- ホーム
- 法人のお客さま
- Business Navi 〜ビジネスに役立つ情報〜
- 総務に関する記事
- 情報セキュリティ対策の方法とは?重要性や被害事例、ポイントを紹介
総務
公開日:2022.08.31
更新日:2023.11.14
情報セキュリティ対策の方法とは?重要性や被害事例、ポイントを紹介
インターネットの普及に伴って、外部からの意図的な攻撃や従業員のミスなどによる事案が企業の価値を脅かすようになりました。企業の活動にインターネットが欠かせない今、サイバー攻撃から自社の機器やデータを守ることは、企業にとって喫緊の課題であるといえるでしょう。
ここでは、企業がとるべき情報セキュリティ対策について、重要性や被害事例、対策のポイントなどを紹介します。
情報セキュリティとは、情報資産そのものや情報機器を守ること
企業には、顧客情報をはじめとしたさまざまな情報資産が存在します。情報セキュリティとは、情報資産そのものや、データが保存されている機器などを、さまざまな脅威から守ることです。
情報資産を侵害・損害する可能性がある脅威には、個人情報など機密情報の漏洩、マルウェア(ユーザーに不利益をもたらす悪意あるソフトウェア)感染、データの改ざん、システムへの不正アクセスなどがあります。
総務省は、自社が保有する情報の特質を見極め、「機密性」「完全性」「可用性」の観点から、バランスの良い情報セキュリティ対策を講じることが重要であるとしています。下記より、それぞれの観点がどのような意味を持つのか確認していきましょう。
・機密性(Confidentiality)
機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
・完全性(Integrity)
完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。
・可用性(Availability)
可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。
情報セキュリティ対策に取り組む重要性とは?
企業が情報セキュリティ対策に取り組む重要性として、情報資産に対する脅威への備えが挙げられます。
もし、顧客や従業員の情報が漏洩すれば、何者かに悪用されるリスクがあるほか、「情報漏洩した会社」として社会的な信頼が失われる可能性があります。大規模な漏洩の場合、顧客対応やマスコミ対応に追われ、業務が滞ることもあるでしょう。また、顧客からの損害賠償請求や、取引の打切などによって、業績悪化を招くおそれもあります。
外部からの攻撃を受けた場合も同様です。マルウェアが顧客を含む広範囲に広がることで損害を発生させたり、必要なときにサービスを利用できない不満から顧客の離脱を招いたりすれば、今後の事業活動にも大きな影響が及びかねません。
情報資産が攻撃者の脅威にさらされることは、企業の価値を著しく低下させ、存続に関わる問題に発展する可能性があることを認識する必要があります。
中小企業における情報セキュリティの現状
情報セキュリティ対策に対する認識には、企業によって差があるのが実情です。独立行政法人情報処理推進機構が行った「令和2年度中小企業サイバーセキュリティ対策支援体制構築事業」の成果報告書によれば、中小企業約1,100社に対して、181,536件(※1)にも及ぶ不審なアクセスが確認されました。
また、本調査に参加した企業のウェブサイトは、そのほとんどで何らかの脆弱性が発見されており、うち約2割の企業では重大な事案につながる可能性が指摘されています。
関連記事:「テレワークのセキュリティ対策47選|優先度・種類別に網羅解説」
また、独立行政法人情報処理推進機構によれば、「情報セキュリティ対策投資」について「投資を行っていない」と回答した中小企業は、33.1%に上りました。中小企業の情報セキュリティ対策への投資額は「100万円未満」の割合が最も高く、全体で49.2%にも上っています(※2)。
昨今、DX推進とともにシステムへの投資が増えてきていることが予想されます。活用するシステムが増えれば、その分だけ攻撃対象が増える可能性もあるため、併せてセキュリティへの投資も行うことが大切です。
(※1)出典:独立行政法人情報処理推進機構「サイバーセキュリティお助け隊サービス」
(※2)出典:独立行政法人情報処理推進機構「「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について」
中小企業も情報セキュリティは必須の時代になってくる
情報セキュリティ対策は、今や大企業だけが取り組むべき課題ではなくなりつつあります。セキュリティ対策が手薄なメーカー関連企業や、商品サプライヤーなどの取引先企業(サプライチェーン)を経由して、ターゲット企業への不正侵入を企てる「サプライチェーン攻撃」が昨今大きな問題となっているからです。
