ネットワークセキュリティの重要性はわかっているつもりでも、具体的にどのように対策をとればわからない方もいるでしょう。
この記事ではネットワークセキュリティの内容と具体的な対策方法、そしてネットワークセキュリティの弱点を突かれて発生した被害実例について詳しく解説します。
ネットワークセキュリティはどの企業も留意すべき事項
ネットワークセキュリティの実態を知る人は多くないでしょう。
しかし近年では、どの企業も当たり前のようにインターネットを業務に活用しているため、ネットワークセキュリティの概念くらいは誰もが知っておくべきです。
ネットワークセキュリティで保護すべきものは「情報資産」です。
情報資産とは企業経営に関わるあらゆる情報のことであり、失ってしまうと企業経営を基盤から揺るがす事態に発展しかねません。
紙で記録されているアナログな情報だけでなく、パソコンやスマートフォンなどのデジタル媒体に記録された情報も価値は同様です。デジタルな情報資産は、記録から管理の方法まで、インターネットや社内LAN、サーバーやクラウドなど、ネットワークを通じて使用されることが前提となっています。
つまり、ネットワークを介して、記録や管理されている情報の漏洩など、常にサイバー攻撃のリスクと隣り合わせになっているわけです。
デジタルな情報資産をサイバー攻撃から守り、ネットワークを安全に使うためには、ネットワークセキュリティの導入は必要不可欠です。
ネットワークセキュリティの焦点はオープンネットワーク
ネットワークセキュリティの焦点はインターネットなどのオープンネットワークです。
社内のみで完結している社内LANなどのクローズドネットワークでは、限られたエリア内でのみ情報がやりとりされるため、内部不正などが発生しない限り、問題が生じることは少ないでしょう。
しかし社内のみのクローズドネットワークと言っても、内部不正が発生しないような仕組みは必要です。例えば業務で取り扱っている機密情報や個人情報を持ち出したり改ざんしたりなどが簡単にできない仕組みなどです。
同じ会社で働いている社員だからと言って、無条件に信用するのは危険です。また故意でなくても、不注意やうっかりミスなどが原因で、情報が漏洩するリスクも無視できません。
インターネットを通じて、直接的あるいは間接的に外部公開しているオープンネットワークに対しては、厳重に対策する必要があります。
例えばインターネットからのサイバー攻撃である、不正アクセスやWebサイト情報の改ざん、マルウェアの感染など、さまざまサイバー攻撃がインターネットを経由して仕掛けられるリスクがあるからです。
ネットワークセキュリティの具体的な対策
ネットワークセキュリティの具体的な対策について、これからいくつか紹介します。
ファイアウォールでのアクセス制御
社内ネットワーク内にファイアウォールを設置してアクセス制御を行うのは、ネットワークセキュリティの基本的な対策の一つです。ファイアウォールは、パケットフィルタリングやIPアドレスを指定したアクセス制御機能を持ちます。
IPS/IDSによる監視
社内ネットワーク内にIPSやIDSを設置して監視するのもおすすめの方法です。
IPSとはIntrusion Prevention Systemのことであり、不正侵入防止システムと呼ばれます。ネットワークを監視して不正な通信を検知すると、管理者へ通知をして、その通信をブロックします。
一方、IDSとはIntrusion Detection Systemのことで、不正侵入検知システムと呼ばれます。こちらは不正な通信を検知すると、管理者へ通知を行いますが、その通信のブロックまでは行いません。
IPSやIDSによる監視だけでは不十分であることが多く、ファイアウォールと併用して利用されることが一般的です。
アクセス権限の適切な付与と制限(2要素認証など)
ファイルやサーバーなどに適切にアクセス権限を付与することも、ネットワークセキュリティにおいては重要です。何らかのシステムやネットワークを利用するためのログイン処理に、2要素認証を導入することもあります。
