この記事では、「セキュリティ対策」について解説します。企業が多くの情報資産を保有している現代において、その情報を守る仕組みを確立するのは、もはや義務となりつつあります。
この記事では、企業が実施すべき代表的なセキュリティ対策も紹介するので、企業のセキュリティ担当の方はぜひ参考にしてみてください。
セキュリティ対策とは
セキュリティ対策とは、インターネットやIT機器を安全に使用し、企業が保有する情報資産を保護するための施策のことです。
近年、企業が扱う情報は「データ」として保存され、IT機器を用いて管理されています。IT機器を用いて情報が管理されていることは、ネットワークを通じた外部からの情報盗取・破壊、また人的ミスによる情報流出といったリスクに常にさらされている、ということになります。
こうした課題から情報を守る仕組みを、企業は確立しなければなりません。セキュリティ対策は、今や企業の義務として考えられており、適切な対策を講じなければ大きな損害に発展する恐れがあります。
セキュリティ対策が必要な理由
ここからは、企業にとってなぜセキュリティ対策が必要なのか、その理由について解説します。
信頼喪失を防ぐため
1つ目の理由は、「信頼喪失を防ぐため」です。セキュリティ対策を怠ると、重大なインシデントの発生にもつながりかねません。
企業は多くの個人情報を扱っています。たとえば登録性のECサイトの場合、利用者の住所、氏名、電話番号といった情報に加え、クレジットカード番号などの情報が登録されています。
このようなECサイトを運営している企業でセキュリティインシデントが発生した場合、ユーザーからの信頼を失ってしまい、サイトに登録するユーザーが減ることも予想されます。もちろん、セキュリティ対策を怠ったことによる信頼喪失は、一般のユーザーからだけでなく、取引先企業や銀行、行政などにも及びます。
経済的損失を防ぐため
2つ目の理由は、「経済的損失を防ぐため」です。セキュリティインシデントは、企業にとっての信頼損失につながるだけでなく、直接的な経済的損失も引き起こします。
たとえばセキュリティインシデントが発生した際には、原因を明らかにするための調査をセキュリティベンダーに依頼したり、さらなる対策を実施しなければなりません。調査には費用が発生するうえに、原因が明らかになるまでは通常の業務に支障をきたす恐れがあり、企業にとって経済的損失となるでしょう。
また、企業に過失があった場合には、損害賠償請求を受ける可能性もあります。たとえば、必要な対策を怠っていたためにサイバー攻撃を受け、顧客の個人情報を流出させてしまった…というインシデントの場合、顧客への損害賠償が必要となるケースがあります。
JNSAによって発表された2018年のレポート「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」では、情報漏洩1件あたりの平均想定損害賠償額は「6億3767万円」とされています。もちろんセキュリティ対策にもコストはかかりますが、対策を怠った場合には、そのコストをはるかに上回る損害が発生するリスクがあるのです。
参考サイト:2018年 情報セキュリティインシデントに関する調査報告書【速報版】|JNSA
セキュリティ対策が必要な脅威の例
セキュリティ対策が必要といっても、具体的にどのような脅威が存在するのか、分からない方も多いでしょう。
ここでは、セキュリティ対策が必要な脅威の例として、以下の4つについて解説します。
- マルウェア
- 不正アクセス
- 情報漏洩
- DoS攻撃・DDos攻撃
マルウェア
マルウェアは、企業が備えるべき脅威の代表例です。マルウェアとは、端末やネットワークに害をなすソフトウェアの総称で、コンピュータウィルスやワーム、スパイウェアなどが典型例といえます。
送付されたメールの添付ファイルにマルウェアが仕込まれているケースや、正規のサイトによく似たページからマルウェアをダウンロードさせるケースが多数報告されており、年々手口が巧妙化・高度化しています。
特に近年では、「ランサムウェア」と呼ばれるマルウェアが、企業にとって大きな脅威となりつつあります。ランサムウェアは「ransom(身代金)」と「software」を組み合わせた言葉です。
感染したデバイスやネットワーク上のデータを暗号化して利用不可能な状態にしてしまい、復元と引き換えに金銭を要求します。業務の停止など企業にとって大きな打撃につながることから、厳重な対策が必要です。
不正アクセス