また、サイバー攻撃の手口が多様化していることも重要なポイントです。「サプライチェーン攻撃」は大規模なサプライチェーンを構築している業界ほどリスクが高まります。大規模なサプライチェーンを擁する自動車業界を例にすると、車両を遠隔操作できる手口が存在する(※3)ことも明らかになっています。
これまでサイバー攻撃の対象とならないと思われていた業種や業態であっても、ネットワークに接続された機器を使用している企業は、こうした攻撃を防ぐための手立てを講じておく必要があるでしょう。中小企業にとってサイバー攻撃や不正侵入は決して対岸の火事ではなく、各社が早急に対策を講じるべき重要な課題となっているのです。
(※3)出典:J-STAGE「自動車を取り巻くIoTセキュリティーとその課題」|名古屋大学 大学院情報学研究科附属組込みシステム研究センター特任准教授倉地亮
情報セキュリティ被害事例
続いては、情報セキュリティ対策の不備によって起きた被害事例をご紹介します。どのような被害が起こるのかを把握し、自社のセキュリティ対策強化への参考にしてください。
標的型攻撃メールによる被害
標的型攻撃とは、攻撃者が何らかの悪質な意図を持って、特定の企業、個人の情報資産などを狙うサイバー攻撃です。無差別ではなく、価値の高い情報を持った相手を選別して狙うところに特徴があり、綿密な計画にもとづいた攻撃であることが多いとされます。
標的型攻撃の手口としてよく使われるのがメールです。メールに記載したURLや添付ファイルなどを起点としてマルウェアに感染させたり、フィッシングサイト(攻撃者がユーザーの個人情報を不正に入手するために用意された偽サイト)へ誘導したりします。
マルウェア感染後は個人情報・機密情報の抜取や、不正な動作によるデータ破壊などが起こる可能性があります。
標的型攻撃メールによる被害では、従業員の業務用アドレスあてに100通を超えるメールが送られ、うち数通の添付ファイルが開かれたりURLがクリックされたりしたことによって、大規模な個人情報流出につながった例があります。
この例では、特定の拠点の従業員あてに、関係者を装った巧妙なメールが送られていました。
ランサムウェアの感染による被害
ランサムウェアは、前述したマルウェアの一種で、感染させたコンピュータのデータを暗号化するなどして利用できない状態にした上で、元に戻すことと引換に身代金を要求する手口です。
独立行政法人情報処理推進機構が公表した「情報セキュリティ10大脅威 2023」(※4)では、組織向け脅威のトップに「ランサムウェア」が挙がっています。
2021年、国内の病院にランサムウェア攻撃があり、電子カルテが暗号化されて閲覧できなくなる事件がありました。診療報酬計算や電子カルテ閲覧のための基幹システムも利用不能になり、当該病院は新規患者の受入を一時停止せざるをえませんでした。
また、2022年には、自動車製造企業の関連取引先にランサムウェアの被害が出たことで、自動車製造企業の生産ラインが停止してしまうという事態も発生しています。
(※4)出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2023」
サイト改ざん・不正アクセスによる被害
悪意の第三者によって、ウェブサイトに管理者の意図しない変更が加えられることをサイト改ざんといいます。また、本来アクセス権限を持たない者が、社内システムや情報システムの内部へ侵入を行う行為を不正アクセスといいます。
ある組織のウェブサイトで、顧客ごとの専用ページである「マイページ」が改ざんされており、不正アクセスにより入力された氏名や住所などが攻撃者の手に渡る被害がありました。
情報セキュリティ対策に取り組む際のポイント
情報セキュリティの被害事例を踏まえた上で、情報セキュリティ対策のポイントを確認しましょう。情報セキュリティ対策に取り組む際に押さえておくべきポイントは次のとおりです。
企業情報や顧客データを守る
まずは、ランサムウェアなどのマルウェア感染や、サイト改ざん、不正アクセスを防止するための対策を講じましょう。利用しているアプリケーションのバージョンを常に最新にする、社内システム上の不要なサービスを停止して攻撃者が狙える脆弱性を減らすなど、具体的な対策が必要です。併せて、マルウェア対策ソフトを導入するなど、パソコンやモバイルを情報漏洩から守ることも大切です。
従業員教育を行う
情報資産を守る上で、従業員の情報リテラシー向上は欠かせません。情報資産を守ることの重要性を社内で共有し、被害発生時の対処方法についても、事前議論しておくことが重要です。
コストや手間を抑えて、できるところから情報セキュリティ対策を
情報セキュリティに関しては万全の対策を講じておくのが理想ですが、今すぐにあらゆる脅威に対策を講じるのは難しいでしょう。それでも、無理のない範囲で、できるところから情報セキュリティ対策に取り組んでいくことが重要です。
後述する具体策を参考に、コストや手間を抑えて実践できることからぜひ取り組んでいってください。
セキュリティ対策サービス導入をご検討されている方は、こちらもご参照ください。
情報処理推進機構の情報セキュリティ対策情報を参照する
