1. コラム
  2. コラム
  3. 企業が取り組むべきセキュリティ対策とは?トラブル事例や対策を紹介

企業が取り組むべきセキュリティ対策とは?トラブル事例や対策を紹介

VPN

機密情報や個人情報を取り扱う企業にとって、セキュリティ対策は非常に重要です。ウイルス対策ソフトの導入やファイアウォールの設置などが有用ですが、どれから着手すればよいのか分からない方もいるかもしれません。

セキュリティ対策を検討するにあたって必要となる考えや、実際にあったトラブル事例を知れば、何から・どのように着手すべきかの道筋が見えてくるのではないでしょうか。

本記事では、セキュリティ対策の種類や具体的な解決策を詳しく解説します。

セキュリティ対策とは何か

セキュリティ対策を考えるために、まずは3つの重要な要素を頭に入れましょう。これらを押さえることで、セキュリティ対策で起こりがちな「漏れ」を軽減できます。

セキュリティ対策で重要な3要素

セキュリティ対策を検討する際は、以下の3つの要素を重視します。

・機密性
・完全性
・可用性

機密性とは、認められた人だけが情報にアクセスできることを指します。IDやパスワードで情報を保護するなどが一般的です。

完全性は情報が正確であること、改ざんされないことです。改ざんは情報の書き換えだけでなく、損失も含みます。

最後の可用性は、必要なときに該当する情報にアクセスできることを意味します。例えば機器が故障した際、システムに継続性がなかったり、復旧が遅かったりするのはセキュリティ対策として不十分です。

「情報セキュリティ」と「サイバーセキュリティ」は別物

セキュリティには、情報セキュリティとサイバーセキュリティの2種類があります。

情報セキュリティは正しいアクセス権の付与など、情報の取り扱いに注意する対策です。一方のサイバーセキュリティは、悪意を持った第三者のサイバー攻撃を防ぐことに焦点を当てます。

概念として、情報セキュリティはサイバーセキュリティを含みますが、どちらも意識して対策することが大切です。

セキュリティ対策の種類

セキュリティ対策は、システムを導入することで対応可能な場合もあれば、教育や運用の工夫で回避できる場合もあります。そのためにも、具体的なリスクの種類を知っておきましょう。ここでは、機密情報や個人情報を狙う4つのリスクとその対策例を紹介します。

ウイルス対策

ウイルスの主な感染経路は、信頼できないサイトの閲覧や悪意のあるメールの開封です。メールはプレビュー状態で閲覧しても感染することがあり、非常に厄介です。

ウイルスに感染すると、PCの動作不良や情報漏洩などを引き起こします。PCにウイルス対策ソフトをインストールする他、OSを常に最新化することで対策するとよいでしょう。

不正アクセス対策

許可されていない第三者が、重要な社内ネットワークなどに不正にアクセスする被害が起きています。情報漏洩を引き起こしたり、サイバー攻撃の踏み台にされたりするため、企業にとっては大きなマイナスです。度合いによっては取引先や世間からの信頼を失い、ビジネスの継続が難しくなるでしょう。

ファイアウォールの設置や不正アクセス防止・検知システムの導入など、早急な対策が必要です。

情報漏洩対策

情報漏洩は、外部からの不正アクセスと内部からの流出の2パターンがあります。不正アクセスへの対策は前述の通りで、内部からの流出は適切なユーザー権限の設定や顧客データの管理が効果的です。例えば顧客データ情報を暗号化した上で、ログ管理システムを導入します。

また、従業員のセキュリティリテラシーを高める社内教育も大切です。情報漏洩による信頼の失墜や損害賠償金の発生につながらないよう、従業員1人1人の意識を高めましょう。

機器障害対策

物理的な機器の故障や障害による情報損失にも注意が必要です。何が起きても業務を継続できるよう、日頃からバックアップを取得したり、無停電電源装置を利用したりしましょう。

重要なデータの損失は情報漏洩と同様、社会的信頼を失う可能性が大です。場合によっては顧客・協力会社との取引が停止することもあるでしょう。

企業が取り組むべき具体的なセキュリティ対策

企業が取り組むべき代表的なセキュリティ対策を紹介します。働き方の多様化によりテレワークも増えているため、会社・従業員が一丸となって取り組みましょう。

企業内PCのセキュリティ対策を徹底

多くの企業がビジネス上の機密データ・情報共有・通信などをPCを介して行っています。そのため、企業内PCには徹底したセキュリティ対策を施さなければなりません。

まずはウイルス対策ソフトの導入が大切ですが、ウイルス対策ソフトは大きく、「EPP(Endpoint Protection Platform)」と「EDR(Endpoint Detection and Response)」の2種類があります。

