企業のセキュリティ対策は、自社・取引先・顧客に対する被害・損害を防ぐだけでなく、企業の信用を守るものでもあります。
セキュリティ重大事故に関するデータによれば、損害額は2億円以上を超えるものも珍しいものではなく、セキュリティインシデントは経営基盤を揺るがす脅威です。
貴社のセキュリティ対策は十分と考えられるでしょうか。
もしも改善ポイントがある場合、優先順位を決めた取り組みをされていますでしょうか。
この記事では、現在の情勢に照らして最も優先して取り組むべきポイントや、今後企業の情報セキュリティ対策を考えるうえで、基本に据えたい考え方について、最新データをもとにお伝えします。
また、企業の情報セキュリティ対策で自社に必要なものがわかるセキュリティチェックシートを無料で配布しています。ぜひご活用ください。
企業のセキュリティ対策が重要な理由
まずは、企業におけるセキュリティ対策の重要性をみていきましょう。
企業に対するサイバー攻撃は至る所で実行されている
IPAが毎年発表する、情報セキュリティ10大脅威2023によれば、企業や官公庁などの組織を狙う脅威として
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 標的型攻撃による機密情報の窃取
- 内部不正による情報漏えい
- テレワーク等のニューノーマルな働き方を狙った攻撃
が上位5位を占めています。
被害の結果は、経済的に企業にダメージを与えるものです。
令和元年総務省情報通信白書によると、企業のサイバーセキュリティに関する被害額の各国調査結果が掲載されていますが、日本では企業の年間平均被害額が2億1,153万円とのデータがあります。
サイバー攻撃によって企業ブランド・信頼・取引先などを失う危険性がある
情報漏えいを発生させてしまうと、顧客からの信頼・取引先をいっぺんに失う可能性があります。多額の損害賠償に応じなければならないケースではもちろんのこと、そうでなくても公表・謝罪に追い込まれ、取引先の信用を失うことがあります。
特に、情報セキュリティ対策をしっかりと行っている会社は、ベンダ―評価・外注先調査を行いますので、事故・不祥事については、契約などで報告を求めます。
そうした会社は、事故内容によっては、不利な条件への契約条件の変更・セキュリティ対策の追加実行を要求し、最悪の場合取引の中止を決定することもあります。
取引の中止から、企業の倒産にもつながる大きな影響が出ることも考えられます。
クレジットカード情報の大量漏れのケースが生じたケースなどでは、決済サービス会社が倒産に追い込まれたこともありました。
サイバー攻撃は自社の被害だけでは済まされないこともある
しかも、自社で情報セキュリティ対策ができていないことにより、他の会社・個人に多大の損害を与えるケースもあります。
自社の従業員PCがマルウェアに感染し、メールなどのやり取りを通じて顧客企業のネットワークにまで感染を拡大させてしまった場合、被害は深刻です。
ECサイトを運営している企業がサイト改ざんに遭ったケースでは、サービスが一時停止に追い込まれたのみならず、顧客情報が第三者に盗み見られる結果となりました。
金銭的損害・プライバシー・他人の個人情報だけでなく、個人情報の悪用の危険(クレジットカード番号など)も生じる可能性のあるケース・実際に悪用されたケースは日本でも報告されています。
企業でセキュリティ被害が多いサイバー攻撃の手法
企業にセキュリティの脅威をもたらす攻撃者は、どのような手法で企業を攻撃するのでしょう。
スパムメール・なりすましメール
不正なメールであるスパムメールやなりすましメールは、企業の情報セキュリティ脅威の代表的な例です。
メールフィルターによる検知や送信元ドメインによる受信拒否設定といった技術的対策のほかに、従業員それぞれが不審なメールを開かないようにするという、人の対策も重要です。
従業員が危険なメールを開かないための対策として、模擬的に危険なメールを従業員に送信する標的型攻撃メール訓練というものがあります。
標的型攻撃メール訓練について詳しくはこちらをご覧ください。
ランサムウェアの感染
ランサムウェアとは、マルウェアの一種で、侵入したサーバ内のデータを勝手に暗号化し、復元と引き換えに身代金(ランサム)を要求するものです。
従業員は、先述のなりすましメール等を通じてランサムウェアに感染すると言われています。
ランサムウェアに感染すると、PCが動かなくなり「●●●●●円をここに振り込んだらこのPCのロックを解除します」といった内容の表示が行われ、PCが利用できない・業務が止まるなどの損害が生じます。
不審なサイトへのアクセスを避ける・不審なメールは開封しない・メールのリンクをクリックしない、といった方法で100%ではないですが、多くを予防することができます。
Webサイトの改ざん
Webサイトの改ざんは、読んで字のごとく、悪意のある第三者が管理者の意図しない形でWebサイトを勝手に書き換えてしまうことです。
SQLインジェクションなど、インジェクション系マルウェアによる攻撃で、スクリプト(Webサイトを構成するコード)を書き換えて、誤表示・悪質サイトへの誘導リンクの設置・サイトの乗っ取りなどを行います。
悪質サイトへの誘導は、詐欺サイトへの誘導が多く、詐欺被害による財産的被害に遭う人が出ます。
また、Webサイトの外観が損なわれる・利用できなくなるなどの被害がサイトの設置者に生じます。
サイトへの侵入やマルウェアを検知・遮断する装置またはソフトウェアなど、技術的な措置で予防・あるいは被害が出ても最小限に抑えるなどの対策を行います。
セキュリティ対策の具体的施策
| 被害内容 | 対策 | 備考 | 優先順位 |
|---|---|---|---|
| 機密情報の漏えい |
|
すべての業種・業態でまずは完全に対策しておくべき最優先事項。外部からの侵入をブロックするための基礎 | 1 |
