近年は企業活動においてIoTやAIといった技術が用いられることも増え、これまでより幅広い場面でインターネットが利用されるようになりました。
しかし、インターネットが使用されるものには、かならずサイバー攻撃など情報セキュリティ上のリスクがつきまといます。企業がサイバー攻撃の被害を受け、情報漏えいなどをしてしまえば甚大な損失となりかねません。
では、企業はこのようなリスクに備え、どのような取り組みをすべきなのか、情報セキュリティ対策の方法とあわせて解説します。
情報セキュリティ対策とは
情報セキュリティ対策とは、パソコンやインターネットを安全に使用できるよう、さまざまな部分で安全対策を講じることをいいます。
企業においては「顧客データや機密情報などが外部に漏えいしないようにする」「パソコンやサイトのデータ破損を防ぐため、ウイルス感染やサイバー攻撃を受けないようにする」などが挙げられます。
情報セキュリティ対策の種類
情報セキュリティ対策には、「物理的対策」と「論理的対策」の2種類があり、どちらも不可欠です。それぞれどのような対策なのか解説します。
物理的対策
物理的対策とは名前どおり、建物や設備など物理面でセキュリティ対策をおこなうことです。具体的にはつぎのような方法が挙げられます。
不審人物の侵入を防ぐ
- 入退室管理システムの設置(ICカードや生体認証)
- 警備システムの導入
災害、事故などでの被害を防ぐ
- サーバールームなどを耐震、防火設備にする
- 停電、瞬停に備えてUPS(無停電電源装置)導入
- 広域災害に備えたバックアップセンター設置
論理的対策
論理的対策とは、物理的対策にはあたらないセキュリティ対策のことをいいます。これには3種類があり、おもにつぎのような方法が挙げられます。
なお、人的セキュリティは人的な管理でもあるため、管理的セキュリティと同一とされることもあります。
システム的セキュリティ
- アクセス制御、認証、暗号化などの機能実装
- マルウェア(ウイルス)対策
管理的セキュリティ
- 情報セキュリティポリシーの策定、運用、監視、見直しの実施
- 使用しているソフトウェアの更新、ライセンス管理
人的セキュリティ
- 雇用、委託契約においてのセキュリティ教育、訓練や事故時の対応
- ポリシー違反者の懲戒手続きなど
企業が情報セキュリティ対策に取り組む必要性
インターネットは企業の運営に不可欠となってきていますが、これを利用すると同時にセキュリティ面でリスクが生じます。
セキュリティ事故が起こり、システム停止や情報流失などが発生すれば機会損失となるほか、企業イメージや信用の失墜などで経営上の大きな打撃を受ける可能性が十分にあります。
このような被害を防ぐため、企業活動において情報セキュリティに対するリスクマネジメントは必須です。では、企業が晒されるセキュリティ脅威にはどのようなものがあるか、解説していきます。
情報セキュリティの脅威5つ
企業における情報セキュリティの脅威とは、おもに以下の5つが挙げられます。
- 標的型攻撃
- ビジネスメール詐欺
- ランサムウェア
- サプライチェーンの弱点を悪用した攻撃
- 内部不正による情報漏えい
参考:IPA「情報セキュリティ10大脅威 2019」
標的型攻撃
特定の企業を標的として、悪意ある人物が取引先や採用関連の応募を装うメールを送信するというサイバー攻撃の手法です。
このメールにはウイルスを含む添付ファイルやURLが記載されており、これをダウンロード、もしくはクリックしてしまうことでウイルス感染し、機密情報などを盗みます。
なかには実際の取引先の実在の担当者を名乗り、内容も巧妙に考えられたメールでの攻撃事例もあり、瞬時に標的型攻撃メールであるとは判断が難しいといわれます。
ビジネスメール詐欺
悪意ある人物が取引先や所属する企業の経営者、弁護士などを装い、「口座が変更になった」「緊急の案件で資金が必要になった」などとメールで送金の指示をするという詐欺です。
実際の取引先との請求書を偽装したり、標的型攻撃にもありますが、窃取した企業のメールアカウントを悪用して本人になりすましたり、手口が巧妙なケースも存在します。
ランサムウェア
ランサムウェアとは「身代金型」と呼ばれるウイルスの一種です。これに感染したパソコンは保存されているファイルが暗号化されて開けなくなったり、ロックされて操作ができなくなったりします。