不正アクセスも、企業が気を付けるべき脅威の1つです。アクセスする権限を持たないはずの攻撃者がデバイスやシステムにアクセスし、データの盗取や改ざんをおこなうことを指します。
不正アクセスの被害に遭う原因はさまざま想定されますが、よくあるのが、ログイン情報の盗取やシステムの脆弱性を突く攻撃です。
たとえば、社内システムへのログイン情報である「ID・パスワード」を紙のメモに残していたために、外部の人間がログインできる状態になってしまっていた、という原因が想定されます。また、システムに脆弱性があり、誰でも他人の個人情報を閲覧できる状態になっていた、などの技術的な問題も不正アクセスの一因です。
情報漏洩
情報漏洩にも、企業は注意しなければなりません。情報漏洩とは企業が保有する情報が外部に流出してしまうインシデントですが、その原因は様々です。従業員の業務上のミスによって発生するケースも多数報告されています。
たとえば、先述のJNSAによる調査では、2018年に発生した情報漏洩インシデントのうち、実に26.2%がデバイスや外部記録媒体(USBメモリなど)の「紛失・置忘れ」を、24.6%が「誤操作」を原因として発生しています。
システムに対するセキュリティ対策だけでなく、従業員に対するセキュリティ教育の徹底や、業務フローの見直しも大切です。
参考サイト:2018年 情報セキュリティインシデントに関する調査報告書【速報版】|JNSA
DoS攻撃・DDos攻撃
Dos攻撃とは、「Denial of Service attack」のことで、ウェブサービスに対して過剰なアクセスをおこなうサイバー攻撃です。またDDoS攻撃は、複数のコンピュータを利用しておこなわれるDoS攻撃を指します。
DoS攻撃・DDos攻撃を受けると、サーバーやネットワークに対して大きな負荷がかかるため、サービスの遅延やアクセス障害などが発生する恐れがあります。経済的な損失はもちろん、信頼の喪失にもつながるため、特にWebサービスを提供している企業は、対策を施しておきたい脅威の1つです。
セキュリティ対策が不足していた場合の被害例
ここでは、実際にセキュリティ対策が不足していたことで発生した、セキュリティインシデントの被害例をご紹介します。
JR東日本:不正アクセス被害
2020年3月、JR東日本が運営しているインターネットサービス「えきねっと」が不正アクセスに遭い、3,729人分のユーザーアカウントへの不正なログイン被害が発生しました。
海外のIPアドレスからのアクセスが直接の原因とされていますが、この事例ではJR東日本側のセキュリティ対策の不足も指摘されています。
特に指摘されていたのが、「多要素認証の未実装」です。多要素認証とは、ID・パスワードといった知識情報以外に、スマートフォンなどのデバイスを使った所持情報による認証や、指紋による生体情報を使った認証を実施する認証方法です。
多要素認証を実施することで不正ログインを防ぐ効果が期待できますが、「えきねっと」には多要素認証が導入されておらず、海外からの不正なログイン試行の発見が遅れた、と見られています。
参考サイト:えきねっとユーザー3,729件が不正アクセス被害、一部カード情報流出か|Cyber Security.com
参考サイト:続く不正アクセス。緑の窓口の「えきねっと」が攻撃された理由とは?|UPF
つるぎ町立半田病院:ランサムウェア被害
2021年10月、徳島県つるぎ町立半田病院にてランサムウェア被害が発生し、その被害の大きさから大きく報道されました。電子カルテシステムや予約システムが使用不可能な状態になり、診断業務に大きな影響が発生したケースです。
半田病院のランサムウェア被害は、VPN機器の脆弱性を放置していたことが直接的な原因とされています。また調査の結果、病院内のサーバーやパソコンも、適切なセキュリティ対策がなされていなかったことが判明しています。
参考サイト:コンピュータウイルス感染事案有識者会議調査報告書について|徳島県つるぎ町立半田病院
三菱電機:サプライチェーン攻撃被害
2020年1月、三菱電機株式会社は、ネットワークに対する不正アクセス攻撃により、個人情報が流出したと発表しました。クラウドサービスへのアカウント情報が盗取されたことが原因とされています。
取引先や子会社など、セキュリティ対策が手薄な関連企業にサイバー攻撃を仕掛け、間接的に大企業へと攻撃をおこなう手法を「サプライチェーン攻撃」と呼びます。特に中小企業は、コストなどの観点から十分なセキュリティ対策が実施できていないケースが多く、企業の規模を問わず厳重な対策が求められています。
