企業内の組織やシステムが大きくなるにつれて、意識しなければならないのが「情報セキュリティ」です。しかし近年は、攻撃の手法や不正の手口が多様化していることから、問題を抱える企業が続出しています。
この記事では、昨今の情報セキュリティにおける問題点と、具体的な対策方法をご紹介いたします。
昨今における情報セキュリティの問題点
昨今、情報セキュリティを脅かすさまざまな問題が発生しています。ここでは、企業でよく発生しがちな問題を4つご紹介いたします。
1.第三者のサイバー攻撃による被害
一つ目に、第三者のサイバー攻撃による被害が挙げられます。何者かが組織やシステムへアクセスし、情報漏洩や金銭的な被害などをもたらすのです。
総務省が発表した「サイバー攻撃の最近の動向等について」によると、2016年から2019年にかけて観測されたサイバー攻撃の件数は、3年間で2.6倍に増加したと報告されています。
以下では、近年脅威を増している、代表的なサイバー攻撃をご紹介いたします。
ランサムウェア
ランサムウェア(Ransomware)は、ファイルを暗号化したり、デバイスに利用制限をかけたりするマルウェアの一種です。「Ransom(身代金)」と「Software(ソフトウェア)」の言葉が組み合わさってできているように、暗号化したファイルを人質にし、身代金を要求するのが一般的な手口となっています。
ランサムウェアの感染経路としては、攻撃者が送りつけた添付ファイルや、偽のWebサイトへのURLなどが挙げられます。特定のファイルやリンクへアクセスするだけで感染するという仕組みから、関係者へも連鎖的に広がってしまう可能性がある点に注意が必要です。
昨今では、2017年に「WannaCry」と呼ばれるランサムウェアが世界中を席巻しました。日本でも、法人を対象に20件以上の被害が発生したのです。
標的型攻撃
標的型攻撃は、英語で「APT(Advanced Persistent Threat)」と訳され、情報セキュリティ対策推進会議によって定められた「高度サイバー攻撃」の一つです。攻撃者は組織の関係者になりすまし、ウイルスが入ったメール等を送りつけます。
なりすましに使われるのは、上司や取引先の社員、外部からの問い合わせ顧客など、実にさまざまです。信ぴょう性の高い内容が多く、ついつい信じてしまいがちな点に注意が必要です。
事例としては、2015年に日本年金機構が受けた被害が挙げられます。組織の業務に関する実に精巧なメール文が送られ、職員がウイルスに感染させてしまった結果、125万件もの個人情報が流出してしまいました。
ビジネスメール詐欺
ビジネスメール詐欺は、BEC(Business Email Compromise)と呼ばれ、経営者や外部の関係者などになりすまし、金銭を奪取する行為です。
攻撃者は「フィッシング詐欺」や「キーロガー」といった手口を使って情報を盗み見し、メールアドレスや組織の内部情報を把握しておきます。そして、信ぴょう性の高いメールを送信するなどして、攻撃者の銀行口座へお金を送金させるのです。
ビジネスメール詐欺は標的型攻撃と混同しがちですが、前者は金銭の奪取が目的であるのに対し、後者は情報の盗取が目的である点に違いがあります。ビジネスメール詐欺においては、お金を手に入れられさえすればよいため、必ずしもウイルスが仕込まれる必要はありません。
不正アクセス
不正アクセスとは、システムへのアクセス権限が与えられていない者が、何らかの方法で不正に侵入することを指します。結果、そのシステムが停止してしまったり、機密情報が漏洩してしまったりするので、注意が必要です。
不正アクセスを行う目的は、情報改ざん、愉快犯、金銭の詐取など実にさまざま。手口として、簡単なIDやパスワードをしらみつぶしに試す「総当たり攻撃」や、システムの脆弱性を狙って攻撃する「ゼロデイ攻撃」などが用いられます。
企業がきちんとログ管理をしていて、かつ不正アクセスを検出できれば、インシデントへ早急に対処できます。しかし、正規の経路でログインされた場合は、それが不正アクセスなのかどうかを判断しにくいのが難点です。
