企業がとるべきセキュリティ強化の方法と知っておくべきリスク

  • セキュリティ
  • 強化
2023.07.14
企業がとるべきセキュリティ強化の方法と知っておくべきリスク

近年、企業は頻発するサイバー攻撃やセキュリティリスクへの対策に頭を悩ませています。本記事では、企業が実施すべきセキュリティの強化方法や対策を疎かにした場合のリスク、サイバー攻撃の具体的な手口について解説します。現状の脅威とリスクを押さえ、対策に役立ててください。

企業のセキュリティ強化が重要視されている要因

セキュリティの強化を図ることは企業における喫緊の課題です。なぜセキュリティ強化が必要なのか、サイバー攻撃によってどのような被害が発生する可能性があるのかについて解説します。

クラウドサービスの普及

クラウドサービスとは、インターネット接続環境を用意するだけで、さまざまなアプリケーションやストレージなどを利用できるサービスのことです。クラウドサービスには個人向けのもののほか、企業向けのものも多く提供されており、実際数多くの企業が業務にクラウドサービスを導入・活用しています。

総務省の「令和4年 情報通信に関する現状報告の概要」によると、クラウドサービスを利用している企業は2017年時点では「全社的に利用している」「一部の事業所又は部門で利用している」の合計で56.9%でしたが、2021年には70.4%までに増加しています。「利用していないが、今後利用する予定がある」企業を含めると80%に達します。企業におけるクラウドサービスの主な利用内訳はファイル保管・データ共有や電子メール、社内情報共有・ポータルなどです。クラウドサービスを利用することにより、30.4%の企業が「非常に効果があった」、57.7%の企業が「ある程度効果があった」と回答しています。

多くのメリットがあり、すでに企業での利用も一般的になりつつあるクラウドサービスですが、セキュリティに関しては注意する必要があります。総務省もクラウドサービスの利用におけるセキュリティ強化の必要性については注意を喚起しています。クラウドサービスのセキュリティ対策やサポートはサービス提供者が行うため、利用する際には万全な対策を採っているサービス提供者を選ぶことが重要です。

参照元:総務省「令和4年 情報通信に関する現状報告の概要」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf306000.html#d0306220

サイバー攻撃における手口の巧妙化

サイバー攻撃における手口の巧妙化

近年、企業や政府機関などを対象にしたサイバー攻撃が頻発し、被害が深刻化しています。企業で利用しているシステムやネットワークは、常にサイバー攻撃の脅威にさらされているといっても過言ではありません。

以下では、DDoS攻撃やランサムウェアなどの主要サイバー攻撃の手口について解説します。複雑化かつ巧妙化するサイバー攻撃の特徴について理解しておくことは大切です。

DDoS攻撃

DoS攻撃(Denial of Service Attack:サービス拒否攻撃)は企業のサーバーやWebサイトに大量の負荷をかけて攻撃する手法です。さらに、DoS攻撃よりも大規模で、より悪質なDDoS攻撃(Distributed Denial of Service Attack:分散型サービス拒否攻撃)も頻繁に行われます。
一般的にDoS攻撃が1台のコンピュータからサイバー攻撃を行うのに対して、DDoS攻撃では複数のコンピュータから一斉にサイバー攻撃を仕掛けてきます。DDoS攻撃では、攻撃者と関連のない複数のコンピュータが使われるため、攻撃者の特定が難しく、対策も困難です。

これらの攻撃により大量の負荷がかけられたサーバーやWebサイトは、重度のアクセス遅延が生じます。結果、サービスの提供を維持することが難しくなったり、ときにはシステム自体が停止してしまったりします。

ランサムウェア

ランサムウェアは、ユーザーが使用しているコンピュータにウイルスを感染させてデータを暗号化し、使用できなくなったデータを復旧する代わりに身代金を要求するサイバー攻撃です。ランサムウェアとは、英語の身代金である「Ransom」とソフトウェアの「ware」とを組み合わせた造語です。従来は、メールなどをばらまき、広範囲の不特定多数に向けて攻撃を行っていました。ただ近年では、ターゲットにした企業や政府機関などのネットワークに侵入し、対象ネットワーク内のユーザーに攻撃を仕掛ける手口に変わってきています。併せてバックアップからのデータのリストアを阻止するため、バックアップサーバーも攻撃対象とします。

