1. コラム
  2. コラム
  3. 情報セキュリティ対策は重要!主な脅威と取り組むべき対策は?

情報セキュリティ対策は重要!主な脅威と取り組むべき対策は?

情報セキュリティ対策が十分に講じられていない場合、さまざまな脅威による被害を受ける可能性があります。セキュリティシステムは複雑なものであるため「実際に自社の対策が十分なものなのか分からない」と不安に感じている企業担当の方もいるのではないでしょうか。

そこでこの記事では、セキュリティ対策の脅威に関する基本的な概念と被害事例を詳しく解説します。対策を講じても不正アクセスにつながるリスクは常にあります。少しでも被害を低減できるよう注意点・防止策もおさえておくことが大切です。被害事例や注意点を知ることで、情報セキュリティ対策の重要さを理解できるでしょう。


「情報セキュリティは重要だ」と耳にしても、漠然としていてイメージしにくいと感じる方もいるのではないでしょうか。企業のセキュリティリスクになり得るものは多種多様ですが、特に意識しておきたい脅威は以下の3つです。

・情報漏えい・盗難
・不正アクセス
・サイバー攻撃

それぞれどのようなインシデントが考えられるのか紹介しますので、参考にした上で適切な対策を講じましょう。

情報漏えい・盗難

情報漏えいは漏れてはいけない情報が流出することを指し、故意・過失を問わずさまざまな原因で発生するものです。機密情報が入ったPCをどこかに置き忘れたりメールの送信先を間違えたりするなど、社員の過失が原因のケースも多々あります。

盗難とは置き引きや車上荒らし、事務所荒らしなどの犯罪行為によって情報を盗まれることです。ファイルを適切に管理していなかったなど、情報管理の不備が盗難につながるケースもあるため、総合的な対策が求められます。

不正アクセス

不正アクセスとは、正規のアクセス権を持たないユーザーがシステムにログインして内部にアクセスすることです。盗んだログインID・パスワードを使用するケースや、セキュリティホールを突いた攻撃で内部に侵入することが含まれます。

社内システムが不正アクセスを受けると、内部に保存されていた機密情報や個人情報を盗み取られることにもつながりかねません。営業戦略などの重要な機密情報が盗まれてしまえば、経営に大きなダメージを与えることもあります。

サイバー攻撃

サイバー攻撃とは、PCやスマホ・タブレット・サーバー・ネットワーク機器などのデバイスに対して攻撃を加える行為です。具体的な手口にはDDoS攻撃や標的型攻撃、サプライチェーン攻撃があります。

標的型攻撃では気づいたときにはすでに被害を受けているケースもあるため、あらかじめセキュリティレベルを高めておくことが大切です。サプライチェーン攻撃の対象になると、自社がきちんと対策していても取引先を通じて攻撃を受けます。取引先と一丸となって対策する必要があるでしょう。

情報セキュリティ上の脅威が発生する要因


情報セキュリティに対する脅威は、主に3つに分けられます。意図的脅威・偶発的脅威・環境的脅威です。言葉だけでは分かりにくいかもしれませんが、それぞれに異なる侵入経路や警戒ポイントがあります。対策を講じる前にこれらの特徴を知ることが重要です。ここからは、情報セキュリティにおける3種類の脅威について解説します。

意図的脅威

意図的脅威は、人為的な要因によって行われる脅威です。「意図的」という言葉の通り、何者かが故意にセキュリティを侵害します。管理下にある情報を盗んだり、デバイスをウイルスに感染させて操作できない状態にしたりといった目的をもつケースがほとんどです。

「個人情報を売ってお金を得る」「クレジットカード情報を引き出して不正利用する」などの手法も意図的脅威にあたります。意図的脅威を防ぐためには、外部からの人為的な攻撃に対する防止策を練らなければなりません。

情報セキュリティの中でも代表的な脅威である点を理解しておきましょう。情報の内容にかかわらず、遭遇する可能性が高い脅威ともいえます。万が一侵害された事実が発覚した場合は、早急に経路を把握して遮断・利用停止などの対応が必要です。

偶発的脅威

セキュリティ侵害を目的に攻撃をする意図的脅威に対し、操作や設定の間違いから情報システムに悪影響をおよぼすのが偶発的脅威です。社員のPCが知らぬ間にウイルス感染を引き起こしたり、設定内容を変更して情報が漏れたりといったケースが偶発的脅威にあたります。

人為的な操作ミスのほか、情報セキュリティに関係する機器の故障によるトラブルも偶発的脅威のひとつです。このような事態を防ぐためにも社員にリスクを把握してもらう機会を設け、機器の定期検査などで対策を講じます。