2.従業員の過失による情報漏洩
従業員が知らない間に、個人用パソコンへ機密データをコピーしてしまったり、USBメモリを落としてしまったりするなどして、情報が漏洩してしまうこともあります。これは、組織の運用ルールが明確でないことや、管理体制があいまいであることから生じることが多いでしょう。
とくに最近は、テレワークの増加によって、自宅やカフェなどでの仕事を許可する企業が増えています。なかでも、「社内システムへのアクセス権限はどのようにするのか」「顧客データはどのように管理していくのか」といったルールがあいまいになりがちです。
ビジネス環境が大きく変わる中、従業員のセキュリティリテラシーをいかに高めていくかが求められています。
3.関係者による意図的な情報漏洩
企業に恨みを持つ従業員や取引先によって、内部の情報が漏洩してしまう事例も発生しています。組織で運用ルールを定めているにもかかわらず、重要書類が持ち出されたり、データが個人用パソコンへコピーされてしまったりするのです。
ひとたび情報漏洩が発生してしまうと、社会的信用の失墜や、経済的損失の発生につながりかねません。防ぐことは非常に難しいですが、最大限の努力をする必要があります。
4.システム障害による事業機会の喪失
自社で構築したオンプレミス型のシステムや、ベンダーの提供するクラウドサービスに障害が発生し、事業が一気にストップしてしまうこともあります。結果、長時間にわたりサービスを提供することが困難になってしまい、せっかくの事業機会を喪失してしまうでしょう。
事例としては、2019年にAmazonが提供する「Amazon Web Services(AWS)」や、Microsoftの「Office 365」などで、内部要因によるシステム障害が発生しました。その間、モバイル決済や企業間メールなどができなくなり、クラウドへの依存性が大きく取りざたされたのです。
情報セキュリティの問題解決を阻む課題
上記で、情報セキュリティに関してさまざまな問題が発生していることをご紹介しましたが、それらを解決するにあたって、多くの課題が発生しています。
ここでは、どのような課題が発生しがちなのかについて解説していきます。
サイバー攻撃における手法の多様化・高度化
近年、サイバー攻撃への意識が高まるにつれて、攻撃者の手法が多様化・高度化している現状に直面しています。数年前までは通用していた対策方法が効かなくなり、また新たな対策方法を編み出さなければならないなど、イタチごっこのような状況になっているのです。
最近の攻撃は、システムの脆弱性やハードウェアの隙を狙ったものだけでなく、対象者の心理的な隙を狙ったものが多くなっています。Webサイトやメールが本物そっくりのことも多く、うっかり手を出してしまう例も枚挙にいとまがありません。
上記に対して企業は、より高度なセキュリティ対策を実施するだけでなく、従業員のITリテラシーを高めていくことが求められています。
社内システムの肥大化・複雑化
近年、IT技術の発達とともに、さまざまなSaaS系サービスが登場してきています。その結果、大企業だけでなく、中小企業においても業務システムを導入しやすくなりました。
一方で、社内システムが増えすぎてしまうことで、だれがどのデータを扱っているのかが分からなくなってしまったり、セキュリティ対策を放棄してしまったりするという問題が発生しています。
また最近では、テレワーク環境の推進によって、BYOD(Bring Your Own Device)や、VPNなどを新しく導入する企業が増えました。
企業規模に限らず、年々肥大化・複雑化していく社内システムをうまく統制しながら、サイバー攻撃や情報漏洩をいかに防いでいくかが求められています。
扱うデータ量・価値の増大
昨今、「ビッグデータ」「IoT」「AI」といったワードが流行ったように、ビジネスにおけるデータ活用の重要性が増してきています。企業の競争環境が日に日に激しくなる中、蓄積したデータをいかに活用していくかが、マーケティングやセールスの成功に結び付くからです。