ランサムウェアは検知されにくく、検知されたときにはすでに手遅れになっている場合があります。高額な身代金を払っても、攻撃者が必ずデータを復旧する保証はありません。加えて新たな手口としては、データを盗んで暗号化するだけでなく、身代金を支払わなければ盗んだデータを少しずつ世間に公開すると脅す「二重の脅迫」も知られています。

標的型攻撃

標的型攻撃は、特定の企業や組織などをターゲットにしたサイバー攻撃で、電子メールを介した方法が多用されます。攻撃者の目的は顧客情報やアカウント情報を盗んで改ざんすることです。攻撃者はウイルス感染させたファイルや不正プログラムなどを添付した電子メールを送信し、企業のネットワークへの侵入を試みます。添付ファイルではなく、メール本文にURLが記載されていることもあり、文面で誘導してURLへのアクセスを促します。

注意すべきことは、一見問題のない普通のメールを送信することで、攻撃が行われる点です。攻撃者は顧客や取引先を装ったり、業務や役職に関わる内容を記載したりする工夫を施しています。メール受信者に警戒を怠らせることが狙いです。
受信者が例えば添付ファイルを開いてしまうことで、そこに仕込まれていた不正プログラムが感染し始めます。すると企業・組織内のネットワークを介して、感染は瞬く間に各コンピュータへ拡大します。特に電子メールに添付された不正プログラムについては、市販のウイルス対策ソフトでは検知が難しい場合があることを知っておきましょう。

不正アクセス

不正アクセスとは、攻撃者が企業や組織のサーバーやシステムに不正ログインして機密情報を盗み、データの改ざんなどを試みるサイバー攻撃です。企業だけでなく、個人もターゲットとなります。
攻撃者はIDやパスワードを盗用し、プログラムの脆弱性を悪用してサーバーに侵入します。個人情報の漏えいによってクレジットカードが悪用されたりする恐れもあり、企業に及ぶ被害は甚大です。個人情報が改ざんされる場合もあり、攻撃を受けた企業はサービスの停止を余儀なくされる場合もあります。IDやパスワードを見破られやすいものにしたり、使い回したりすることは、不正アクセスの被害を受けやすくなることにつながります。ただし、不正アクセスの手口は日々進化しており、IDやパスワードを頻繁に変えたとしても万全とは言えません。

企業がとるべきセキュリティ強化の方法

企業がとるべきセキュリティ強化の方法

多くの企業では業務上の必要からインターネットを利用しており、サイバー攻撃を受ける可能性は常に存在します。上述したサイバー攻撃の脅威に企業が対抗するためには、セキュリティを強化する必要があります。以下で、望ましいセキュリティ強化の方針や方法について解説します。

情報セキュリティポリシーの策定

情報セキュリティポリシーとは、企業や組織の情報資産を守るためのセキュリティ対策の方針や行動指針のことです。情報資産の守り方についての考え方や、情報セキュリティの運用規定・対策基準、機密情報の取り扱い方などが具体的に明文化されています。
セキュリティの強化を図るためには、まず適切な情報セキュリティポリシーを策定する必要があります。情報セキュリティポリシーは、企業や組織の構成、業務形態、システムなどに応じて定める必要があるため、内容はそれぞれの企業独自のものとなります。策定した情報セキュリティポリシーを外部に公開することにより、従業員のセキュリティ意識が高まるだけでなく、顧客企業やユーザーなどからの信頼も高まります。

ただし、情報セキュリティポリシーを策定するだけでは十分ではありません。従業員に周知徹底し、遵守させる必要があります。情報セキュリティポリシーの策定までのプロセスや導入、運用に従業員が関わることで、従業員のセキュリティ意識を向上させることにもつながります。
同時に、ポリシー違反の罰則なども社内で理解を根付かせる必要があります。策定した情報セキュリティポリシーを適切に運用し、全社的にセキュリティが強化されるよう努めることが重要です。

情報セキュリティ教育

次のセキュリティ強化施策は、従業員に対して情報セキュリティ教育を実施し、セキュリティに関する知識や意識を向上させることです。サイバー攻撃の種類や手口、不審な電子メールが送信された際の対応などを、すべての従業員が理解しておきます。この状況整備により被害を防止し、万が一被害が発生した場合でも、損害の範囲を最小限に抑えられるようにします。

