サイバーセキュリティの必要性とは？有効な対策を事例から学ぶ

年号は令和に代わり技術の発展が目まぐるしい中、情報システムやインターネットは、企業の運営に欠かせないものになりました。

ですが、様々なデータやプロセスをシステム頼りにしてしまうことで、ハッキングによるサーバーやシステムの停止による損失、顧客情報の漏洩（ろうえい）の影響は、今までよりも多くなっています。

情報セキュリティ上のリスクは、企業や組織に大きな被害や影響をもたらします。

また、多くの場合、被害や影響は取引先や顧客などの関係者へも波及するため、サイバーセキュリティに対するリスクマネジメントが、いかに重要なものかを理解する必要があるでしょう。

今回は、サイバーセキュリティについて有効な対策を、実際にあった過去の事例から学んでいきましょう。

また、セキュリティ対策を効率的・効果的に実施できるツールをお探しの企業様には、情報セキュリティ向上クラウド「Seculio」でのeラーニング教育がオススメです。

という3ステップでの従業員セキュリティ教育が可能です。

もちろんPマーク教材も多数取り揃え、他にも標的型攻撃メール訓練、セキュリティトレーニングを通じた従業員のセキュリティレベルアップが実現できます。

サイバーセキュリティとは

サイバーセキュリティとは、企業の資産である機密情報やデータなどを悪意のある攻撃者から防御するために講じる対策および、データを攻撃者から守る概念です。

技術革新で、新たなシステムが生まれるたびに、その脆弱性を突く、新たなサイバー攻撃が出現します。

対策をしては別の手段で攻撃を受けるため、常にセキュリティをアップデートし続ける必要があります。

2015年に施行（2018年改正）された「サイバーセキュリティ基本法」では、

のリスクに対する備えと、システムやネットワークそのものの安全性と信頼性を確保するための対策ができているかどうかが定義がされています。

サイバーセキュリティ対策の重要性

サイバーセキュリティ対策の重要性は主に、以下の2点です。

例えば、あなたが利用している通販サイトでクレジットカードの番号と住所と名前が流出した場合、そのサイトを使い続けようと思うでしょうか。

おそらく、同業他社の利用を検討するのではないでしょうか。

万が一、顧客の個人情報が流出すれば、会社の信頼性が落ちてしまい、顧客が離れてしまったり、最悪の場合、損害賠償まで発展する可能性があります。

もしセキュリティ対策をせずに、顧客の情報が流出をしてしまった場合には、会社の信頼が損なわれ顧客が離れてしまいます。

こんな最悪の事態を避けるためにも、しっかりとセキュリティ対策を行う必要があります。

サイバーセキュリティ対策の隙を突かれた被害事例

ここまで、サイバーセキュリティの概要と、サイバーセキュリティ対策の重要性を解説しました。

では、実際にサイバーセキュリティ対策の隙を突かれてしまった被害事例はどんなものがあるのか、紹介します。

富士フイルムイメージングシステムズ株式会社

2022年10月26日、富士フイルムイメージングシステムズ株式会社が運営している、「FUJIFILMプリント＆ギフト」および「フジフイルムモール」にて、サイバー攻撃により、1,370名のクレジットカード情報が流出しました。

ラクスル株式会社

2022年3月30日、ラクスル株式会社は、印刷事業のパートナー企業が受けた不正アクセスにより、9,000件以上の「注文者の氏名」「住所」「電話番号」「印刷物の届け先」「出荷元」として記載した氏名と住所が流出されたといいます。

株式会社ディスクユニオン

2022年6月29日、株式会社ディスクユニオンが、運営するオンラインショップ「diskunion.net」と「audiounion.jp」で、ディスクユニオンのオンラインショップに登録していた利用者の個人情報が、不正アクセスによって外部へ漏えいした可能性があると発表しました。

漏えい件数は最大で70万1000件で「氏名」「住所」「電話＆FAX番号」「メールアドレス」「ログインパスワード」「会員番号」が漏えいした可能性があるとしています。