環境的脅威

環境的脅威は、人の意思に関係なく引き起こされる脅威です。停電・火事といったトラブルや地震のような自然災害が要因となります。人為的脅威に比べて発生する可能性が低いといえるでしょう。

ただし、一度脅威に侵されると被害が拡大しやすい点に注意しなければなりません。操作不能に陥ったあと普及まで時間を要する場合、環境的脅威が原因で人為的脅威に発展するリスクもあります。発生率は低いものの、万が一の事態を想定して可能な限り被害を縮小できるよう対策することが大切です。

2021年に発生した情報セキュリティの10大脅威

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2021」によると、2021年に組織に対して大きな被害をもたらした主な脅威は以下の通りです。

順位脅威具体的な内容2020年の順位
1ランサムウェアによる被害メールの添付ファイルやリンクを通してランサムウェアに感染させる5位
2標的型攻撃による機密情報の窃取メール、Webサイトの改ざん、不正アクセスを通して攻撃する1位
3テレワーク等のニューノーマルな働き方を狙った攻撃テレワーク用のソフトウェアの脆弱性を利用して攻撃する新規ランクイン
4サプライチェーンの弱点を悪用した攻撃取引先・委託先・ソフトウェア開発元を経由して攻撃する4位
5ビジネスメール詐欺による金銭被害取引先や経営者になりすまして攻撃する3位

2020年から継続してランクインしている脅威もありますが、テレワークの拡大とともに「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たにランクインしました。

テレワークを始めたり新たなシステムを導入したりしたときは、同時にセキュリティについても見直す必要があるでしょう。

セキュリティ対策が不十分だった中小企業の被害事例


情報セキュリティ脅威による被害は、どのような企業でも遭遇する可能性があります。セキュリティ対策を講じていても、リスクがゼロにはならないと理解しなければなりません。些細なミスが原因で情報漏えいに発展することもあるでしょう。ここからは、実際に甚大な被害におよんだ中小企業の事例を5つご紹介します。

不正アクセスによるカード情報不正取得

2018年、約18万件の個人情報が流出した事例です。クレジットカード情報の被害件数は合計2,481件にのぼるといわれています。クレジットカード会社からS社に「情報を不正利用されているかもしれない」と報告があったあと調査が開始されました。

Webサイトのサーバへ不正にアクセスし、プログラムを改ざんして情報を取得した意図的脅威です。プログラム改ざんに加え、データベースへの不正アクセスによって膨大な数の個人情報が流出しました。

Webサイトに対する脅威であるため、購入履歴だけではなく問い合わせフォームの入力情報も流出した可能性が高いといわれています。情報セキュリティ対策は講じていたものの、脆弱性を悪用された事例といえるでしょう。

不正アクセスによる顧客情報の流出

意図的脅威の事例としてあげられる機会が多いのは、不正アクセスで顧客情報が流出するトラブルです。セキュリティ面の弱点を見つけて穴に入り込むようなイメージで、守られているはずの情報を狙って侵入します。

顧客数が多いほど狙われるリスクも高いと考えたほうがよいでしょう。何らかの方法でシステムに侵入できれば、個人情報・クレジットカード情報など多くのデータが手に入るためです。

情報を引き出すだけではなく、ウイルスを利用して操作不能な状態にするケースもあります。企業は顧客情報を守るためにさまざまなセキュリティ対策を講じますが、セキュリティシステムのすべてに弱点がないわけではありません。万が一の事態に備えてあらゆる経路を把握することが大切です。

洋菓子店の通販サイトに不正アクセス|顧客情報が流出

通信販売で洋菓子を売る企業が、不正アクセスによる個人情報流出を公表しました。会員登録を行った顧客のメールアドレスやパスワードといった情報が漏えいした意図的脅威の事例です。引き出した情報は海外のWebサイトで公開されていたことも判明しました。

別の事例では、同じく洋菓子の通販サイトからクレジットカード情報が流出したケースもあります。プログラムを改ざんして虚偽の決済画面を作成し、顧客が入力した情報を引き出す手法です。

いずれの事例も、セキュリティ対策の脆弱性を利用した意図的脅威といえるでしょう。流出したクレジットカードの不正利用によって、二次被害を拡大させるリスクもあります。このような不正アクセスが原因の脅威は、対策を講じているにもかかわらず企業へのイメージダウンにつながる可能性も把握しなければなりません。