独立行政法人情報処理推進機構は、中小企業向けに「情報セキュリティ対策ガイドライン」を公開しました。中小企業が取り組むべき具体的な対策が「経営者編」「実践編」の2部構成でまとめられており、付録には自社の現状診断に活用できるチェックリストやリスク分析シートなども掲載されています。
情報セキュリティ対策を講じる上で必要とされる基本的な情報を確認する資料として、こちらを参照しながら対策を進めてみてはいかがでしょうか。
独立行政法人情報処理推進機構の情報セキュリティ対策情報については、「中小企業の情報セキュリティ対策ガイドライン」をご参照ください。
中小企業庁の情報セキュリティ対策情報を参照する
中小企業庁では、どのようなセキュリティ対策を講じるべきかをまとめたウェブサイト「中小企業の情報セキュリティ」を公開しています。中小企業が情報セキュリティ強化に取り組む際の手順を、わかりやすく4つのステップで解説しています。
中小企業庁の情報セキュリティ対策情報については、「中小企業の情報セキュリティ」をご参照ください。
日常における情報セキュリティの具体策
情報セキュリティ対策は、日常的に行うことが重要です。ここからは、具体的な情報セキュリティ対策の一例をご紹介します。
修正プログラム適用
社内システムやプログラム、OS、各種ソフトウェアは、修正プログラムを適用の上、最新バージョンに更新しておきましょう。
セキュリティソフトの導入と定義ファイルの最新化
パソコンや社内システムにはセキュリティソフトを導入し、ソフトの定義ファイルを常に最新にしておくことを忘れないでください。
パスワードの適切な設定・管理
パスワードは、大小英数字や記号を混ぜて、できる限り長い文字列で設定をします。1つのウェブサイトで使ったパスワードは、ほかのサイトで使い回さないようにしましょう。
定期的なバックアップ
データのバックアップは、外部記憶媒体に定期的に行う必要があります。運用データのバックアップを必ず行い、運用データとバックアップデータを保存した外部記憶媒体は、設置する場所を変えるのが望ましいです。
不要なサービスやアカウントの削除
外部から接続される社内システムを使ったサービスの中で、不要なものは停止・削除をしましょう。また、不要なユーザーアカウントがあれば、それらも停止・削除をしたほうが安全です。
情報持ち出しのルールを決定
パソコンやモバイルなど情報資産の入った機器を持ち出す際のルールを社内で決定し、情報漏洩対策を図りましょう。
社内ネットワークへの機器接続ルール徹底
マルウェア感染したパソコンや外部媒体などを社内ネットワークに接続することで、マルウェアをネットワーク内に拡散してしまうおそれがあります。社内ネットワークに接続する場合のルールは明確にしておき、周知徹底しましょう。社内ネットワークに接続する機器については、マルウェア対策がなされているか、脆弱性対策が実施されているかといった点も確認します。
不審なメールに注意する
メールの中には、フィッシング詐欺やマルウェア感染につながるURLが文面に含まれていたり、あやしいファイルが添付されていたりする場合があります。「おかしいな」と感じたら絶対に開封せず、すみやかに管理者に報告しましょう。
USBメモリは安易に接続しない
所有者がわからなかったり、他社から受け取ったりしたUSBメモリにも、マルウェア感染の危険は潜んでいます。外部記憶媒体を安易に接続するのは避けましょう。勝手に接続せず、必ず管理者の許可を取るようにしてください。
ソフトウェアをインストールする際は許可を取る
自分のパソコンに外部ソフトウェアをインストールして使いたい場合は、勝手にインストールせず、必ず管理者の許可を取りましょう。
パソコンなどのロック機能を活用する
第三者に簡単に利用されないよう、普段からパソコンやスマートフォンのロックを徹底しましょう。
パソコンの前を離れる際にデータを表示したままにしたり、スマートフォンのロックを解除したまま目の届かない場所に放置したりしないよう、十分に注意してください。
情報セキュリティ対策強化を推進しよう
企業の情報は、非常に重要な資産です。顧客や従業員の情報が漏洩すれば、何者かに悪用されるリスクがあるほか「情報漏洩した会社」として社会的な信頼を失います。また、サイバー攻撃により自社の業務が停止してしまう可能性もあるなど、情報セキュリティ対策の強化を図っていくことは非常に重要となっています。
SMBCグループが提供する「PlariTown」は、不正アクセス防止やマルウェア対策など情報セキュリティ対策強化に関するサービスをはじめとしたDX推進に関する多様なデジタルサービスや、業界ニュース・レポートといったビジネスに役立つ情報を、ワンストップで利用できるプラットフォームです。情報セキュリティ対策の一部をサービス提供者が担うSaaS形態のSFA(営業支援システム)、MA(マーケティングオートメーション)なども利用可能です。
情報セキュリティ対策やその更新にお困りの方は、ぜひ「PlariTown」の活用を検討されてはいかがでしょうか。