参考サイト:不正アクセスによる情報流出について(調査結果)|三菱電機
企業が実施すべきセキュリティ対策
企業で扱っているシステムや業務内容などによって、実施すべきセキュリティ対策は異なります。
ここでは代表的なセキュリティ対策をご紹介しますが、実際に検討する際にはセキュリティベンダーに依頼し、適切な対策を提案・実施してもらうことをおすすめします。
マルウェア対策ソフトの導入
マルウェア対策ソフトは、代表的なセキュリティ対策の1つです。個人でも実施している方が多いセキュリティ対策ですが、企業のパソコンなどにもマルウェア対策ソフトの導入は必須です。
もちろん、マルウェア対策ソフトさえ導入しておけばあらゆるマルウェアを防げる、というわけではありません。未知のマルウェアに対応できなかったり、暗号化されたファイルに仕込まれたマルウェアを検知できなかったり、といった欠点もあります。ほかの対策と併せて導入するのがポイントです。
OS・ソフトウェアのアップデート
OSやソフトウェアを最新版に保つことも、企業が実施すべきセキュリティ対策の代表例です。OSやソフトウェアには、「脆弱性」と呼ばれるセキュリティ上のリスクが発見されています。
ベンダーは脆弱性を修正したバージョンを日々提供しているため、最新バージョンにアップデートすることで、既知の脆弱性を利用した攻撃を受けるリスクを回避できます。社内で利用されているOSやソフトウェアを管理し、ベンダーのリリース情報を常に把握しながらアップデートしていくことが大切です。
社員へのセキュリティ教育の実施
システムや端末への技術的なセキュリティ対策以外に、従業員へのセキュリティ教育も必須です。たとえば、「不審なメールやURLを安易に開かない」「パスワードやIDといった認証情報を雑に管理しない」など、従業員1人1人が注意することで軽減できるセキュリティリスクは数多くあります。
また、インシデントが発生しにくい業務フローを作ることも大切です。「USBメモリなど記録媒体の持ち出しは原則禁止する」「誤送信を防ぐために、重要なメールにはダブルチェックをおこなう」など、誤操作や紛失といったリスクを防ぐ仕組みづくりも実施しましょう。
セキュリティ診断の実施
自社で独自のシステムを導入していたり、Webサービスを運営している企業の場合、定期的なセキュリティ診断をおこなうことが必要です。脆弱性を見つけ出して改修を実施することで、不正アクセスなどの被害に遭うリスクを軽減できます。社内にセキュリティ診断を実施できる担当者がいる場合は別ですが、そうでなければ、外部のセキュリティベンダーに診断を依頼することをおすすめします。
メールセキュリティの導入
近年でも意外と多いのが、メールが原因となるセキュリティインシデントです。メールの添付ファイルにランサムウェアなどのマルウェアが仕込まれているケースや、メールに記載されたURLからフィッシングサイトに遷移するケースだけでなく、誤送信による情報漏洩も後を絶ちません。
メールセキュリティサービスを導入することで、危険なファイルの検知や無害化などに加え、誤送信対策や情報漏洩対策もできます。たとえば、サイバーソリューションズが提供している「Cybermail Sigma」は、マルウェア対策機能や迷惑メール対策に加え、誤送信対策や添付ファイル分離配送機能などが搭載されており、メールセキュリティを一手に担うことが可能です。
まとめ
この記事では、企業が実施すべきセキュリティ対策について解説しました。近年は一企業で扱われる情報資産が増え、その取扱いには一層の注意と厳密さが求められています。セキュリティ対策を怠ると、信頼喪失につながるだけでなく、損害賠償などの大きな経済的な損失も引き起こしかねません。
セキュリティ対策を実施する際は、マルウェア対策ソフトやセキュリティ教育など、1つの対策で満足せずに複数の対策を組み合わせて実施することが大切です。セキュリティ対策を見直したいという担当者は、専門のセキュリティベンダーに依頼することをおすすめします。
メールセキュリティ対策にCloud Mail SECURITYSUITE
サイバーソリューションズの「Cloud Mail SECURITYSUITE 」は、最新のメールセキュリティ対策をワールインワンで提供するクラウドサービスです。
1アカウントあたりの費用は200円/月〜と低価格で始めやすいのも特徴です。
ご興味がある方は、お問い合せください。