サーバ内のファイルがランサムウェア感染し暗号化被害

インターネット関連のウイルスにも複数の種類がありますが、なかでも被害数の多い傾向にあるのはランサムウェアが原因のトラブルです。ランサムウェアに感染すると、パソコンに保存している情報が暗号化されます。

暗号化された情報を復元するのは容易ではありません。ファイル自体をロックされた場合は、これまでのように開いて閲覧することも不可能になります。ランサムウェアで注意したいのは、企業全体に被害を拡大させる可能性がある点です。

たとえば、オフィス内にある1台のパソコンが感染すると、ネットワークを共有する機器にも感染するリスクがあります。場合によっては企業全体の業務を停止させるかもしれません。ロックされた状態から復元するために、ランサム(身代金)を要求するケースがある点もランサムウェアの特徴です。

人材派遣会社のサイトに不正アクセス|個人情報漏えいの恐れ

近年では、オンラインから個人情報が登録できる人材派遣サービスも増加しています。情報セキュリティ対策にも万全な体制がとられますが、2019年7月に意図的脅威による不正アクセスが発覚しました。Webサイトの運営会社から報告を受けて発覚した事例です。公表の時点で個人情報漏えいは確認されていません。

人材派遣を担う企業であるため、氏名・住所・年齢といった膨大な個人情報を保有しています。一部の登録者は学歴や銀行情報の流出も懸念されていました。2020年2月現在でも漏えいは確認されていませんが、情報が引き出された事態を想定すると甚大な被害に発展していた事例といえるでしょう。

予想される脅威へのセキュリティ対策


主な脅威と具体的な手口を確認した後は、具体的な対策を考えなければなりません。ここからは、以下の4つの脅威にどのように対策すべきかと見ていきましょう。

・マルウェア感染
・不正アクセス
・情報漏えい・盗難
・自然災害・紛争

機密情報・顧客情報を安全に守るという社会的な責任をきちんと果たすためにも、それぞれの脅威に対して適切に対策することが大切です。

マルウェア感染

マルウェアとは、悪意を持って作成されたユーザーに対して悪影響を及ぼすソフトウェアの総称です。ウイルスやスパイウェア・ワームなどが含まれ、メールや偽サイト、ネットワークなどさまざまなところを経由して感染します。

一度マルウェアに感染すると知らず識らずのうちに情報を盗まれ、大きな被害につながりかねません。多種多様なマルウェアに効果的に対策するには、セキュリティソフトを活用するのがおすすめです。

セキュリティソフトを忘れずにインストールし、常に定義ファイルを最新版にアップデートしましょう。常に新たなマルウェアが作成されているため、定義ファイルが古いままになっていると危険です。

不正アクセス

不正アクセスは、アカウントの窃取やセキュリティホールの悪用によって発生します。不正アクセスによって大量の情報が流出するトラブルは多いため、忘れずに対策しましょう。有効な対策の一例は以下の通りです。

・アカウントを適切に管理する
・インストールしているソフトウェアを常に最新版にアップデートする
・ファイアウォールを導入・運用する
・SQLインジェクションに対策する

サーバー・クライアント・ネットワークそれぞれに必要な対策を施すことで強固なセキュリティを確保できます。

情報漏えい・盗難

情報漏えいは社員の過失で発生するケースが多いトラブルです。盗難も過失が引き金になるケースがあるため、情報管理を徹底する必要があるでしょう。情報漏えい・盗難への対策として有効な方法は以下の通りです。

・宛先チェック機能を搭載したメーラーを使用する
・重要書類を社外に持ち出せないようにルール化して遵守する
・研修を行って社員のセキュリティ意識を高める
・機密情報・顧客情報は限られた社員しかアクセスできないようにする
・紙ベースで保存している機密情報は堅牢な金庫もしくは施錠された部屋に保管する
・クラウドストレージのアクセス権を適切に設定する

企業によって適切な対策は異なりますが、サーバー・クライアント・ルール・社員に対して網羅的に対策を施しましょう。

自然災害・紛争

自然災害や紛争は企業の努力によって避けられるものではありません。しかし、事前に適切な対策を施すことで被害を軽減できます。災害や紛争が発生すると機密情報が失われるリスクがあるため、以下の対策を施すのがおすすめです。

・複数のバックアップを定期的に取って分散して保管する
・クラウドストレージにデータを保存する

自社で保存しているデータをクラウドストレージ上に保存することで、データが消失するリスクを減らせます。政情不安が懸念されている国にオフィスがあるなら、政情が安定した国にデータを移動させる必要があるでしょう。

