企業がサイバー攻撃などを受けて情報漏洩のトラブルを起こしてしまうという問題は、残念ながら全国で数多く発生しています。

大規模なもの・大企業が被害を受けた場合はニュースになっていることも珍しくありません。情報漏洩等のセキュリティトラブルがニュースなどで公に晒されたとなると、企業の信用は大きく落ちることでしょう。

そのため、企業としては情報漏洩などのセキュリティインシデントを発生させないために、セキュリティ対策を徹底しておく必要があります。

また、セキュリティインシデントの原因はサイバー攻撃などの外的要因とは限りません。

このページでは、企業・組織規模でのセキュリティ対策について解説しています。

 

情報セキュリティ対策を怠るリスク

情報セキュリティを怠ると、社外秘の機密情報が漏洩する問題が発生する可能性が高まります。企業が積み上げてきた情報資産が外部に漏れて利用される可能性が高いため、それだけは絶対に防がなければなりません。

個人情報漏洩は賠償責任を問われる

刑事上の罰則の内容ですが、まず個人情報を漏洩させると国から是正勧告を受けます。この時点では罰金などの罰則は発生しませんが、是正勧告に従わなかった場合は「6ヶ月以下の懲役又は30万円以下の罰金刑」の刑が科せられます。

 

もう一つの民事上の損害賠償責任ですが、こちらの方がかなり深刻です。

個人情報を漏洩させた場合、一人あたり数千円～数万円の賠償金を支払わなければなりません。実際に賠償金がいくらになるかについては、情報漏洩のケースにより異なりますが、累計すると数千万円～数億円以上になることも珍しくありません。

これは、企業が一方的な被害者かどうかは関係なく問われる罰則と責任であるため、個人情報漏洩だけは絶対に防がなければなりません。

 

企業が対応すべき情報セキュリティ上の5つの脅威

セキュリティ対策を立てる前に、どのような脅威があるのかを知っておく必要があります。ここではサイバー攻撃に関する5つの脅威について解説します。

マルウェア（ウイルス）感染

セキュリティ上で最も懸念されるのは、マルウェア（ウイルス）への感染です。マルウェアとは、ユーザーに不利益をもたらすプログラムの総称です。

デバイスから情報を読み取ったり、ハッカーによって遠隔操作されたり、ファイルが暗号化されたりなど、さまざまなタイプのマルウェアが確認されています。

フィッシングによる被害

フィッシングとは、悪意を持った人が個人情報やアカウント情報を窃盗するために、実存する企業等になりすまして送る詐欺メッセージのことです。メッセージの中に書かれているURLをクリックすると、個人情報を入力する詐欺サイトへ誘導されたり、マルウェアに感染したりします。

情報セキュリティ白書2021（IPA）によると、2020年に報告されたフィッシング件数は前年の4倍以上となっています。

DDos（ディードス）攻撃

DDos攻撃とは、悪意を持った人が大量のパケットを送信することにより、オンラインサービスを利用できなくさせようとする試みです。

不正アクセス

テレワークの普及に伴い、企業ネットワークに外部から安全に接続する目的で、VPN製品の利用が広がっています。ただしVPN製品のソフトウェアをアップデートしないと、脆弱性を悪用されることにより、社内ネットワークに不正アクセスされる可能性が高まります。

トレンドマイクロによると、2020年に検知したVPN製品の脆弱性を狙う攻撃は、月平均で10万件以上に上ったとのことです。

またなんらかの方法により入手したIDとパスワードが利用され、社内ネットワークへ不正侵入されてしまうことがあります。

Webサイトの改ざん

人的なセキュリティリスクにも対策が必要

情報セキュリティインシデントは、サイバー攻撃を起因とするものだけではありません。サイバー攻撃以外の脅威と対策についてまとめました。

紛失・盗難対策

今はテレワークへの移行などにより社外で勤務する方が増えています。

社外で勤務する場合、業務に使用する備品(PCなど)を社内で管理できないため、紛失・盗難リスクが高まります。

そのため、紛失・盗難に遭うことを想定したマニュアルなどを作成し、情報漏洩を発生させない取り組みをすすめるようにして最悪のケースを防ぐようにしてください。

特に、パソコンの場合は分解されてHDDだけを別PCに接続してアクセスされたら、簡単に情報を盗まれてしまいます。

紛失・盗難に遭ったとしても備品再購入の経費だけで済むように、BitLockerなどの暗号化ソフトウェアを用いて外部からアクセスできないよう徹底させましょう。

災害によるシステム停止・故障

地震等による災害でシステムが停止したりサーバーが故障したりするときに備えて、復旧の手順を決めておきましょう。

社員による重要情報の持ち出し

社員が意図する・意図しないに関わらず、社内の重要情報が外部に持ち出されると、情報漏えいにつながります。重要情報にアクセスする必要のない社員には、アクセス権を与えないなど、システム上の対策が求められます。

