1. コラム
  2. コラム
  3. 企業向けのセキュリティ対策を解説!サイバー犯罪を防止する事例を紹介

企業向けのセキュリティ対策を解説!サイバー犯罪を防止する事例を紹介

さまざまな業務をIT化できるようになった現在、企業のセキュリティ対策は重要な課題です。とはいえ、どのような対策を講じればよいのか、具体的には分からないという方もいるのではないでしょうか。

そこでこの記事では、セキュリティ対策として企業が行うべきポイントと、実際に起きているサイバー攻撃についてご紹介します。システムを管理する上で必要な知識を実例とともに理解すれば、最適なセキュリティ対策を実施できます。安全なセキュリティシステムの条件も分かるようになるでしょう。

企業が取り組むべきセキュリティ対策を解説!

コンピューターやネットワーク技術の進歩により、一度に大量の情報をやり取りできる時代になりました。ビジネスはよりスピーディーに、より大規模に行えるようなった反面、情報システムを悪用した犯罪が起きています。企業の資産と評判を守るためには、セキュリティ対策が欠かせません。基本となる対策の仕方を見ていきましょう。

企業内PCのセキュリティ対策を徹底

ほとんどの企業において、ビジネス上の機密データ・情報共有・通信などはすべてPCを介して行われています。そのため、企業内PCには徹底したセキュリティ対策を施さなければなりません。

まずは、ウイルス対策ソフトを導入することです。家庭用ではなく企業用に開発されているものを使用します。少々高くついても、セキュリティレベルが高く信頼できるソフトを選びましょう。

また、OSやソフトウエアの定期的なアップデートも欠かせません。プログラムの開発者は常に脆弱性をチェックし、修正や更新プログラムを配信するものです。うっかり古いバージョンで使用していると、脆弱性を狙った犯罪者からの攻撃を受ける恐れがあります。

第三者にアカウントを乗っ取られる、「なりすまし」対策も必要です。予測されにくいパスワードを設定したり、定期的に変更したりしてセキュリティレベルを保ちましょう。

社用スマホのセキュリティ対策も忘れずに

会社から支給されている、スマホのセキュリティ対策も怠らないようにしましょう。業務で使用する以上はセキュリティソフトの導入が必要です。できれば有料のソフトをインストールし、アップデートは定期的に行います。

盗難や盗み見による情報漏洩を防止するには、暗証番号を入力しないと操作できないようにする「画面ロック機能」が有効です。推測されにくい暗証番号を設定し、定期的に変更しましょう。

「不要なアプリを使用しない」「公式サイト以外からアプリをインストールしない」といったルール作りも不可欠です。他に、紛失や水没などによるデータの消失を防止するため、バックアップはこまめに行うことをおすすめします。

うっかりミスへのセキュリティ対策

PCやシステムの管理だけでなく、社員教育も重要なセキュリティ対策の一部です。情報漏洩のほとんどは紛失や誤送信、情報の持ち出しなど内部の人間が引き起こしています。情報管理の手順を決めておけば、うっかりミスの防止に役立つでしょう。

紛失しやすいのは、USBメモリやスマホです。社外に出る際にはスマホにロックをかけることや、デバイスの持ち出しに際しては許可制にすること、情報は必ずコピーを作成することなどを規則にしておきましょう。廃棄する場合は専門業者に頼むか、消去ソフトを利用します。

誤送信の防止は、送信ボタンを押す前に確認ポイントをリスト化しておくとよいでしょう。「宛名の確認」「BCC・CCの宛先」など、細かく指示しておけばチェックしやすいものです。重要な情報を送る場合は、パスワードで保護された添付ファイルで送信します。こうしておけば、仮に宛先を間違っていたとしても被害を最小限に食い止められるでしょう。

社員の私用PC&スマホのセキュリティ対策

社員が私用のPCやスマホを使用する場合には、さらにセキュリティを強化しなければなりません。セキュリティソフトのインストールやパスワードの管理に加え、私用デバイスを紛失した場合を想定し、データの流出を防ぐ工夫も必要です。

そのひとつに、仮想デスクトップを使用するという方法があります。「仮想」なので情報の処理や加工はすべてサーバー上で行われ、私用デバイスには情報が残りません。万が一私用デバイスが盗まれても、その中に企業データはないため安心です。

また「リモートワイプ」という、遠隔から私用デバイスに保存されているデータを削除したり、デバイスそのものをロックしたりする機能もあります。iOSとAndroidともに使用できる標準機能なので、活用するとよいでしょう。

企業のセキュリティ対策のスキを狙うトラブル事例

企業の情報システムを悪用した犯罪は後を絶ちません。ここでご紹介するいくつかのトラブル事例を見れば、セキュリティ対策の重要性に気付いていただけるでしょう。犯罪のパターンが分かれば、セキュリティ対策の落とし穴も見えてきます。大切なのは、スキのない対策です。セキュリティ対策を後回しにすると、大損害を被るかもれません。

標的型攻撃による情報流出事例

よく見られる事例は、標的とした企業を計画的・組織的に攻撃していく方法です。大企業や公官庁が狙われやすいですが、最近では中小企業に対する標的型攻撃も増えているようです。

標的とした企業の社内ネットワークにウイルスを感染させて情報を盗もうと、攻撃者はあらゆる手段を使います。ウイルス付きメール送付やウェブサイトの改ざんなど、手口は巧妙です。よく入口になるのが、IT意識の低い社員です。不用意に開けてしまった添付ファイルや偽装サイトからウイルスに感染し、社内ネットワークへの侵入を許してしまいます。