情報セキュリティ対策の落とし穴


情報セキュリティに関する取り組みは、可視化しにくいシステムでもあります。目に見えない対策には関心を寄せにくく、情報漏えいや不正アクセスのリスクを高める要因にもなるでしょう。システムの更新頻度や事業との相性にも注意が必要です。ここからは、情報セキュリティ対策を行う際に把握しておきたい落とし穴を3つ紹介します。

セキュリティ対策への関心が薄い

企業の規模が大きいほど強固なセキュリティ対策を講じなければなりません。しかし「セキュリティ対策自体に関心がない」と感じる方もいるようです。セキュリティ関連の情報管理にかかわらない社員は、とくに関心度が希薄になりやすいと言えます。

社員・管理職を問わず、セキュリティ対策に対する関心度の低さはシステムの脆弱性につながる要素です。本来であれば注視できるような部分も、関心度が低ければ見逃す可能性が高まります。情報を守るためには、セキュリティ意識を高めることが大切です。

セキュリティ対策に関する教育を強化することで、偶発的脅威のリスクを軽減できます。実際に脅威をおよぼした事例を共有すると危機感も高まるでしょう。正確な知識を学んで、セキュリティ対策への理解を深めるのも重要な取り組みです。

対策ソフトやシステムの更新頻度が低い

セキュリティ対策に用いられるソフトウェアには利用期限があります。期限が切れた状態で機器を使い続けるということは、守りたい情報を第三者にさらしている状態です。古いシステムでは最新の脅威に対策できないため、定期的に更新しなければなりません。

意図的脅威による個人からの攻撃だけではなく、ランサムウェアのような無作為に感染する脅威は回避できないと考えたほうがよいでしょう。

情報量や項目が多いほど狙われる可能性も高くなります。期限を把握するだけでは侵入に気付かないこともあるでしょう。期限を把握したうえで、実際に不正アクセスがないかチェックしましょう。状況確認はセキュリティ対策の基本的な要素です。

セキュリティ対策が事業規模にあっていない

ネットワークの数や使用機器の多さが変わると、適切なセキュリティ対策の環境も異なります。たとえば、事業規模の拡大によって使用するシステムが増えた場合、侵入経路もそれに伴って増えることを考慮しておきましょう。

2倍になった侵入経路を安全に保つためには、セキュリティ対策も2倍の性能を発揮しなければなりません。実際にはこのように単純な考え方ではありませんが、規模が大きいほどセキュリティ対策を拡大する必要性も増します。

事業規模に対してセキュリティ対策が十分ではない場合、脆弱性を高めて不正アクセスの道をさらす結果につながりかねません。「どのような対策を講じればよいかわからない」という方は、専門知識をもった業者に相談できると安心です。

情報セキュリティ被害にあわないための5つのポイント


情報漏えいを防ぐには、自社がすでに行っているセキュリティ対策を振り返って不十分な部分を洗い出し、追加の対策を施すことが必要です。

デバイスのセキュリティを強化する

日々の業務にPCやスマホ・タブレットなどのデバイスを使用する方も多いでしょう。マルウェアや不正アクセスなど、業務に使用するデバイスを介した攻撃も多数発生しています。

業務で使用するデバイスに適切な対策を施すことで情報漏えいのリスクを低減できるため、この機会に見直しましょう。有効な対策の一例は以下の通りです。

・デバイスにロックを掛ける
・ログイン情報(ID・PW)を適切に管理する
・セキュリティソフトをインストールして最新版にアップデートする
・デバイス内のデータを暗号化する
・通信にVPNや閉域網を使用する

これらの対策を複合的に施すことで、万が一デバイスを紛失しても内部の情報を守りやすくなります。外部からの攻撃への対策にもなるでしょう。

社員の意識を高める

必要なセキュリティ対策を施してルールを策定しても、社員の意識が低いといずれ守られなくなってしまう可能性があります。システムに強固な対策を施しても社員が自らセキュリティホールを作ってしまっては本末転倒なので、定期的な意識向上を図りましょう。

意識を向上させるには、定期的に研修を行ったり実情に応じて対策を見直したりすることが必要です。

自社のセキュリティ対策を把握する

まずは、企業全体で「現在どのようなセキュリティ対策を講じているか」を共有しましょう。リスクについて理解するだけではトラブルを避けられません。トラブルに発展するリスクと、実際に行っている対策をあわせて把握することが大切です。

管理職や情報管理にかかわる人材だけではなく、社員全体で共有できるとより高い効果を期待できます。些細なミスが原因で漏えいするリスクへの理解を深めることで、偶発的脅威を回避する結果にもつながるでしょう。

