます。Emotetの攻撃パターンのひとつは、内部関係者を装った不審メールにWordやExcelのファイルを添付し、受信者にマクロの実行を許可(有効化)するように誘導し、感染させるというものです。

参考:IPA「Emotet(エモテット)関連情報」

このように、マクロウイルスは2020年代になった現在も脅威として存在し続けています。

 

属人化がセキュリティリスクを高める

Excelマクロのもう一つの問題は、属人化です。

  1. マクロ作成者が退職してメンテナンスできないが、業務利用している
  2. OSやOfficeをアップデートすると、マクロが動かなくなるかもしれない(バージョンアップはおろかセキュリティパッチも適用できない)
  3. 古いOSやOfficeをそのまま使おう

 

複雑なマクロを編集できる人が限られるため、古いバージョンのOSやOfficeの危険性から目を背け、本来アップデートやメンテナンスすべきものがそのまま使用し続けられることがままあります。ですが、古いOSやオフィスソフトはそれだけで脆弱性が高く、さまざまなセキュリティリスクがあります。

実際、このような経緯から古いWindows PCを残している例も聞きます。ネットワークから分離したスタンドアロンPCであればまだしも、ネットワーク接続しているとどうなるか…セキュリティ担当者にとっては実に頭の痛い問題です。

 

なぜExcelマクロの危険性から目を背けるのか -業務効率化やDXに繋げるために

ところで、なぜExcelマクロは生まれてきたのでしょうか。それは、業務効率化のための現場の創意工夫に他ならないと筆者は考えます。

業務効率化が目的である以上、Excelマクロは今後も残存するでしょう。あるいは、最近流行りのRPA(Robotic Process Automation)、ノーコードあるいはローコード開発ツールなどに置き換わっていくのかもしれません。しかし、これらのツールでもExcelマクロが通ってきたセキュリティや属人化の課題が生まれる可能性は十分にあります。

一方で、「業務部門の創意工夫をセキュリティ上の理由を全面に出して禁止する」、というのはビジネスを推進するITという面では好ましくありません。ツールやバージョンの選択、開発や運用の責任体制を明確にするなど、組織としてのゆるやかなルールを整備し、ビジネスの推進と組織全体のセキュリティを両立していくことが、DX時代のセキュリティとして望まれる姿であると考えます。

終わりに

この記事についてのお問い合わせはこちら ⇒ 問い合わせフォーム
※「お問い合わせ内容」の覧に、記事名もしくは記事URLをご記載ください

採用情報はこちら ⇒ Pactera Recruit
現場コンサルタントとの面談等も対応可能ですので是非お気軽にお問い合わせください!

<執筆者:田畑 拓、セキュリティコンサルティング事業部 パクテラ・コンサルティング・ジャパン株式会社>