EPPはウイルスの侵入防止を目的としたソフトで、一般的にいうウイルス対策ソフトです。一方のEDRは攻撃の検知と初期対応を行い、被害を最小限に抑えることを目指しています。ウイルス対策の精度を上げるなら、両方を取り入れるのが効果的です。

また、OSやソフトウエアの定期的なアップデートも欠かせません。プログラムの開発者は常に脆弱性をチェックし、修正や更新プログラムを配信するものです。うっかり古いバージョンで使用していると、脆弱性を狙った犯罪者からの攻撃を受ける恐れがあります。ただし、アップデートにより使用中の業務アプリに影響が出ては困ります。新OSに対応しているか、親和性は良いかなどをリサーチしてから実施することをおすすめします。

第三者にアカウントを乗っ取られる、「なりすまし」対策も必要です。予測されにくいパスワードを設定したり、定期的に変更したりしてセキュリティレベルを保ちましょう。

社用スマホのセキュリティ対策も忘れずに

会社から支給されている、スマホのセキュリティ対策も怠らないようにしましょう。業務で使用する以上はセキュリティソフトの導入が必要です。できれば有料のソフトをインストールし、アップデートは定期的に行います。

盗難や盗み見による情報漏洩を防止するには、暗証番号を入力しないと操作できないようにする「画面ロック機能」が有効です。推測されにくい暗証番号を設定し、定期的に変更しましょう。

「不要なアプリを使用しない」「公式サイト以外からアプリをインストールしない」といったルール作りも不可欠です。他に、紛失や水没などによるデータの消失を防止するため、バックアップはこまめに行うことをおすすめします。

うっかりミスへのセキュリティ対策

PCやシステムの管理だけでなく、従業員教育も重要なセキュリティ対策の一部です。情報漏洩のほとんどは紛失や誤送信、情報の持ち出しなど内部の人間が引き起こしています。情報管理の手順を決めておけば、うっかりミスの防止に役立つでしょう。

紛失しやすいのは、USBメモリやスマホです。社外に出る際にはスマホにロックをかけることや、デバイスの持ち出しに際しては許可制にすること、情報は必ずコピーを作成することなどを規則にしておきましょう。廃棄する場合は専門業者に頼むか、消去ソフトを利用します。

誤送信の防止は、送信ボタンを押す前に確認ポイントをリスト化しておくとよいでしょう。「宛名の確認」「BCC・CCの宛先」など、細かく指示しておけばチェックしやすいものです。重要な情報を送る場合は、パスワードで保護された添付ファイルで送信します。こうしておけば、仮に宛先を間違っていたとしても被害を最小限に食い止められるでしょう。

ファイアウォール導入などの不正アクセス対策

ファイアウォールは一般的にインターネットの窓口に設置し、許可された通信のみ送受信する環境を構築します。またIDS(不正アクセス検知システム)やIPS(不正アクセス防御システム)を導入すれば、不正アクセスの素早い検知と通信遮断が可能です。

これらは外部からの不正アクセスには効果がありますが、内部からの不正アクセスには別の対策が必要です。適切なアクセス権限の設定の他、資産に対するアクセスログの管理などを徹底しましょう。

【関連記事:不正アクセス禁止法とは?禁止行為・罰則と義務や具体的な対策を解説

従業員の私用PC&スマホのセキュリティ対策

従業員が私用のPCやスマホを使用する場合には、さらにセキュリティを強化しなければなりません。セキュリティソフトのインストールやパスワードの管理に加え、私用デバイスを紛失した場合を想定し、データの流出を防ぐ工夫も必要です。

その1つに、仮想デスクトップを使用するという方法があります。「仮想」なので情報の処理や加工はすべてサーバー上で行われ、私用デバイスには情報が残りません。万が一私用デバイスが盗まれても、その中に企業データはないため安心です。

また「リモートワイプ」という、遠隔から私用デバイスに保存されているデータを削除したり、デバイスそのものをロックしたりする機能もあります。iOSとAndroidともに使用できる標準機能なので、活用するとよいでしょう。

テレワークのセキュリティ対策

テレワークで社外から社内のネットワークに接続する場合はセキュリティを考慮しなければなりません。よく使われるのは、インターネットVPNまたはIP-VPNという接続方法です。

インターネットVPNはインターネット回線を利用して、仮想的な専用ネットワークを構築する技術です。通信はカプセル化や暗号化などの技術で保護できる一方、誰もがアクセスできるインターネット回線を利用しているため、安全とはいいきれません。

その点、IP-VPNは通信事業者の閉域ネットワークを利用するため、インターネットVPNよりも安全性は高いといえます。

【関連記事:VPNとは?テレワークに必要な理由や課題を知ってセキュリティを守ろう!