市販のセキュリティソフトでは検知されないことも多いため、信頼できるセキュリティソフトの利用や管理、データの暗号化やログのチェックなどは不可欠です。また、怪しいメールやサイトの見分け方など、社員教育の徹底も標的型攻撃を回避する手段となります。

ランサムウェアの感染事例

「ランサム」とは「身代金」を意味する言葉です。「ランサムウェア」という不正プログラムを使った犯罪も増えています。

一般的なのは、スパムメールから不正サイトに誘導しランサムウェアに感染させるという手口です。ランサムウェアに感染したPCではさまざまな機能が停止し、情報も勝手に暗号化されてしまいます。元に戻すためには「身代金」を払わなければならないというシナリオです。

ランサムウェアは、企業の情報を盗むためではなく、不特定多数をターゲットにした金銭目的の犯罪に利用されます。しかし、例え情報漏洩がなくても、感染によって重要な情報が暗号化されてしまっては仕事になりません。しかも、ランサムウェアには自動感染機能があり、社内ネットワークを介して他のコンピューターへも感染が拡大していきます。

企業が行うセキュリティ対策の現状

インターネットを使った犯罪から企業を守るためには、高いレベルでのセキュリティ対策を多角的に実施しなければなりません。必要なのは、安全なシステムの導入と運用ルールの策定です。しかし、現状はそう簡単にはいきません。

安全なシステムの導入にはお金がかかります。セキュリティレベルが上がれば価格も上がってしまうものです。直接お金を生み出さないセキュリティへの投資に、二の足を踏んでしまう企業も少なくありません。

また、セキュリティ対策が甘くなってしまう要因には、「システムを管理する人材がいない」「運用ルールを作っても業務優先で実行力がない」「社員教育をする余裕がない」といったものもあります。問題が起きてから、局所的な対策で済ませてしまうというのが現状のようです。

こんな企業はセキュリティ対策が必要!

ウイルス感染や情報漏洩など、企業に損害を与える攻撃は現に起きています。その多くはその場しのぎのセキュリティ対策では対応できない攻撃で、非常に厄介です。中には、その場しのぎの対策すら追いついていないケースも見られます。具体的にはどのようなケースの企業なのか、その特徴を見ていきましょう。

セキュリティ担当者が不在の企業

セキュリティ対策を見直す緊急度が高いのは、セキュリティ担当者がいない企業です。人手不足などの事情はあるかもしれませんが、とても危険な状態だと言えます。セキュリティソフトやネットワーク環境を健全な状態にしておくためには、担当者がしっかり管理し、常にチェックしている必要があるからです。

セキュリティ担当者の仕事は多岐に渡ります。各デバイスやソフトウエアのアップデート、社外からアクセスする際のIDやパスワードの管理、社内で扱う情報の把握とそれに合わせたセキュリティ対策の実行など……誰かが片手間で行うのは難しいでしょう。

社内ルールの策定や社員教育という大切な仕事もあります。そうした対策を担う担当者がいない企業は、情報漏洩やサイバー攻撃への防御力が低いと言わざるを得ません。

セキュリティ対策費用をかけられない企業

セキュリティ対策に費用をかけていない企業もあります。しかし、情報は企業の資産です。セキュリティ対策を怠るということは、その資産の価値を認識していないとも言い換えられます。

情報という資産が盗まれてしまった企業は、信頼と評判を失うことになるでしょう。イメージダウンによる売り上げの減少、信頼を失ったための取引停止、場合によっては訴訟や損害賠償に発展してしまうかもしれません。情報にはそれだけの価値があるということです。

情報という資産を守るためには、たとえお金がかかったとしても、しっかりとしたセキュリティ対策を施す必要があるでしょう。

大量の個人情報を取り扱う企業

個人情報を扱う企業は、かなり高い意識を持ってセキュリティ対策を実施しなければなりません。個人情報は「売れる」商品です。多くの犯罪者は、その商品を何としても手に入れたいと思っています。個人情報を取り扱う企業がサイバー攻撃のターゲットになりやすいのは、そういった理由からです。

企業による個人情報の漏洩はたびたびニュースになり、「大きな事件」として報道されています。その経済的ダメージは計り知れません。規模の大小にかかわらず、個人情報を取り扱っている企業は犯罪者に狙われているという意識が必要です。

個人情報を狙った攻撃の手口は巧妙で幅広いため、システム・運用両面でのセキュリティ対策が欠かせません。コストや労力がかかることも覚悟しておかなければならないでしょう。

企業のセキュリティ対策には「閉域接続」がおすすめ

企業が行えるセキュリティ対策のひとつが、社内ネットワークへの安全なアクセスです。リモートワークや外回りの営業など、社外から社内ネットワークにアクセスするシーンは増えています。そこでぜひご利用いただきたいのが、イッツコムの「モバイル閉域接続」です。

「モバイル閉域接続」はインターネット回線を使わないため、社内ネットワークにアクセスする場合でもインターネット上の危険にさらされることがありません。また、社外でインターネットを利用する場合にも社内LANを経由するため、高いセキュリティを確保できます。

まとめ

セキュリティ対策の向上や、改善に頭を抱えている担当者の方は多いでしょう。年々、巧妙化するサーバー攻撃などから企業を守るためには、堅牢なセキュリティ対策が必要です。安全なシステムの導入や容易な運用・管理を求めるなら、イッツコムの「モバイル閉域接続」が適しています。

専用SIMを使った経路の判別とインターネットとは分離した回線が、社内ネットワークへの安全なアクセスを可能にします。接続は簡単で、利用者IDやパスワードの管理も不要です。セキュリティ対策をお考えなら、ぜひイッツコムにご相談ください。