DoRACOON NTTMEDIAS

企業の課題

企業の
課題

企業のセキュリティ対策はどこまで必要?リスクの整理と即実行すべき4つの対策を解説

2021-12-22

企業がサイバー攻撃などを受けて情報漏洩のトラブルを起こしてしまうという問題は、残念ながら全国で数多く発生しています。

大規模なもの・大企業が被害を受けた場合はニュースになっていることも珍しくありません。情報漏洩等のセキュリティトラブルがニュースなどで公に晒されたとなると、企業の信用は大きく落ちることでしょう。

そのため、企業としては情報漏洩などのセキュリティインシデントを発生させないために、セキュリティ対策を徹底しておく必要があります。

また、セキュリティインシデントの原因はサイバー攻撃などの外的要因とは限りません。

このページでは、企業・組織規模でのセキュリティ対策について解説しています。

情報セキュリティ対策を怠るリスク

情報セキュリティを怠ると、社外秘の機密情報が漏洩する問題が発生する可能性が高まります。企業が積み上げてきた情報資産が外部に漏れて利用される可能性が高いため、それだけは絶対に防がなければなりません。

個人情報漏洩は賠償責任を問われる

社内の機密情報が漏洩しただけならば、「情報資産の流出」という、企業だけに発生した損害として処理できます。

しかし、顧客情報など外部の情報・個人情報を漏洩させてしまった場合は事情が異なります。個人情報を漏洩させると刑事上の罰則と民事上の損害賠償責任が発生します。

刑事上の罰則の内容ですが、まず個人情報を漏洩させると国から是正勧告を受けます。この時点では罰金などの罰則は発生しませんが、是正勧告に従わなかった場合は「6ヶ月以下の懲役又は30万円以下の罰金刑」の刑が科せられます。

もう一つの民事上の損害賠償責任ですが、こちらの方がかなり深刻です。

個人情報を漏洩させた場合、一人あたり数千円~数万円の賠償金を支払わなければなりません。実際に賠償金がいくらになるかについては、情報漏洩のケースにより異なりますが、累計すると数千万円~数億円以上になることも珍しくありません。

これは、企業が一方的な被害者かどうかは関係なく問われる罰則と責任であるため、個人情報漏洩だけは絶対に防がなければなりません。

 

企業が対応すべき情報セキュリティ上の5つの脅威

セキュリティ対策を立てる前に、どのような脅威があるのかを知っておく必要があります。ここではサイバー攻撃に関する5つの脅威について解説します。

マルウェア(ウイルス)感染

セキュリティ上で最も懸念されるのは、マルウェア(ウイルス)への感染です。マルウェアとは、ユーザーに不利益をもたらすプログラムの総称です。

デバイスから情報を読み取ったり、ハッカーによって遠隔操作されたり、ファイルが暗号化されたりなど、さまざまなタイプのマルウェアが確認されています。

フィッシングによる被害

フィッシングとは、悪意を持った人が個人情報やアカウント情報を窃盗するために、実存する企業等になりすまして送る詐欺メッセージのことです。メッセージの中に書かれているURLをクリックすると、個人情報を入力する詐欺サイトへ誘導されたり、マルウェアに感染したりします。

情報セキュリティ白書2021(IPA)https://www.ipa.go.jp/security/publications/hakusyo/2021.htmlによると、2020年に報告されたフィッシング件数は前年の4倍以上となっています。

DDos(ディードス)攻撃

DDos攻撃とは、悪意を持った人が大量のパケットを送信することにより、オンラインサービスを利用できなくさせようとする試みです。

不正アクセス

テレワークの普及に伴い、企業ネットワークに外部から安全に接続する目的で、VPN製品の利用が広がっています。ただしVPN製品のソフトウェアをアップデートしないと、脆弱性を悪用されることにより、社内ネットワークに不正アクセスされる可能性が高まります。

トレンドマイクロ(https://www.trendmicro.com/ja_jp/about/press-release/2021/pr-20210318-01.html)によると、2020年に検知したVPN製品の脆弱性を狙う攻撃は、月平均で10万件以上に上ったとのことです。