自社の事業規模や売上推移を把握する

セキュリティ対策と事業規模は重要な関係性があります。「セキュリティ対策に脆弱性があるかどうか」という視点だけではなく「事業規模にあった対策ができているのか」を重視しましょう。顧客数が増加して規模拡大が見込まれるのであれば、セキュリティ対策の強化も検討しなければなりません。

売上の推移も同様に重要な要素です。今後さらに売上向上を目指しているなら、規模拡大に向けて対策を考えはじめたほうがよいでしょう。

情報セキュリティの専門会社に診断を依頼する

情報セキュリティに関する取り扱いは慎重に進めなければなりません。セキュリティ対策の能力が高まると同時に、脅威も日々進化しているためです。導入当時は最新のシステムでも、数年後には脆弱性が発覚して不正アクセスにつながる可能性があります。

セキュリティ対策の知識が乏しい方にとって、脅威を防止することは困難でしょう。安心できる状態を持続するためにはプロに任せるのもひとつの方法です。対策状況を診断してもらい、改善したほうがよいシステムのアドバイスを求めましょう。

イッツコムでは情報セキュリティ対策に役立つサービスを提供


情報セキュリティ対策を適切に施すためには、セキュリティを重視したネットワークを使用したり安全な場所にデータを保管したりする必要があります。しかし、全ての対策を自社のみで施そうとすると手間がかかるものです。

イッツコムでは、ハイセキュリティのネットワークや情報セキュリティに関する国際規格に準拠したクラウドストレージを提供しています。ここではそれぞれのサービスについて詳しく紹介しますので、ぜひこの機会に導入をご検討ください。

デバイスと社内ネットワークを安全につなぐ「モバイル閉域接続」

モバイル閉域接続は、専用SIMを使うことでインターネットを介することなくデバイスと社内ネットワークを接続するサービスです。専用SIMを挿したデバイスはNTTドコモの閉域網にアクセスし、NTTドコモの閉域網はイッツコムの閉域網につながっています。

社内ネットワークはイッツコムの閉域網に接続しているため、アクセス経路上にインターネットを通過する区間は存在しません。デバイスがインターネットにアクセスするときは、社内ネットワークを経由してからインターネットに接続します。

この経路を利用することで、外出中でも社内のファイアウォールを経由でき、自由にインターネットにアクセスする場合に比べて高いセキュリティの実現が可能です。

データを安全に保護するクラウドストレージ「Box」

Boxはビジネスシーンに特化したクラウドストレージで、情報セキュリティに関する国際規格「ISO27001」に準拠しています。機密情報や顧客情報を安全に保存できるのはもちろん、ファイルを共有する際も安全です。

ブラウザからBoxにアクセスして内部の資料を閲覧できるため、共有するためにメールで送付する必要はありません。メールの誤送信や添付ファイルのミスによる情報漏えいを防げるのも大きなメリットです。

フォルダごとにアクセス権を設定することも可能で、情報を必要とする社員のみアクセスできるように設定できます。社内のセキュリティレベルを高めることにもつながるので、ぜひこの機会にBoxの利用もご検討ください。

安全な顧客管理システムなら「ホットプロファイル」

ホットプロファイルは、マーケティングと営業を効率化するのに役立つクラウド型名刺管理・営業支援ツールです。顧客の基本情報や最新情報、過去の営業活動などが一画面に集約され、それらの情報をもとに戦略的な営業活動が可能です。

ホットプロファイルはNASAや米国国防省、日本政府などのシステムに採用されている「AWS」のプラットフォーム上で提供しており、強固なセキュリティが特徴です。

また、外出先からスマートフォンでホットプロファイルを閲覧する際のセキュリティ対策として、MDM(モバイルデバイス管理)機能を提供しています。スマートフォンを紛失した場合でも、リモートでロックやデータ削除、位置情報の把握により被害の拡大を防げます。

まとめ


企業には営業に関する機密情報や顧客情報などの重要情報があるため、サイバー攻撃や不正アクセスなどの対象になりがちです。これらの攻撃から情報を安全に守るためには、デバイス・サーバー・ネットワークに対して総合的な対策を施す必要があります。

イッツコムでは、セキュリティ対策に役立つ「モバイル閉域接続」「Box」を提供しています。これらのソリューションをご活用いただくことで円滑にセキュリティ対策を進められるので、ぜひこの機会に導入をご検討ください。

(参考:『新規:イッツコム 法人向けサービス お問い合わせ専用フォーム』)