加えて、情報のデジタル化が進み、データの複製・蓄積・加工・編集・送信などが容易にできるようになりました。これは、サイバー攻撃者にとって都合のよい環境が整っていることの裏返しだとも言えます。
総務省の「サイバー攻撃の最近の動向等について」によると、2019年に観測された3,279億パケットのサイバー攻撃の内、WebカメラやルーターなどのIoT機器を狙ったものが48.8%を占めています。企業にとって重要だと思われるデータは、サイバー攻撃の対象になりやすいともいえるでしょう。
企業は顧客データ・ログデータ・購買データをはじめ、さまざまな情報を管理していかなくてはなりません。扱うデータの量と価値が増えていく中で、適切な対策を講じる必要があります。
近年の情報セキュリティ問題への対策方法
ここでは、近年の情報セキュリティ問題に対して、どのように対策をすればいいのかを解説いたします。
統合管理ができるセキュリティ対策製品の導入
サイバー攻撃の脅威から企業のデータを守るには、統合的なセキュリティ対策製品の導入が効果的です。なぜなら、ファイアウォールやウイルス対策ソフトといった製品を個別に導入するだけでは、複数の対策を組み合わせる「多層防御」の観点が抜け落ちてしまいやすいからです。
具体的には、UTM(統合脅威管理)の活用がおすすめ。UTMには、アンチウイルス・ファイアウォール・Webフィルタリングなど、さまざまなセキュリティ機能が備わっています。
UTMを導入することにより、システムの管理負担を減らせるのがメリットです。IT人材が足りていない企業でも、無理なく運用できるでしょう。
セキュリティ教育の実施
人為的なミスによるウイルス感染や情報漏洩を防ぐためにも、役員や従業員へのセキュリティ教育が欠かせません。一人ひとりが高いリテラシーを保つことで、不用意に不正なファイルを開いてしまったり、ハードウェアを紛失してしまったりするリスクを抑えられます。
以下、セキュリティ教育を実施するための手順例になります。
- セキュリティ教育の担当者を任命する
- 教育対象者を決定する(全従業員・役員・関東エリアの従業員など)
- セキュリティポリシーや個人情報の取り扱い規定を見直す
- 教育の回数・頻度を決定する
- 教育の手段を決定する(eラーニング・ウェビナー・対面型研修など)
- 教材を作成する
上記のような綿密さまではいかなくとも、まずは経営層がセキュリティ教育の重要性を理解し、トップダウンで伝えていくことが重要です。まずは意識改革から始め、必要に応じて担当者を任命したり、教材を用意したりしてもよいかもしれません。
セキュリティ対策人材の拡充
三つ目に、セキュリティ対策人材の拡充が挙げられます。専門的な知識を持つ担当者を任命することで、より高度な対策が可能になるからです。
そのためには、自社がどのようなセキュリティ人材を必要としているのかを明らかにしなければなりません。一般的に必要だとされている人材は、以下の5タイプだといわれています。
- インシデント担当者:インシデント発生時に、社内外の関係者と連携する責任者
- セキュリティエンジニア:社内の情報システムを運用・管理する技術者
- 情報システムの利用者:自社の情報システムを安全に利用する担当者
- セキュリティ全般の管理者:セキュリティの管理体制全般に責任を持つ担当者
- サイバーセキュリティの専門家:最新のサイバー攻撃事情や、セキュリティ診断などの知識を持つスペシャリスト
自社で不足している人材を明らかにすることで、より理想に近い人物へ仕事を任せられるでしょう。
情報セキュリティの問題点を理解し、対策しよう
この記事では、昨今の情報セキュリティで起きがちな問題と、その対策方法についてご紹介しました。とくに最近問題となっているのは、以下の4つです。
上記の問題を解決するにあたって、さまざまな課題が発生していることもご紹介いたしました。具体的な解決策は以下です。
近年のサイバー攻撃は高度化・複雑化しており、すべてを防ぎきれるわけではありません。そのため、事が起こってしまった後の「出口対策」を意識して、自社の情報セキュリティを強化しましょう。