情報セキュリティ教育を実施するにあたっては、従業員向けの研修やセミナーの開催、eラーニングの義務化などの取り組みが重要です。研修やセミナーなどは、数か月おきなど定期的に実施することで、最新の知識や情報を得られるようにします。新たなサイバー攻撃の手口やセキュリティリスクが発覚したタイミングで、従業員への情報通達も行う体制を築いておけばなお効果的です。

企業側が知識を与えるだけでなく、従業員が本当に理解しているのかを確認するシステムも必要です。定期的にテストなどを実施して知識の定着度合いを把握し、不足している知識があれば、それを補う講習やセミナーを受講してもらいます。これらを通して、従業員自身に情報セキュリティについての高い意識を維持してもらうことが、企業のセキュリティ強化策として重要です。

ルールやマニュアルの整備

三つ目のセキュリティ強化施策が、ネットワーク機器やIT機器を扱う際のルールやマニュアルを明確化し、従業員に周知することです。上述した情報セキュリティ教育はもちろん必要ですが、ルールがわからなくなったなどのときに、すぐに確認できるマニュアルを整備しておくことも重要です。企業内での情報セキュリティ対策担当者を決め、ルールやマニュアルを作成します。

インターネット利用時のルールは特に厳格に定める必要があります。「見覚えのない件名や差出人からの電子メールは開かない」「業務に関係のないWebサイトは閲覧しない」といったルールを作り、従業員に遵守させます。SNSへの書き込みルールを明確化し、使用するコンピュータも限定します。

「問題が発生してしまった場合や発生が懸念される場合には、速やかに担当者へ知らせる」といったルールを作り、周知します。災害・事故発生時の対応なども事前に周知しておけば、対応や復旧を迅速に行えます。

企業側では、従業員のアクセス履歴を確認したり、アクセス制限を行ったりといった施策を実施します。日々発生する新たなセキュリティリスクに対応するためには、ルールやマニュアルを適宜、更新する必要があります。ルールやマニュアルを整備して従業員が情報や知識を共有することにより、セキュリティリスクを低減できます。

セキュリティソフトの導入

サイバー攻撃やウイルス感染のリスクを抑えるには、有用なソフトやツールの導入が効果的です。ウイルス感染を防ぐ機能が搭載されたセキュリティソフトやアンチウイルスソフトの導入が四つ目のセキュリティ強化施策です。実際、多くの企業でセキュリティソフトやツールを導入しています。

企業で導入するなら、無料配布されているセキュリティソフトよりも、実績のある企業が有料提供しているソフトが推奨されます。セキュリティソフト購入に一定の費用はかかり、定期的に契約更新料などを要する場合もありますが、被害発生時の損失を考えれば安価です。ただし、セキュリティソフトを導入しただけで安心せず、ほかの対策も怠らないようにしましょう。

OSやソフトウェアの更新

五つ目のセキュリティ強化施策はOSやその他ソフトウェアを更新することです。購入したOSやセキュリティソフトは無料でアップデートできる場合が多く、常に最新のバージョンに保つようにします。
サイバー攻撃を仕掛けてくる攻撃者は、システム・ソフトウェアの脆弱性を狙います。自社のOSやセキュリティソフトが古いままでは、そうした脆弱性をカバーできません。したがってソフトウェアのアップデートは、セキュリティ施策としても重要です。

現行のOSや各ソフトウェアにセキュリティ上の問題が見つかった場合も、更新プログラムを適用することでそれらを修正します。使用しているOSやソフトウェアは自動アップデートに設定するなどして、脆弱性を狙う攻撃を防ぎます。
OSやソフトウェアのアップデートに加えて、データのバックアップも重要です。万が一、サイバー攻撃の被害に遭っても、情報資産を守れるように定期的にバックアップを取ります。またバックアップデータは、複数の(オンライン)ストレージに分散保存しておくことをおすすめします。

セキュリティ強化を怠ることによって生じるリスク

セキュリティ強化を怠ることによって生じるリスク

次に、セキュリティの強化を怠ることによって発生し得るリスクや被害について解説します。

企業としての信用の失墜

顧客情報をはじめとする企業の情報資産が、外部へ漏えいするおそれが生じます。サイバー攻撃を受けて、万が一顧客情報などが漏えいすると、その企業に対する信頼やブランドイメージは大幅に低下します。加えて「情報資産の管理が不十分な企業」というイメージが付与されやすくなり、顧客や社会全体からの信用が損なわれます。

