昨今、多くの企業の業務においてサーバーやパソコンなど端末、アプリやシステムが深く関わっています。万が一、そうしたIT基盤がサイバー攻撃により機能しなくなると業務に深刻な影響を与えるだけに、企業としてこうしたセキュリティリスクは無視できない問題です。
この記事では、セキュリティリスクを正しく把握し、適切に対策できるよう考えられるリスクや、すぐ試せるチェックツール、具体的な対策について詳しく解説します。「我が社のセキュリティは大丈夫?」と少しでも不安な方に、ぜひ一読いただきたい内容です。
セキュリティリスクとは?
セキュリティリスクとは「情報セキュリティを損ねる要因」を指します。そこには主に外的と内的の2つの要因があり、適切に対策するためには両方とも知ることが欠かせません。
【外的要因】標的型攻撃
近年、もっとも警戒されているサイバー攻撃のひとつが標的型攻撃です。企業や民間団体、官公庁など特定の組織を標的に、情報盗取を目的とした攻撃です。主な手口としては、関係機関を装ったメールが送られてきて、添付ファイルやURLを開くとマルウェアに感染し、情報漏えいしてしまう、というものです。企業も対策してはいますが年々、手口が巧妙化しているので、「添付ファイルは開かない!」だけでは防げなくなっています。
【外的要因】脆弱性を狙った攻撃
アプリやクラウドサービスなどのセキュリティ上の脆弱性を狙った攻撃にも注意が必要です。セキュリティ上の脆弱性とはプログラムの不具合や設計ミスのことで、この脆弱性をそのままにしていると不正アクセスに利用されたり、ウイルス感染したりする危険があります。当然、開発元も発見しだいプログラム修正で対策してはいますが、修正したことでまた新たな脆弱性が生まれることもあるので完全に対策を施すのは困難です。
【外的要因】予期せぬIT基盤の障害
外部からの攻撃がすべての要因ではないのですが、何らかの攻撃、不具合により業務システムやクラウドサービスなどのIT基盤に予期せぬ障害が発生することがあります。昨今、どこの企業も何らかのIT基盤に依存しているため、わずかな時間でもそのIT基盤に障害が発生すると業務に支障をきたし、サービスを提供できなくなることに……。ひいては顧客からの信頼を失い、大きな損失を負うことにもつながりかねないわけです。
【内的要因】内部不正による情報漏えい
実は、情報漏えいは内部不正によるものも珍しくありません。内部不正とは企業に所属する社員や、元社員らが故意にサービスや、顧客情報を漏えいさせることです。IPA 情報処理推進機構「情報セキュリティ10大脅威 2021」によると、「内部不正による情報漏えい」は組織カテゴリで6位、前回は2位を記録していました。(※1) 「関係者がそのようなこと……」と対策していないと、万が一が起きる可能性は十分にあるわけです。
【内的要因】うっかりによる情報漏えい
故意ではないにせよ、社員のついうっかりによる情報漏えいのリスクもあります。例えば、顧客とのメールに機密情報の含まれるファイルを添付してしまったり、自宅で作業するために業務用のUSBを持ち帰ったところ紛失してしまったり。これらは社員一人ひとりの情報リテラシーの低さによって起こることが大半です。ひいては社員の管理、教育を担っている企業の責任も追及され、顧客から信用を失うことにもつながります。
【内的要因】テレワークへの対策不足
近年、テレワークを導入する企業が増えたことで、テレワークへの対策不足を標的にした攻撃もまた増えています。IPA 情報処理推進機構「情報セキュリティ10大脅威 2021」によると、「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たに3位にランクインしたほど。(※1) オフィス内では万全のセキュリティ対策を講じていても、社員それぞれの自宅の回線、個人の端末までは不十分という企業が多いためです。
情報セキュリティ10大脅威 2021
順位 | 組織編 | 昨年順位 |
---|---|---|
1位 | ランサムウェアによる被害 | 5位 |
2位 | 標的型攻撃による機密情報の窃取 | 1位 |
3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | NEW |