破棄した機器からの情報漏洩

破棄したパソコンやサーバー等から情報が漏洩する可能性があります。HDDの円盤に穴をあけるなど、復元できない状態になったことを確認してから破棄してください。

 

取引先からの情報漏洩

企業のセキュリティ対策状況

53.7％の企業がセキュリティ被害を受けている

総務省のデータによると、2020年9月時点の過去1年間において、なんらかのセキュリティ被害を受けた企業は53.7％でした。セキュリティ被害の内訳は次のとおりです。

 

セキュリティ被害の内容	内訳
ウイルスを発見または感染	34.8%
標的型メールが送られてきた	34.3%
スパムメールの中継利用・踏み台	9.2%
不正アクセス	4.2%

 

出典：令和2年度　通信利用動向調査（企業編）21 P より抜粋

 

不正アクセスについては4.2％と多くはありません。ですがアクセスログを監視しないと侵入されたことに気づくのは難しいため、実際に侵入された企業の割合は4.2%よりも多いと類推されます。

83.7％の企業でウイルス対策ソフトを導入済み

インターネットセキュリティに対して「なんらかの対応をしている」と回答した企業は97.6%でした。対応しているセキュリティ対策のうち、「ウイルス対策プログラムの導入」をあげた企業の割合が最も高くなっています。

 

実施しているセキュリティ対策	内訳
パソコンなどの端末（OS、ソフトなど）にウイルス対策プログラムを導入	83.4%
サーバーにウイルス対策プログラムを導入	63.3%
ID、パスワードによるアクセス制御	62.7%
ファイアウォールの設置・導入	52.1%
社員教育	49.1%

 

出典：令和2年度　通信利用動向調査（企業編） 　24Pより抜粋

 

社員教育についても半数弱の企業が取り組んでおり、組織的なセキュリティ対策を実践していることが伺えます。

ただし通信の内容を監視する「不正侵入検知システム（IDS/IPS）」を導入している企業は15.1％にとどまっています。多くの企業のシステム的なセキュリティ対策は、ウイルス対策ソフトウェア止まりといえるでしょう。

企業がセキュリティ対策を立てるときの3つのポイント

企業が情報セキュリティ対策を立てるときのポイントをまとめました。

社員のセキュリティ意識を向上させる

企業のセキュリティは、たった1人の社員がダウンロードした悪意のあるファイルによりかんたんに破られてしまいます。ですが社員の情報リテラシーが向上すると、組織的な防御力が向上します。

定期的に情報セキュリティ点検を実施したり、最新の脅威の手口を周知させたりすることにより、セキュリティ意識の向上を図りましょう。

 

先手を打つ

多くの企業でセキュリティ対策を検討しはじめるのは、自社または取引先でセキュリティインシデントが起きたときです。

「何かあるまで対応しない」という姿勢は、いずれ重大なセキュリティインシデントを引き起こします。後手後手ではなく、脅威に対して「先手を打っていく」姿勢が重要です。

侵入される前提で対策をたてる

昨今のサイバー攻撃の手口は巧妙化しており、完全に防ぐことは難しい状況です。よって対策の方向性を「完璧に侵入を防ぐ仕組み」ではなく、「侵入されても情報資産を安全に守る仕組み」にシフトするのがおすすめです。

