企業のセキュリティ対策は、自社・取引先・顧客に対する被害・損害を防ぐだけでなく、企業の信用を守るものでもあります。
セキュリティ重大事故に関するデータによれば、損害額は2億円以上を超えるものも珍しいものではなく、セキュリティインシデントは経営基盤を揺るがす脅威です。御社のセキュリティ対策は十分と考えられるでしょうか。
もしも改善ポイントがある場合、優先順位を決めた取り組みをされていますでしょうか。
この記事では、現在の情勢に照らして最も優先して取り組むべきポイントや、今後企業の情報セキュリティ対策を考えるうえで、基本に据えたい考え方について、最新データをもとにお伝えします。
企業のセキュリティ対策が重要な理由
IPAが毎年発表する、情報セキュリティ10大脅威2020によれば、企業や官公庁などの組織を狙う脅威として
- 標的型攻撃による機密情報の窃取
- 内部不正による情報漏洩
- ビジネスメール詐欺による金銭被害
- サプライチェーンの弱点を悪用した攻撃
- ランサムウェアによる被害
が上位5位を占めています。
5位までの項目は、2019年の10大脅威と変わらず、順位のみに変動がありました。2位を除くと、いずれも外部からの悪意ある者からの攻撃ないし犯罪的行為による被害です。
被害の結果は、経済的に企業にダメージを与えるものです。
令和元年総務省情報通信白書によると、企業のサイバーセキュリティに関する被害額の各国調査結果が掲載されていますが、日本では企業の年間平均被害額が2億1,153万円とのデータがあります。
企業ブランド・信頼・取引先など、あらゆるものを失う危険性がある
個人情報の漏えい事件や、データ漏えい事件のあと、顧客からの信頼・取引先をいっぺんに失う可能性があります。多額の損害賠償に応じなければならないケースではもちろんのこと、そうでなくても公表・謝罪に追い込まれ、取引先の信用を失うことがあります。
特に、情報セキュリティ対策をしっかりと行っている会社は、ベンダ―評価・外注先調査を行いますので、事故・不祥事については、契約などで報告を求めます。
そうした会社は、事故内容によっては、不利な条件への契約条件の変更・セキュリティ対策の追加実行を要求し、最悪は取引の中止を決定することもあります。
取引の中止から、企業の倒産にもつながる大きな影響が出ることも考えられます。
クレジットカード情報の大量漏れのケースが生じたケースなどでは、決済サービス会社が倒産に追い込まれたこともありました。
自社の被害だけでは済まされない
しかも、自社で情報セキュリティ対策ができていないことにより、他の会社・個人に多大の損害を与えるケースもあります。
自社のネットワークに生じたセキュリティホールのために、インターネット経由でマルウェアに感染した従業員のPCから、さらに顧客企業のメールを経由し、かかるマルウェアにより顧客企業のネットワークを停止させたケースなどの深刻なケースが生じることがあります。
Webショッピングサービスを行っている企業がサイトの改ざんにあい、個人情報の漏えい被害に遭ったケースでは、企業が被害に遭い、サービスの一時停止に追い込まれただけでなく、顧客の情報が他人の目にさらされるなどの大きな被害に遭いました。
金銭的損害・プライバシー・他人の個人情報だけでなく、個人情報の悪用の危険(クレジットカード番号など)も生じる可能性のあるケース・実際に悪用されたケースは日本でも報告されています。
セキュリティ被害を受ける具体的な手法
企業にセキュリティの脅威をもたらす攻撃者は、どのような手法で企業を攻撃するのでしょう。
スパムメール・なりすましメール
大量のメールを送り付けるスパムメール・他人になりすましたメールの送付は、情報セキュリティの脅威となる手法の代表例です。スパムメール・なりすましメールへの対応策は、メールフィルターによる検知、送付元ドメインからのメールの送付拒否などの技術的な施策のほか、個々の従業員が送付元のわからない、不審なメールを開けない事を守ることが対策となります。
またメールの日本語が不自然でないか、文字化けを起こしていないか、などのメール内容のチェックからも被害を最小限にとどめることができます。
ランサムウェアの感染