感染すると「暗号化を解除したければ指定の口座に金銭を支払うこと」などと書かれた画面が表示されるため、これが身代金型と呼ばれる所以です。
業務に必要なファイルが暗号化されれば支障をきたすだけでなく、同一ネットワーク内で感染が拡大するおそれもあります。身代金を支払ってもかならずデータが復旧される保証はありません。
サプライチェーンの弱点を悪用した攻撃
原材料や部品の調達、製造、在庫管理、物流、販売といった業務委託先(サプライチェーン)などをターゲットとしたサイバー攻撃も発生しています。
自社のセキュリティ対策が万全であっても、外部委託先のセキュリティに問題があれば、そこから自社の顧客情報などが流出してしまう可能性があります。
内部不正による情報漏えい
悪意を持った従業員が競合他社などに自社の顧客・機密情報などを流したり、データを持ち出して販売したりするといった脅威もあります。
たとえば会社に不満を持っている、有利に転職したい、重要なデータを自由に閲覧・持ち出せる環境であるなど、条件が揃うことで内部不正に至ってしまうといわれます。
情報セキュリティの脅威から守るための対策方法
前述のような脅威から自社を守るには、つぎのようなセキュリティ対策をおこなうことが有効です。
セキュリティソフトを導入する
セキュリティソフトはインストールして終わりでなく、更新をおこなうことで新たに発見されたウイルスの駆除ができるようになります。更新漏れを防ぐため、自動更新の設定にしておくとよいでしょう。
ファイアウォールや脆弱性対策の機能など統合的な機能のあるソフトもあるので、セキュリティをより強固にするためにこちらを導入するという方法もあります。
OSやソフトウェアを最新の状態にする
OSやAdobe製品などのソフトウェアは定期的に更新があり、これを適用することで最新のセキュリティ状態にできます。
古いバージョンのままだとセキュリティの弱点があるので、これを悪用したウイルスに感染するリスクがあります。更新の通知がきたら、早めにアップデートしておくとよいでしょう。
適切なパスワードを設定する
業務で利用しているWebサービスやツールのID・パスワードを単純な単語にしたり、複数のサービスで使いまわしたりすると、悪意ある人物に特定されて不正ログインされるリスクが高まります。
パスワードは英数字を含めて10文字以上にする、名前や生年月日など単純なものにせず、できれば定期的に変更することが望ましいです。
脅威や攻撃の手口を知る
最新のセキュリティ脅威やサイバー攻撃の手口を知ることで、対策を取ることができます。IPAなどセキュリティ専門機関のサイトでは最新情報が紹介されるので、定期的に確認しておくとよいでしょう。
また、利用するインターネットバンキングで注意喚起があれば確認しておき、実際に起きている詐欺被害の詳細などを知っておくことも重要です。
共有設定を確認する
Webサービスやファイルの共有設定を間違えると、機密情報などを他者に見られては困るデータを無関係な第三者が閲覧できる状態になっている場合があります。
Webサービスでは共有範囲を限定するように設定し、ネットワーク接続の複合機やカメラなどの設定を見直してみてください。また、従業員が異動・退職する場合にも設定の確認が必要です。
システムのセキュリティ脅威は脆弱性診断で未然に防ぐ
脆弱性診断とは自社サイトやサーバーにおいて、どの部分に脆弱性(セキュリティ上の弱点)があるかを診断するものです。
企業を対象とするサイバー攻撃は年々増加しており、大手・中小に関係なく「セキュリティに問題のある企業」が狙われます。いまやセキュリティ対策は仕方ないコストではなく、積極的な投資対象なのです。
脆弱性診断でセキュリティ対策をおこなう方法
診断ツールもありますが、ホワイトハッカーにより擬似的なサイバー攻撃をおこなう本格的なサービスを利用することで、さらに詳細な弱点を把握し、なにを対策すればよいか分かります。
擬似的な攻撃はシステムを破壊したり障害が発生したりしないため、業務に支障もありません。レポートでハッカーによる詳細な知見を得られるので、なにを改善すればよいのかすぐに分かります。
闇雲にセキュリティ対策をおこなうより、脆弱性診断で弱点を知れば、どの部分にどのような対応をおこなえばよいのか分かるので、効率的に効果的な対策をおこなえます。
システムのセキュリティ脅威に備えるには、最善の方法といえるでしょう。