4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
5位 | ビジネスメール詐欺による金銭被害 | 3位 |
6位 | 内部不正による情報漏えい | 2位 |
7位 | 予期せぬIT基盤の障害に伴う業務停止 | 6位 |
8位 | インターネット上のサービスへの不正ログイン | 16位 |
9位 | 不注意による情報漏えい等の被害 | 7位 |
10位 | 脆弱性対策情報の公開に伴う悪用増加 | 14位 |
※1 IPA 情報処理推進機構「情報セキュリティ10大脅威 2021」
https://www.ipa.go.jp/security/vuln/10threats2021.html
今すぐ試せるセキュリティチェックツール
外部と内部にセキュリティリスクがあるなか、企業としてどのような対策を、どこまで講じればいいのか。その判断に、以下のようなセキュリティチェックツールが有効です。
Google:セキュリティ診断
Googleアカウントに関連するサービスのセキュリティをチェックし、問題があれば推奨の対策まで教えてくれるツールです。(※2) 使い方はサイトにアクセスするだけ。企業、個人どちらのアカウントもチェックできるので、ぜひ一度試してみてください。
※2 Google「セキュリティ診断」
https://myaccount.google.com/security-checkup
IPA:ここからセキュリティ!
IPAが運営するポータルサイトです。(※3) 警視庁のような公的機関、トレンドマイクロやJNSAなどが提供する情報セキュリティ関連のサービスがまとめられています。クイズやチェックシート形式のものが多く、社員の情報リテラシー教育にも便利です。
※3 IPA 情報処理推進機構「ここからセキュリティ!」
https://www.ipa.go.jp/security/kokokara/quiz/
IPA:5分でできる!情報セキュリティ自社診断
IPAが提供するチェックシートです。(※4) 25の診断項目に答えるだけで、セキュリティ対策のレベルを数値化、点数に応じた対策を示してくれます。さらに、次のステップとして「中小企業の情報セキュリティ対策ガイドライン」も用意されています。
※4 IPA 情報処理推進機構「5分でできる!情報セキュリティ自社診断」
https://www.ipa.go.jp/security/keihatsu/sme/guideline/5minutes.html
LAC WATCH :自診くん
LACが提供する無料の自己診断サービスです。(※5) サイトにアクセスしたら利用規約に同意し、診断項目を選択して「診断スタート(ボタン)」を押すだけ。端末がサイバー攻撃に悪用される恐れのある通信に晒されているのかチェックしてくれます。
※5 LAC WATCH「自診くん」
https://jisin.lac.co.jp/
NTTコムウェア:STC診断
NTTコムウェアが提供する診断ツールです。(※6) 30の問いに答えるだけで、セキュリティ・テレワーク・コミュニケーションの3つの達成度を診断できます。とくにシステム担当や管理職へのセキュリティリスクの啓蒙に役立ちます。詳細なレポートをダウンロードすることが可能で、組織内における現在のリスクと改善目標の共有に役立てることができます。
※6 NTTコムウェア「STC診断」
https://www.nttcom.co.jp/dscb/stc/index.html
企業が今すぐ取るべきセキュリティ対策
セキュリティチェックツールでどこにセキュリティリスクがあるのかを把握したら、次はその対策を講じていきます。具体的に企業が今すぐ取るべき対策は、以下の通りです。
セキュリティソフトの導入
とくにウイルス感染や不正アクセスなどに対しては、セキュリティソフトが有効です。サーバーをはじめ、パソコンやスマホ、タブレットなどすべての端末にセキュリティソフトを導入しましょう。そして、ソフトがつねに最新の状態になるよう定期的にバージョンを確認し、最新のものが公開されていたらその都度、アップデートしておきます。
パスワードの適切な設定と管理