ランサムウェアとは、コンピューターシステムに害悪を与えるマルウェア=不正な動きをする小さなプログラムの一種です。
ウイルスとマルウェアはほぼ同義で使われます。
マルウェアは、マルウェアを仕込んだメールを送付する・Webサイトにもマルウェアを仕込み、サイトへアクセスさせるなどの手口で不特定多数のコンピューターシステムに感染させます。ランサムウェアの感染もこのようにして起こります。
ランサムウェアに感染すると、PCが動かなくなり「●●●●●円をここに振り込んだらこのPCのロックを解除します」といった内容の表示が行われ、PCが利用できない・業務が止まるなどの損害が生じます。
不審なサイトへのアクセスを避ける・不審なメールは開封しない・メールのリンクをクリックしない、といった方法で100%ではないですが、多くを予防することができます。
Webサイトの改ざん
Webサイトの改ざんは、ウィルスまたはマルウェア攻撃=不正な動きをする小さなプログラムによる攻撃により、サイトの内容を書き換えてしまいます。これも多く見られる手口です。
SQLインジェクションなど、インジェクション系マルウェアによる攻撃で、スクリプト(Webサイトを構成するコード)を書き換えて、誤表示・悪質サイトへの誘導リンクの設置・サイトの乗っ取りなどを行います。
悪質サイトへの誘導は、詐欺サイトへの誘導が多く、詐欺被害による財産的被害に遭う人が出ます。
また、Webサイトの外観が損なわれる・利用できなくなるなどの被害がサイトの設置者に生じます。
サイトへの侵入やマルウェアを検知・遮断する装置またはソフトウェアなど、技術的な措置で予防・あるいは被害が出ても最小限に抑えるなどの対策を行います。
セキュリティ対策の具体的施策
| 被害内容 | 対策 | 優先順位 | |
|---|---|---|---|
| 機密情報の漏洩 |
|
1 | すべての業種・業態でまずは完全に対策しておくべき最優先事項。外部からの侵入をブロックするための基礎。 |
| ウィルス感染 |
|
2 | 最も1件当たりの被害額が大きくなるので最優先。 |
| クレジットカード不正利用 |
|
3 | クレジットカード番号を扱うECサイトなどの事業では被害額が大きいので最優先。ウィルス対策と並行して行うと、技術的に効果を上げやすい。 |
| ウィルス感染 |
|
2 | 最も1件当たりの被害額が大きくなるので最優先。 |
| ホームページ改ざん |
|
4 | ホームページは外敵の標的になるので、ウィルス対策の次に重要。 |
| 情報システムの停止 |
|
5 | 対策をしておかないと、業務が停止する恐れがあるので、重要。 |
| 個人情報の流出 |
|
6 | 法規制が強まっている点に注意し、内部対策を強化。 |
| 大規模なデータ破壊 |
|
7 | 他の施策が完了していると、データ破壊は予防しやすい。データの避難先・バックアップの確認などをして十全にしておくこと。 |
悪意ある者が日々攻撃を繰り出している中、企業は情報セキュリティ対策として、何を具体的に行い、どのような手順でセキュリティ強化策を取っていくのがよいのでしょう。ここでは被害を7種類に分け、被害に対応する対策とその順序を優先順位に従ってご紹介しています。
優先順位の決め方
一件当たりの情報セキュリティインシデントによる被害を考えると、外部からの攻撃による被害額は非常に大きく、インシデントの対応が良くないと企業の信用・評判を大きく下げてしまいます。
そこで、施策の優先順位は影響度の大きい外部からの攻撃ないし
- 予防
- 内部の管理策の強化
- データ保護
の順とするとよいでしょう。具体的には次の順になります。
機密情報の漏洩は1位
アクセスコントロールを十分に行うことは、外部からの侵入予防の基礎となります。二段階認証などの認証方式を強化し、アクセスコントロールが2-3段階にわたってなされているか確認します。
ウィルス感染は2位
ウィルス感染対策ができると、1件当たりのインシデントの被害額を抑えられます。
ウィルスの侵入口になる、ネットワークに対する侵入経路を把握し、それぞれに侵入予防策をとり、ウィルス除去の方法についても技術的な方策を取ることが必要です。