たとえば「パスワードを盗まれないようにする」のではなく、「パスワードを盗まれたとしてもログインさせない」多要素認証を取り入れたもの。

またウイルス対策ソフトに検知されない未知のマルウェアが入り込むことを想定し、プログラムのふるまいによって駆除するEDR製品などを利用しましょう。

即実行すべき企業のセキュリティ対策4選

組織全体のセキュリティを確保するには、組織的な対策が極めて重要です。

ここでは、組織が取り組むべきセキュリティ対策をご紹介します。

①.サポート切れのシステムを利用しない

1つ目は、サポートが切れているソフトウェアを決して使用しないことです。

なぜならサポートが切れている製品では、脆弱性が発見されてもセキュリティパッチは提供されないからです。サポートが切れた状態のソフトを使い続けると、セキュリティリスクが大幅に高まります。

②「多要素認証」を取り入れる

③最新のバッチをあてる

利用している機器やソフトウェアに最新のパッチをあてましょう。パッチとは脆弱性を修正するプログラムです。パッチをあてないまま使用し続けると、脆弱性を悪用した攻撃に遭う可能性が高まります。

 

パッチの提供開始は、ユーザーに必ずしも通知されるとは限りません。情報処理推進機構（IPA）がメーカーから公開されている脆弱情報をまとめていますので、下記リンクから確認してください。

 

脆弱性対策情報、【注意喚起】

④必要なユーザーにのみアクセス権を与える

情報を保護するには、権限のないユーザーにはアクセスをさせない仕組みづくりが必要です。アカウントのアクセス権を適切に設定し、必要のない人には権限を与えないようにしましょう。

⑤無線LANに暗号化を施す

無線LANを利用している場合、盗聴されるのを防ぐためにデータの暗号化を実施しましょう。

無線LANの暗号化プロトコルのうち、WEPとWPAは脆弱とされていますので、これらを使用してはいけません。暗号化のプロトコルにはWPA2またはWPA3を利用しましょう。

⑥定期的にバックアップを取る

⑦セキュリティ対策製品の導入

企業向けのセキュリティ製品を導入することで、高度なセキュリティ対策を実行できます。

セキュリティ製品の例は、以下のとおりです。

⑧新たな脅威の手口を社内で共有する

流行している脅威の手口を知ることで、被害を軽減できる可能性を高められます。IPAの「情報セキュリティ10大脅威」を参考にし、近年の脅威と対策方法をまとめ、従業員に周知しましょう。

⑨組織の情報セキュリティを文書にまとめ社内で共有する

情報セキュリティに対する基本方針と具体的なルールや禁止事項をまとめ、社内に共有しましょう。事故が起きた場合の体制をあらかじめ決めておき、役割や手順を明確に示しておくことで、迅速な対応が可能となります。

従業員が取り組むセキュリティ対策7選

セキュリティ事故は人的ミスから発生することがあり、従業員への教育が不可欠です。

以下に、従業員が実施すべきセキュリティ対策をご紹介します。

①パスワードを強化する

推測されにくいパスワードを利用することが大切です。具体的には、次の3つのパターンに当てはまらないようにパスワードを設定しましょう。

 

 

• 「123456」のような単純なもの
• 他のサービスで設定しているパスワードと同じもの
• 初期設定状態

 

上記のパターンに当てはまるような脆弱なパスワードを使用している場合、ハッカーによってすでに不正アクセスされている可能性があります。

②スクリーンロックを利用する

③ソフトウェアを最新の状態にアップデートする

利用中のパソコンやモバイルデバイスのソフトウェアは、常に最新の状態になるようアップデートしましょう。最新のパッチにはセキュリティホールの修正が含まれている場合があり、未適用のまま放置すると攻撃リスクが高まります。

④ビジネスに不要なサイトにアクセスしない

業務用デバイスでは、業務に無関係なサイトへのアクセスを避けましょう。これにより、被害が発生するリスクを最小限に抑えることができます。

⑤不審なメールのリンクや添付ファイルはクリックしない

添付ファイルやURLが含まれたメールには注意が必要です。差出人が本当に信頼できるか確認し、慎重に対処しましょう。

⑥許可されていないソフトウェアをインストールしない

業務用端末には、許可されていないソフトウェアをインストールしないように心がけましょう。必要な場合は、システム部門に相談してから利用しましょう。

⑦家族であっても操作させない

自宅でパソコンを操作する場合も、家族に端末を操作されないよう気をつけましょう。家族による操作は、ウイルス感染のリスクを生じさせます。ご自宅であってもスクリーンロックを有効にしておくことが重要です。

※記載している内容は、掲載日時点のものです