2要素認証とは、通常のIDとパスワードによる認証に、さらに別の要素を使って追加の認証を行う認証方式のことです。追加される要素としては、例えばセキュリティトークンやスマートフォンなどが使われます。
USBメモリなどの外部接続機器の使用禁止や制限
USBメモリは手軽にデータを持ち運べる道具ですが、その利便性のためにネットワークセキュリティを脅かすことがあります。
例えば重要情報が含まれているUSBメモリを紛失して情報漏洩が発生するケースや、社内にいる悪意のある社員により、業務のデータがほかの企業に売られてしまうなどのケースがあります。
社内のルールとしてUSBメモリの使用を禁止することに加えて、物理的にパソコンのUSBポートをふさいでしまうという手法も使われています。
クラウドサービスへのアクセス制限や監視
インターネット上にはさまざまなクラウドサービスが提供されています。
クラウドサービスは業務においても便利なサービスですが、使い方を誤ると、情報漏洩の原因にもなってしまいます。特に業務で使われているクラウドに対しては、社内ネットワークからのアクセスのみ許可するような制限や、クラウドと社内ネットワークとの間で、不正な通信が発生していないか監視することも重要です。
とくにクラウドでのデータベース利用に対しては、厳重なアクセス制限や多要素認証などの導入が求められます。
セキュリティ教育によるネットリテラシーの向上
社員に対するセキュリティ教育を行い、ネットリテラシーを向上させることも欠かせません。特に新入社員は、ネットワークセキュリティに詳しくないだけでなく、社内でのルールが十分に身についていないことも多いでしょう。
新入社員の入社時の教育に加えて、業務で使っているシステムやサービスの変更時などにも、十分にセキュリティ教育を実施することで、社員のネットリテラシーが向上し、ネットワークセキュリティ対策につながります。
ゼロトラストネットワークやEDRなどの新しい仕組みの導入
近年、セキュリティ業界ではゼロトラストネットワークやEDRなどの新しい仕組みの導入が進んでいます。これらはサイバー攻撃の高度化や複雑化に対する新しいアプローチです。
ゼロトラストとはつまり、何も信用しないということです。マルウェアの感染や、ネットワークへの不正アクセスは、もはやセキュリティ対策ソフトやファイアウォールを導入しても防ぐことはできないという前提のもと、パソコンやサーバーなどのエンドポイントでの対策を集中して強化するという方法が採用され始めています。これはEDR(Endpoint Detection and Response)と呼ばれる考え方です。
ネットワークセキュリティの弱点を突かれた被害事例
ネットワークセキュリティの弱点を突かれた被害事例を紹介します。
個人情報125万件が流出した被害
職員が外部から受信したメールの添付ファイルを実行し、マルウェアに感染しました。感染したパソコンから社内ネットワークに接続され、複数のフォルダから個人情報125万件が窃取され外部へ流出しました。流出した情報の変更などの対応に2週間かかり、約8億円の経費が発生しました。
ランサムウェア感染の被害
国内大手メーカーの欧州現地法人にある検査機器がランサムウェアであるWannaCryに感染し、社内ネットワークに接続されている業務用サーバーから入退室システムまで被害を拡大させました。
これにより業務用PCでのメールの送受信ができなくなり、受発注システムが使用不能になるなど、社内外に影響が発生しました。
リスト型アカウントハッキングの被害
電子決済システムがリスト型アカウントハッキング攻撃により不正アクセスの標的となった事例です。約800人分、3862万円が不正利用の被害に遭い、会社は全額補償しましたが、同サービスは終了、廃止となりました。
まとめ
ここまで紹介した内容で、ネットワークセキュリティの重要性がおわかりいただけたかと思います。
ネットワークセキュリティが不十分だと、さまざまなサイバー攻撃の被害にあい、金銭的な被害だけでなく、企業の社会的な信用も失われてしまいます。
セキュリティ対策というと難易度が高くコストがかかると思いがちですが、まずはネットワークセキュリティの正しい知識を持ち、自社でできることから始めてみましょう。