クレジットカード不正利用は3位
外部からの攻撃者のターゲットになりやすい情報であり、顧客のカード情報を取り扱う会社においては、ウィルス対策と同じくらいの優先順位と考えてよいでしょう。
ウィルス対策に加えて、暗号化通信の導入・サーバの分離・アクセスする人員の認証の強化・データのマスキングなどの方策で補強します。
ホームページ改ざんは4位
ホームページが外部からの攻撃の標的になっていることから、攻撃の予防と、検知のための装置を置くべきです。ウィルス感染対策で多くはカバーできます。
さらに、Webサイトの攻撃検知・遮断に役立つWAF=Web Application Firewallの利用をさらに検討しましょう。
情報システムの停止は5位
情報システムの停止は業務が停止することを意味します。情報システムが停止した際には、バックアップサーバ・バックアップサイトを利用して、システムの完全停止を防ぎましょう。
停止しない・データのバックアップも常時行うクラウドサーバ・クラウドサービスを利用し、コストを抑えた対策をすることもできます。
個人情報の流出は6位
個人情報保護法・GDPRなどの法制度があり、これらの分野のコンプライアンスは、情報セキュリティにより実現します。
アクセス制限と、外部からの侵入予防で十分技術的な方策をとり、必要に応じてサーバの分離も検討しましょう。内部の職員が手を染めることも残念ながら非常に多いのがこの個人情報の流出ですので、情報の持ち出し記録・システム上はログをとり、万が一の場合も、トレースできるようにしておきましょう。
大規模なデータ破壊は7位
クラウドサービスの普及で、データの完全破壊の脅威は少なくなりつつありますが、外敵の侵入により、データ破壊の規模は大きくなりえます。
特に重要データのバックアップは二重にとるなど、情報資産の価値に応じたデータ破壊への対応を検討しましょう。
情報セキュリティ対策をする際のポイント/注意点
情報セキュリティ対策は、何重にも行う必要があり、1個の対策で、全てをカバーするような性質のものではありません。また、100%安全を目指すことも現実的ではありません。そこで、以下のようなポイントに注意しておきましょう。
全体的な視点で対策を行う
一つの対策にだけ注力しても情報セキュリティ対策は強化できません。
対策を優先順位を決めつつも、全体に対してとりながら、徐々にモデルチェンジを図っていくのが安定した情報セキュリティ対策を行う秘訣です。
また、攻撃者も手口を年々変えてきますので、最新の情勢・情報を大所高所から把握しておくことも重要です。
経営層や社員まで全社的にセキュリティ意識を高める
情報セキュリティインシデントは、経営基盤を揺るがすような脅威になります。情報セキュリティ対策は経営問題です。
そのような心構えでトップが動けば社員も動きます。
まず経営陣からセキュリティ意識を高めましょう。
外部パートナーを選びは慎重に行う
IT部門・情報セキュリティ部門が充実していれば情報セキュリティ体制は内製で整備することもできますが、大抵はそうはいかないのが現実で、よい外部パートナーを求めるのが現実です。
外部の情報セキュリティ業者は、会社の情報セキュリティ体制に関する機密情報を多く知ることになりますし、また、技術力も確かなものが求められます。
重要な役割であることを考えて、慎重に選定・管理しながら起用するようにしましょう。
社内規定の遵守・損害賠償に関する定めを書面で確約させるなどの対策も必要です。
まとめ
企業に大きな被害をもたらす情報セキュリティインシデントは、経営上の重要課題としてとらえられます。トップ・役員・管理職・職員が一致協力して予防する必要があります。
とりわけ重要なのは、情報セキュリティインシデントを予防する対策です。攻撃者も進化するので、PDCAサイクルの中で、情報セキュリティ体制はつねに改善する必要があります。一方で、情報セキュリティ体制をなんでも万全に進められるというのは、予算の点でも、人員の点でも現実的ではないので、優先順位をつけて対策するとよいでしょう。
本項にまとめた優先順位を参考に、優先的に対策すべきところはすぐにアクションを起こし、改善するようにしましょう。