どの企業も、数多くの顧客情報の漏洩が発生していました。

いずれも、名前が知られるかなりの大手企業であり、どんなにセキュリティ対策に力を入れていても、サイバー攻撃を受ける可能性があるということが伺えます。

具体的に、情報セキュリティによる被害はどんなケースがあるのか、紹介します。

情報セキュリティで被害が起こるケース

では、具体的に情報セキュリティ対策にはどのような種類があるのか解説します。

内部不正

第三者ではなく、「自社に不満がある」「自己利益のために」といった理由で、自社の社員が悪意を持って、機密情報を外部に流出させるケースです。

標的型攻撃メール

標的型攻撃メールとは、ウイルスを含むファイルや、ウイルスが仕組まれたサイトのURLが添付されています。

ウイルスに感染したパソコンから、個人情報が盗まれてしまう可能性があります。

ランサムウェア感染

ランサムウェアは、パソコンやサーバーをロックして、攻撃者がロックの解除と引き換えに金銭を要求するものです。

Webサイトの改ざん

Webサイトの脆弱性をつき、管理アカウントを盗んだり、直接サイトを改ざんしたりします。

ビジネスメール詐欺

取引先といった、通常業務と関連のある企業（人物）を装い、偽のビジネスメールによって、攻撃者が用意した口座への送金を誘導する詐欺です。

インターネットバンキングのフィッシング

インターネットバンキングの偽のログインページを用いて、暗証番号や、カード番号、アカウント情報を盗みとり悪用する詐欺の手法です。

サプライチェーン攻撃

商品が消費者の元に届くまでには、複数の企業が関わっており、その一連の商流をサプライチェーンと呼びます。

そのうちの一社でもセキュリティ対策に問題があれば、それを足掛かりとしてサプライチェーン全体で、情報漏えいといった被害が発生します。

サイバーセキュリティによって対策すべき攻撃とは

サイバー攻撃は、企業の情報やデータをあらゆる方法を駆使して仕掛けられます。これより、特に注意が必要なサイバー攻撃について解説します。

DDoS

「DDoS」は分散型サービス拒否攻撃ともいわれ、サーバーに過剰な負荷を与える攻撃を仕掛けることでサービスが提供できない状態に陥ります。

複数のIPアドレスから一度に大量のアクセスを集中させることで、サーバーの処理能力をパンクさせて結果的にサーバーをダウンさせるため、特に危険性が高いとされます。

フィッシング

公式サイトや公式メールと見せかけてユーザーをおびき出し、個人情報を盗み取る手口を「フィッシング」といいます。

魚釣りのフィッシングになぞらえて、ユーザー情報を釣り上げるという意味合いからネーミングされています。

キーロガー

キー操作を監視・記録する機能を持つプログラムを送り込むサイバー攻撃を「キーロガー」といい、これによりユーザー名やパスワードなどのログイン情報が抜き取られる危険があります。

被害事例として、中学校のパソコンから写真画像が収奪されたり、ネットバンクから不正出金されたというケースがあります。

ブルートフォース

手当たり次第に、考えられるすべてのパターンや組み合わせを試しながらユーザーのアカウントやパスワードを解読する攻撃手法を「ブルートフォース」といいます。

原始的な手法ではありますが、ツールやソフトを使うことで正解を導き出す性能も高まっているため決して侮れません。

サイバーセキュリティではアナログな対策も必要

攻撃は、オンラインに限ったことではなく、意外な盲点をついてアナログ的な手段を用いて行われることもあります。

特に、海外からスパイ天国とみなされている日本は、機密情報が盗み放題だと言わんばかりに常に標的にされています。

例えば、産業スパイが社内に入り込んで、IDやパスワードを窃取してシステムにログインし、データをコピーするといったケースが想定されます。

しかし、最近ではむしろ「社内産業スパイ」と呼ばれる、内部犯行による漏洩や改ざんなどを防ぐための対策が急務とされているようです。

これまで、元ソフトバンク社員がロシア人スパイに社内の機密情報を渡していたとして逮捕されるといったケースが存在します。

セキュリティ対策をどれほど充実させたとしても、人間の心のスキをついた攻撃手法は防ぐことが難しく、多くの企業が抱える課題といえます。

「Seculio」をご利用いただけば、セキュリティ教育や標的型攻撃メール訓練、独自のセキュリティトレーニング機能を利用して従業員のセキュリティリテラシー向上が実現可能です。