| マルウェア感染 |
|
1件当たりの被害額が最も大きくなるので優先度高め。 | 2 |
| クレジットカードの不正利用 |
|
クレジットカード番号を扱うECサイトなどの事業では被害額が大きいので最優先。マルウェア対策と並行して行うと効果的。 | 3 |
| Webサイトの改ざん |
|
Webサイトは悪意ある第三者の標的になりやすいので、マルウェア対策の次に重要。 | 4 |
| 情報システムの停止 |
|
対策をしておかないと、業務が停止する恐れがあるので、重要。 | 5 |
| 個人情報の流出 |
|
法規制が強まっている点に注意し、内部対策を強化。 | 6 |
| 大規模なデータ破壊 |
|
他の施策が完了していると、データ破壊は予防しやすい。データの避難先・バックアップの確認などをして十全にしておくこと。 | 7 |
上記は、あくまで一般論的なモデルとしての例になりますので、しっかり自社に合った対策及び優先度を検討してください。
優先順位の決め方
情報セキュリティインシデントの被害は、その直接的な被害および顧客・取引先からの信用失墜のリスクを考えると、しっかり対策しておくことが求められますし、万が一発生してしまった際の対応についても検討しておく必要があります。
中でも、外部からの攻撃については明確な悪意のある事象であるため、対策・対応が急務となります。
これを踏まえると、例えば、下記のような優先度付けも考えられます。
- 各種不正アクセス・サイバー攻撃の予防
- 内部統制・管理策などの強化
- データ保護の仕組み一般の補強
少し具体的に見ていきましょう。
機密情報の漏えい
アクセスコントロールを十分に行うことは、外部からの侵入予防の基礎となります。
二段階認証などの認証方式を強化し、アクセスコントロールが2-3段階にわたってなされているか確認します。
マルウェア感染
マルウェアの侵入口になる、ネットワークに対する侵入経路を把握し、それぞれに侵入予防策をとり、ウィルス除去の方法についても技術的な方策を取ることが必要です。
クレジットカード不正利用
クレジットカード情報は直接的に攻撃者のターゲットになりやすい情報であり、顧客のカード情報を取り扱う会社においては、マルウェア対策と同程度もしくはそれ以上の優先順位と考えてよいでしょう。
マルウェア対策に加えて、暗号化通信の導入・サーバの分離・アクセスする人員の認証の強化・データのマスキングなどの方策で補強します。
Webサイトの改ざん
Webサイトが悪意ある第三者に改ざんされてしまうと、サイト上に無関係の内容が掲載されてしまうのみならず、サイト内にある情報が漏えいしてしまう、閲覧者がマルウェアに感染させられてしまう、といった危険性があります。
WAF等を利用し、第三者による侵入・改ざんを許さないようにしましょう。
情報システムの停止
情報システムの停止はすなわち業務の停止を意味します。情報システムの停止に備えて、サーバやサイトのバックアップを取っておきましょう。
これについては、クラウドツールを上手に活用することでコストを抑えた対策が可能です。
個人情報の流出
個人情報に関しては、個人情報やGDPR等の法制度に則って対策を進めると効率的です。
アクセス制限などの侵入防止策や、必要に応じてはサーバの隔離も検討しましょう。
また、外部からの攻撃による不正アクセスだけでなく、従業員や退職者による流出も対策が必要ですので、情報の持ち出し記録やシステムログの取得で、何かあったときに原因を追究できるようにしておきましょう。
大規模なデータ破壊
近年はクラウドストレージなどの普及により、データが丸ごと破壊されてしまうような脅威は稀ですが、まだまだ対策が必要な脅威です。
特に重要データのバックアップは二重にとるなど、情報資産の価値に応じたデータ破壊への対応を検討しましょう。
情報セキュリティ対策をする際のポイント・注意点
情報セキュリティ対策は、何重にも行う必要があり、どれかひとつの対策で、全てをカバーするような性質のものではありません。また、100%安全を目指すことも現実的ではありません。
そこで、以下のようなポイントに注意しておきましょう。
全体的な視点で対策を行う
一つの対策にだけ注力しても情報セキュリティ対策は強化できません。
優先順位をつけつつ、しっかり全体に気を配って抜け漏れのないよう対策を実施する必要があります。
また、その時そのタイミングで完璧なセキュリティ対策を実施しても、攻撃手法は日進月歩に巧妙化を続けますので、最新のセキュリティニュースを追い続けることも重要です。
経営層や社員まで全社的にセキュリティ意識を高める
情報セキュリティインシデントは、経営基盤を揺るがすような脅威になります。情報セキュリティ対策は経営問題です。
そのような心構えでトップが動けば社員も動きます。
まず経営陣からセキュリティ意識を高めましょう。
外部パートナーを選びは慎重に行う
自社の情シスやセキュリティ部門に十分なリソースがあれば、内製で取り組むことも可能ですが、多くの場合はそうもいきません。
コンサルティングやツール・サービスを活用して情報セキュリティ対策に取り組む企業が大半なのではないかと思います。
ただし、情報セキュリティ対策はしっかり自社の状況に即した内容を導入しなければ、単なる邪魔者になってしまいます。コンサルタントやツール・サービスの選定は慎重に実施しましょう。
LRMでは、失敗しないセキュリティコンサルタントの選び方をまとめた資料を無料で配布しています。参考にしてみてください。
まとめ
企業に大きな被害をもたらす情報セキュリティインシデントは、経営課題として捉えられます。
特に、何かが起こってからではなく、予防としての情報セキュリティ対策への取り組みは不可欠で、日々巧妙化するサイバー攻撃に対応し続けなければなりません。
情報セキュリティ対策が負担になりすぎないよう、優先順位をつけて対応していきましょう。