サイバー攻撃によってシステムや提供するサービスが停止した場合には、顧客や取引先が離れてしまい、売り上げにも大きな影響が出ます。もちろん新規顧客・取引先の開拓にも大きな困難をともないます。一度失われてしまった信頼を取り戻すことは容易ではありません。長期間にわたって信用を回復できずに売り上げが低迷すれば、企業として存続することが難しくなり、倒産に追い込まれる可能性さえあります。

経済的な損失

セキュリティの脆弱性を突かれることで企業が失うのは、イメージや信用だけではありません。損害賠償を請求されたり、刑事罰を科されたりすることもあり、企業が被る経済的な損失は実に大きなものになります。

顧客情報・社員情報などの個人情報が漏えいした場合には、個人情報保護法に基づいて罰金あるいは罰則が科される可能性があります。2020年4月に施行された改正個人情報保護法では、罰金の最高額や措置命令・報告義務違反の罰則について法定刑が引き上げられています。さらに、顧客が民事訴訟を起こして損害賠償請求される可能性もあります。情報漏えいの原因や被害状況の調査、事態収束のための費用なども必要で、企業が被る経済的損失は計り知れません。

なりすましやWebサイトの改ざんなどの二次被害

不正アクセスなどのサイバー攻撃を受けてIDやパスワード、住所・氏名などの個人情報が漏えいしたことにより、なりすましなどの二次被害が発生する可能性もあります。漏えいした個人情報を使い顧客になりすました犯罪者により、クレジットカードが不正利用されたり、金銭が盗まれたりする状況も想定しなくてはなりません。
なりすましのほかにも、Webサイトの改ざんやアカウントの乗っ取り、詐欺などでの個人情報の悪用、感染したコンピュータを踏み台にした別のサイバー攻撃など、さまざまな二次被害が予想されます。被害が拡大すれば、事態の収束や対応に相当なリソースを割かなければならず、本来の業務が停滞してしまいます。

あなたの会社は大丈夫? マルチクラウド・ハイブリッドクラウドの落とし穴

多くの企業が業務の効率化や多様な働き方の実現に向けて、クラウドサービスを導入しています。提供されるサービスによって機能はさまざまであり、企業の各部門がそれぞれ独自で個別のサービスを導入することもめずらしくありません。クラウドサービスに対するニーズが高まるなかで、いま注目を集めているのがマルチクラウドやハイブリッドクラウドです。

マルチクラウドとは、複数のクラウドサービスを組み合わせて最適なクラウド環境を構成し、業務の効率化を図る方法であり、ハイブリッドクラウドは複数のサーバーを組み合わせて、ひとつのクラウド環境を構成するモデルです。マルチクラウド・ハイブリッドクラウドを利用することで、リスク分散を期待できますが、一方でセキュリティ強化は難しくなります。マルチクラウド・ハイブリッドクラウドでは、サービスの提供者によってセキュリティ基準がまちまちだからです。マルチクラウド・ハイブリッドクラウドの管理・運用は決して容易なものではありません。

まとめ

情報セキュリティの課題解決には、Y2S/Acronisの提供する「Acronis Cyber Protect Cloud」がおすすめです。株式会社Y2Sは、顧客のシステムやサービスの運用監視、システム設計構築などをサポートする企業です。

Acronis Cyber Protect Cloud」は、Y2SのパートナーテナントAcronisが提供するセキュリティ対策とデータ保護を一括で解決するサービスで、サイバー攻撃の検知・防御・修復や脆弱性スキャンを実現し、データのバックアップおよび復元に対応しています。あらゆる環境のシステムやデータを保護することが可能です。情報漏えい対策などの標準機能のほかは従量課金で利用でき、デバイスごとに強化機能が適用されます。

障害対応や運用管理において重要なのは、技術的なスキルだけではありません。業務効率化やコスト削減を図り、ビジネスに貢献するにはどうすればよいのかを常に意識しておく必要があります。日々の問題や課題に対して対策を考え、着実に実行していくことこそが大切です。