災害や故障による機器障害の対策

機器障害によるデータ損失を回避するために、緊急事態における事業継続計画「BCP対策」をしておきましょう。

例えばデータの蓄積先は社内ではなく、クラウドストレージサービスを利用することです。多くのクラウドベンダーは冗長化保存や停電対策を徹底しているため、災害時や機器の故障時の被害を最小限に抑えられるでしょう。

【関連記事:BCP対策とは?必要性やメリット、運用のポイントを徹底解説

お問い合わせはこちら

企業のセキュリティ対策のスキを狙うトラブル事例

企業の情報システムを悪用した犯罪は後を絶ちません。ここで紹介するいくつかのトラブル事例を見れば、セキュリティ対策の重要性に気付くでしょう。犯罪のパターンが分かれば、セキュリティ対策の落とし穴も見えてきます。大切なのは、スキのない対策です。セキュリティ対策を後回しにすると、大損害を被るかもれません。

標的型攻撃による情報流出事例

よく見られる事例は、標的とした企業を計画的・組織的に攻撃していく方法です。大企業や公官庁が狙われやすいですが、最近では中小企業に対する標的型攻撃も増えているようです。

標的とした企業の社内ネットワークにウイルスを感染させて情報を盗もうと、攻撃者はあらゆる手段を使います。ウイルス付きメール送付やウェブサイトの改ざんなど、手口は巧妙です。よく入口になるのが、セキュリティリテラシーの低い従業員です。不用意に開けてしまった添付ファイルや偽装サイトからウイルスに感染し、社内ネットワークへの侵入を許してしまいます。

市販のセキュリティソフトでは検知されないことも多いため、信頼できるセキュリティソフトの利用や管理、データの暗号化やログのチェックなどは不可欠です。また、怪しいメールやサイトの見分け方など、従業員教育の徹底も標的型攻撃を回避する手段となります。

ランサムウェアの感染事例

「ランサム」とは「身代金」を意味する言葉です。「ランサムウェア」という不正プログラムを使った犯罪も増えています。

一般的なのは、スパムメールから不正サイトに誘導しランサムウェアに感染させるという手口です。ランサムウェアに感染したPCではさまざまな機能が停止し、情報も勝手に暗号化されてしまいます。元に戻すためには「身代金」を払わなければならないというシナリオです。

ランサムウェアは、企業の情報を盗むためではなく、不特定多数をターゲットにした金銭目的の犯罪に利用されます。しかし、たとえ情報漏洩がなくても、感染によって重要な情報が暗号化されてしまっては仕事になりません。しかも、ランサムウェアには自動感染機能があり、社内ネットワークを介して他のコンピューターへも感染が拡大していきます。

【関連記事:ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説

企業が行うセキュリティ対策の現状

インターネットを使った犯罪から企業を守るためには、高いレベルでのセキュリティ対策を多角的に実施しなければなりません。必要なのは、安全なシステムの導入と運用ルールの策定です。しかし、現状はそう簡単にはいきません。

安全なシステムの導入にはお金がかかります。セキュリティレベルが上がれば価格も上がるものです。直接お金を生み出さないセキュリティへの投資に、二の足を踏む企業も少なくありません。

また、セキュリティ対策が甘くなる要因には、「システムを管理する人材がいない」「運用ルールを作っても業務優先で実行力がない」「従業員教育をする余裕がない」といったものもあります。問題が起きてから、局所的な対策で済ませるというのが現状のようです。

こんな企業はセキュリティ対策が必要!