またなんらかの方法により入手したIDとパスワードが利用され、社内ネットワークへ不正侵入されてしまうことがあります。

Webサイトの改ざん

 

Webサイトが改ざんされ、詐欺サイトへ転送される事例が確認されています。またWebサイト上のアプリケーションの脆弱性が悪用されることにより、個人情報が窃盗されてしまう可能性があります。

人的なセキュリティリスクにも対策が必要

情報セキュリティインシデントは、サイバー攻撃を起因とするものだけではありません。サイバー攻撃以外の脅威と対策についてまとめました。

紛失・盗難対策

今はテレワークへの移行などにより社外で勤務する方が増えています。

社外で勤務する場合、業務に使用する備品(PCなど)を社内で管理できないため、紛失・盗難リスクが高まります。

そのため、紛失・盗難に遭うことを想定したマニュアルなどを作成し、情報漏洩を発生させない取り組みをすすめるようにして最悪のケースを防ぐようにしてください。

特に、パソコンの場合は分解されてHDDだけを別PCに接続してアクセスされたら、簡単に情報を盗まれてしまいます。

紛失・盗難に遭ったとしても備品再購入の経費だけで済むように、BitLockerなどの暗号化ソフトウェアを用いて外部からアクセスできないよう徹底させましょう。

災害によるシステム停止・故障

地震等による災害でシステムが停止したりサーバーが故障したりするときに備えて、復旧の手順を決めておきましょう。

社員による重要情報の持ち出し

社員が意図する・意図しないに関わらず、社内の重要情報が外部に持ち出されると、情報漏えいにつながります。重要情報にアクセスする必要のない社員には、アクセス権を与えないなど、システム上の対策が求められます。

破棄した機器からの情報漏洩

破棄したパソコンやサーバー等から情報が漏洩する可能性があります。HDDの円盤に穴をあけるなど、復元できない状態になったことを確認してから破棄してください。

 

取引先からの情報漏洩

 

情報漏洩元が自社内とは限りません。取引先の企業から情報が漏洩することもあります。

取引先のパソコンなどがハッキングされ、そこから情報漏洩が発生することもあります。取引先の情報管理に対する不安が大きい場合は安易に情報共有を行わず、場合によっては取引先との付き合いを考え直す必要もあるでしょう。

企業のセキュリティ対策状況

53.7%の企業がセキュリティ被害を受けている

総務省のデータによると、2020年9月時点の過去1年間において、なんらかのセキュリティ被害を受けた企業は53.7%でした。セキュリティ被害の内訳は次のとおりです。

 

セキュリティ被害の内容 内訳
ウイルスを発見または感染 34.8%
標的型メールが送られてきた 34.3%
スパムメールの中継利用・踏み台 9.2%
不正アクセス 4.2%

 

出典:令和2年度 通信利用動向調査(企業編)21 P より抜粋

 

不正アクセスについては4.2%と多くはありません。ですがアクセスログを監視しないと侵入されたことに気づくのは難しいため、実際に侵入された企業の割合は4.2%よりも多いと類推されます。

83.7%の企業でウイルス対策ソフトを導入済み

インターネットセキュリティに対して「なんらかの対応をしている」と回答した企業は97.6%でした。対応しているセキュリティ対策のうち、「ウイルス対策プログラムの導入」をあげた企業の割合が最も高くなっています。

 

実施しているセキュリティ対策 内訳
パソコンなどの端末(OS、ソフトなど)にウイルス対策プログラムを導入 83.4%
サーバーにウイルス対策プログラムを導入 63.3%
ID、パスワードによるアクセス制御 62.7%
ファイアウォールの設置・導入 52.1%
社員教育 49.1%

 

出典:令和2年度 通信利用動向調査(企業編)  24Pより抜粋

 

社員教育についても半数弱の企業が取り組んでおり、組織的なセキュリティ対策を実践していることが伺えます。

ただし通信の内容を監視する「不正侵入検知システム(IDS/IPS)」を導入している企業は15.1%にとどまっています。多くの企業のシステム的なセキュリティ対策は、ウイルス対策ソフトウェア止まりといえるでしょう。