アナログな対策とは、言わば従業員一人一人が適切にセキュリティを心がけ、適切なセキュリティ対策をとる、ということです。

まずは14日間の無料トライアルで従業員のリテラシー向上を始めましょう。

最新のサイバーセキュリティ動向を掴めるWebサイト

サイバーセキュリティを取り巻く環境は、日々目まぐるしい勢いで変化しています。

予想だにしていなかったサイバーセキュリティによる被害を未然に防ぐためにも、最新の情報は怠ることなく収集しておきたいところです。

そこで、最新動向を知るののに役立つサイトをまとめました。

ぜひ常日頃から、チェックしておきましょう。

独立行政法人情報処理推進機構（IPA）

経済産業省が管轄していることもあり、国が情報セキュリティ対策をどのように推進していくのか、その方向性を知るための情報が満載です。

また、サイト内にある「情報セキュリティ10大脅威 2022」には、「個人」と「組織」に分けてそれぞれ最新の脅威情報がランキング形式で掲載されています。

用語や仕組みについて分かりやすく解説した資料などもダウンロードできるので、セキュリティ対策への理解も深められます。

JPCERT/CC

インターネット上におけるサイバーセキュリティの侵害やサービス妨害等の実例に基づき、再発防止のための助言などを行っています。

脆弱性のあるソフトウェアの情報などを随時取り上げているので、脅威となる最新のセキュリティ情報をチェックするのにおすすめです。

内閣サイバーセキュリティセンター（NISC）

サイバーセキュリティ基本法に基づき、内閣官房に設置されました。

官民一体となった活動に取り組んでおり、活動内容もグループごとに

と多岐にわたっています。

国家戦略としての、サイバーセキュリティ政策を把握するのに役立つでしょう。

サイバーセキュリティの対策とは

サイバーセキュリティをより強化するためには、技術、物理、人的な面での3方面から総合的に対策を講じていくことが大切です。

技術面でのサイバーセキュリティ対策

セキュリティ対策に適した製品を導入し、未然に侵入を防ぐ対処法を実施することが必要になってきます。

例えば、ウィルス対策ソフトの導入やIDS（不正侵入検知システム）および IPS（不正侵入防止システム）の導入、脆弱性をカバーするためのソフトウェアの更新やセキュリティ診断の実施などの対策が挙げられます。

さらに「情報セキュリティ10大脅威 2022」などを利用して脅威をリストアップし、対策を講じるのも効果的でしょう。

物理面でのサイバーセキュリティ対策

オンライン上の対策というよりも、内部犯行を防ぐために物理的な環境を整えることを指します。

防犯カメラや出入り口のゲート設置、警備員の配備、それに生体認証が必要なシステムの導入などが有効な手段といえます。

さらに、重要な書類やデータを参照するには、二重三重の認証ゲートなどを設置するとより効果的でしょう。

人的な面でのサイバーセキュリティ対策

社員にセキュリティに対する意識を高めてもらうための教育であったり、人的なミスで情報を漏洩させないためのルールづくりであったりします。

例えば、社内規定で業務の持ち帰り制限したり、問題発生時の報告体制を確立するなどの対策が有効です。

また、アクセス権限を誰が持つのか、パスワードやIDは誰が管理するのか事前に決めておくことで、万が一、機密情報が漏洩してしまった場合に流出経路の特定や不正利用の発見にもつながるため、しっかりと手を打っておきましょう。

サイバーセキュリティの導入事例

仮想デスクトップ導入で情報漏洩を防止

同社では、育児や介護で仕事の両立が難しくなった社員が休職や退職を余儀なくされる問題に直面して働き方改革が課題となっていたといいます。

そこで、在宅勤務やテレワークに対応するために、場所を問わず業務が行えるような仮想デスクトップ基盤（VDI）の構築に乗り出しました。

社外への持ち運びに便利な端末を多数用意するとともに、セキュリティ面での安全性にも配慮しています。

いつ、どんな端末を、どこで使っても、同じデスクトップ環境を利用することができるデスクトップ環境の仮想化を実現しました。

端末にはサーバで処理・実行された結果のみを示し、データを残さないため、マルウェアへの感染や標的型メールなどによる情報漏洩を防いでいます。

なりすまし防止に手のひら静脈認証の技術を採用

パスワードの使いまわしや同じパスワードを使い続ける行為は、サイバー攻撃の標的ともなりやすくセキュリティの観点からは安全とはいえません。

IDやパスワードが盗用されてしまうと、なりすましによる情報漏洩のリスクも高まります。

大規模なクレジットカード情報流出事件の事例をみても、企業の信用やイメージを一瞬にして失うのは目に見えて明らかです。

そこで、同社ではなりすましを防止するため、手のひら静脈認証技術を使った生体認証の仕組みをVDIにも取り入れています。これにより情報漏洩の防止になるほか、煩わしいパスワード入力も不要になります。

マネージドセキュリティサービスでセキュリティ強化

サイバー攻撃の対策として必要な機器やソフトウェアの導入・管理・運用などの業務を請け負うサービスとして注目を集めているのが「マネージドサービス」です。

従業員が誤ってウイルスをネットワークに侵入させたとしても、経験豊富な専門スタッフが迅速に対応してくれます。

もちろん、金額面でのコストはかかりますが、早期に問題が解決されるためリスクの軽減につながり、安心して企業のセキュリティ管理を行うことができます。

まとめ

セキュリティ対策について紹介しました。

技術の発展に伴い、今回紹介したDDoSやフィッシング以外にも新たなサイバー攻撃が多発しています。

企業の資産である機密情報やデータが漏洩しないためにも、常に最新のセキュリティ対策について情報を収集しておきましょう。

一度被害にあうと情報漏洩のリスクはさらに高まります。

そうならないために、しっかり、技術的対策・物理的対策・人的対策を行いましょう。