ウイルス感染や情報漏洩など、企業に損害を与える攻撃は現に起きています。その多くはその場しのぎのセキュリティ対策では対応できない攻撃で、非常に厄介です。中には、その場しのぎの対策すら追いついていないケースも見られます。具体的にはどのようなケースの企業なのか、その特徴を見ていきましょう。

セキュリティ担当者が不在の企業

セキュリティ対策を見直す緊急度が高いのは、セキュリティ担当者がいない企業です。人手不足などの事情はあるかもしれませんが、とても危険な状態だといえます。セキュリティソフトやネットワーク環境を健全な状態にしておくためには、担当者がしっかり管理し、常にチェックしている必要があるからです。

セキュリティ担当者の仕事は多岐に渡ります。各デバイスやソフトウエアのアップデート、社外からアクセスする際のIDやパスワードの管理、社内で扱う情報の把握とそれに合わせたセキュリティ対策の実行など……誰かが片手間で行うのは難しいでしょう。

社内ルールの策定や従業員教育という大切な仕事もあります。そうした対策を担う担当者がいない企業は、情報漏洩やサイバー攻撃への防御力が低いといわざるを得ません。

セキュリティ対策費用をかけられない企業

セキュリティ対策に費用をかけていない企業もあります。しかし、情報は企業の資産です。セキュリティ対策を怠るということは、その資産の価値を認識していないとも言い換えられます。

情報という資産が盗まれてしまった企業は、信頼と評判を失うことになるでしょう。イメージダウンによる売り上げの減少、信頼を失ったための取引停止、場合によっては訴訟や損害賠償に発展するかもしれません。情報にはそれだけの価値があるということです。

情報という資産を守るためには、たとえお金がかかったとしても、しっかりとしたセキュリティ対策を施す必要があるでしょう。

大量の個人情報を取り扱う企業

個人情報を扱う企業は、かなり高い意識を持ってセキュリティ対策を実施しなければなりません。個人情報は「売れる」商品です。多くの犯罪者は、その商品を何としても手に入れたいと思っています。個人情報を取り扱う企業がサイバー攻撃のターゲットになりやすいのは、そういった理由からです。

企業による個人情報の漏洩はたびたびニュースになり、「大きな事件」として報道されています。その経済的ダメージは計り知れません。規模の大小にかかわらず、個人情報を取り扱っている企業は犯罪者に狙われているという意識が必要です。

個人情報を狙った攻撃の手口は巧妙で幅広いため、システム・運用両面でのセキュリティ対策が欠かせません。コストや労力がかかることも覚悟しておかなければならないでしょう。

イッツコムなら、複数のセキュリティ対策が可能

セキュリティ対策には、イッツコムのサービスが効果的です。「モバイル閉域接続」サービスは、VPN接続と同じように外部から侵入されにくいネットワーク接続を実現します。「Box」はBCP対策、ランサムウェア対策としておすすめです。それぞれの特徴やメリットを紹介します。

インターネットを介さない「モバイル閉域接続」

イッツコムのモバイル閉域接続は、インターネットではなくモバイルネットワークを利用した閉域接続サービスです。NTTドコモの通信エリアから、インターネットと分離されたイッツコムのネットワークを使用するため、通信がインターネットにさらされることはありません。

また、専用SIMでネットワーク経路を判断するため、PCなど端末へのVPN接続アプリのインストールは不要です。

BCP対策やランサムウェア対策に効果的な「Box」

BCP対策やランサムウェア対策として有効なクラウドストレージが、イッツコムが提供するBoxです。各国の政府機関も採用する信頼と実績があり、7段階のアクセス制限や70種類以上の監査ログなど充実したセキュリティ機能に対応しています。

また、ランサムウェアに感染すると同じネットワーク帯にある機器も感染する恐れがありますが、クラウドストレージであれば社内ネットワークとは分離されています。加えて、Boxなら1,500以上の業務アプリと連携でき、本社が何らかの機能停止に陥っても、リモートワーク環境で業務の継続が可能です。

お問い合わせはこちら

まとめ

企業のセキュリティ対策は、情報セキュリティとサイバーセキュリティの観点から検討するとよいでしょう。まずはウイルス対策や不正アクセス対策など、取り組みやすいものから着手してはいかがでしょうか。テレワークを実施している企業は、社内ネットワークへ安全に接続する対策も必要です。

安全なシステムの導入や容易な運用・管理を求めるなら、イッツコムが提供する「モバイル閉域接続」や「Box」がおすすめです。年々、巧妙化するサイバー攻撃から身を守るためにも、ぜひイッツコムにご相談ください。

お問い合わせはこちら

おすすめ記事