企業がセキュリティ対策を立てるときの3つのポイント

企業が情報セキュリティ対策を立てるときのポイントをまとめました。

社員のセキュリティ意識を向上させる

企業のセキュリティは、たった1人の社員がダウンロードした悪意のあるファイルによりかんたんに破られてしまいます。ですが社員の情報リテラシーが向上すると、組織的な防御力が向上します。

定期的に情報セキュリティ点検を実施したり、最新の脅威の手口を周知させたりすることにより、セキュリティ意識の向上を図りましょう。

 

先手を打つ

多くの企業でセキュリティ対策を検討しはじめるのは、自社または取引先でセキュリティインシデントが起きたときです。

「何かあるまで対応しない」という姿勢は、いずれ重大なセキュリティインシデントを引き起こします。後手後手ではなく、脅威に対して「先手を打っていく」姿勢が重要です。

侵入される前提で対策をたてる

昨今のサイバー攻撃の手口は巧妙化しており、完全に防ぐことは難しい状況です。よって対策の方向性を「完璧に侵入を防ぐ仕組み」ではなく、「侵入されても情報資産を安全に守る仕組み」にシフトするのがおすすめです。

たとえば「パスワードを盗まれないようにする」のではなく、「パスワードを盗まれたとしてもログインさせない」多要素認証を取り入れたもの。

またウイルス対策ソフトに検知されない未知のマルウェアが入り込むことを想定し、プログラムのふるまいによって駆除するEDR製品などを利用しましょう。

即実行すべき企業のセキュリティ対策4選

組織としてのセキュリティ対策ですが、基本的なセキュリティ対策から地固めしていくことで、情報漏洩などのインシデントを起こす可能性を大きく減らすことができます。

そこで、企業・組織として必ずやっておきたいセキュリティ対策について解説していきます。

①.サポート切れのシステムを利用しない

1つ目は、サポートが切れているソフトウェアを決して使用しないことです。

なぜならサポートが切れている製品では、脆弱性が発見されてもセキュリティパッチは提供されないからです。サポートが切れた状態のソフトを使い続けると、セキュリティリスクが大幅に高まります。

②.パスワードを強化する

2つ目はパスワードの強化です。具体的には、次の3つのパターンに当てはまらないようにパスワードを設定しましょう。

 

  • ●「123456」のような単純なもの
  • ●他のサービスで設定しているパスワードと同じもの
  • ●初期設定状態

 

上記のパターンに当てはまるような脆弱なパスワードを使用している場合、ハッカーによってすでに不正アクセスされている可能性があります。

 

③.「多要素認証」を取り入れる

パスワードだけで認証を行うシステムでは、パスワードが突破されたときに不正アクセスされてしまいます。企業にとって重要なシステムの場合、パスワード以外の要素で認証する「多要素認証」に切り替えましょう。

たとえば「SMSで届く、有効期限付きのコード」を、通常のパスワードに加えて認証に利用します。もしハッカーがパスワードを入手したとしてもログインできないため、強固なセキュリティを構築できます

④.最新のバッチをあてる

利用している機器やソフトウェアに最新のパッチをあてましょう。パッチとは脆弱性を修正するプログラムです。パッチをあてないまま使用し続けると、脆弱性を悪用した攻撃に遭う可能性が高まります。

パッチの提供開始は、ユーザーに必ずしも通知されるとは限りません。情報処理推進機構(IPA)がメーカーから公開されている脆弱情報をまとめていますので、下記リンクから確認してください。

脆弱性対策情報、【注意喚起】IPA https://www.ipa.go.jp/security/vuln/documents/index.html

まとめ

巧妙化しているサイバー攻撃からの防御に加え、人的な情報漏えいリスク、天災によるトラブルなど、企業のセキュリティ対策にはさまざまなケースを考慮する必要があります。 何から対策したらよいかわからない方は、「サポート切れのシステムを使わない」・「パスワードを強化する」・「多要素認証を取り入れる」・「最新のパッチをあてる」の4項目から始めてみてください。

ページ上部へ戻る