業務に関わるアプリやクラウドサービスなどのパスワードは可能な範囲で複雑、かつ長い文字列にしましょう。同じパスワードを複数のサービスで使い回していると、1つのサービスから情報漏えいしたときに、ほかのサービスまで不正アクセスされるリスクがあるためです。また、定期的に変更するとよりセキュリティレベルを高められます。
修正プログラムの適用
システムの脆弱性が狙われないよう、サーバーやパソコンなどのOS、ルータやスイッチなどのファームウェア、そのほか業務に関わるサービスのバージョンはつねに最新になるよう更新しましょう。ただし、バージョンを更新したことで不具合の発生する事例もあるので、端末が複数あるなら1つ試して、問題なければほかも更新するのが安心です。
情報持ち出しルールの徹底
社員が業務用の端末、データを持ちだす際のルールも明確にしておきます。例えば、端末を持ちだすときは期間と目的を提出させたり、持ちだし中も業務以外で使わないよう厳命したり、万が一に備え、端末やデータには適切な暗号化を施すことも必要です。そしてこれらルールは社員に周知徹底し、適切に運用されているのかまで追跡します。
社内ネットワークへの機器接続ルールの徹底
端末のバージョンが最新なのかや、適切にウイルスチェックされているのかなど社内ネットワークに接続するときのルールも明確にします。これは社内のもの、個人のものに限らず、パソコンやスマホなどの端末にはつねにウイルス感染のリスクがあり、万が一、感染した端末を社内ネットワークに接続すると拡散されるリスクがあるためです。
テレワークに必要な環境を企業が用意
テレワークで社員が使用する端末にも注意が必要です。企業が端末を貸与し、端末が適切に使用されているのか定期的にチェックするなどの対策を行っている企業もあります。また、テレワークを導入する企業のなかには社員が個人端末で作業している例もありますが、上記にあげたようにセキュリティソフトの使用や家庭内のネットワーク機器のファームウェアの更新など、適切な対策を行うよう情報共有する必要があります。また、クラウド上にPC環境を構築して社員の端末からはクラウドにアクセスしてサーバ内だけでPC作業を行う仮想デスクトップ(VDI)も、テレワークのセキュリティ対策として有効です。ご興味がある方は、ぜひ仮想デスクトップ(VDI)に関するコラムもチェックしてみてください。
スマートデバイスにセキュリティ対策、テレワークには仮想デスクトップ(VDI)
https://www.nttcom.co.jp/dscb/column/detail22/
仮想デスクトップならBYODも安心の理由
https://www.nttcom.co.jp/dscb/column/detail11.html
セキュリティ対策にはフルマネージドセキュリティ
ソフトの導入やルールの徹底など個々に対策することは重要ですが、すべて社内で済ませるのは大変なもの。そこで、活用を検討したいのがフルマネージドセキュリティです。
フルマネージドセキュリティとは
フルマネージドセキュリティとは回線からネットワーク機器、サーバーまでの管理や、各種セキュリティ監視と24時間365日の障害検知、万が一の復旧対応など、本来、自社内でするべき業務の一部、あるいはすべてをアウトソーシングできるサービスです。
フルマネージドセキュリティのメリット
- 本来の業務に集中できる
- サーバー管理の技術がなくていい
フルマネージドセキュリティを活用し、専門の事業者に管理の大半を任せることでサーバー管理にかかる人員を配置したり、技術を蓄積したりする必要がなくなります。つまり、企業はサービスの開発、顧客開拓など本来の業務にのみ集中できるわけです。
フルマネージドセキュリティのデメリット
- 委託するためのコストがかかる
- メンテナンスも事業者判断で実施される
一方で、サーバー管理の大半を専門の事業者に委託するため、そのコストはかかります。ただ、自社で人員を配置するコストと比べると、委託した方が安いのが大半です。また、メンテナンスも事業者と事前に取り決めておけばトラブルも少なくてすみます。
なお、フルマネージドセキュリティならNTTグループ23万人での運用経験と、最新の技術を組み合わせたNTTコムウェアの「s-WorkProtector」がおすすめです。
NTTコムウェア「s-WorkProtector(エス・ワークプロテクター)」
https://www.nttcom.co.jp/dscb/sworkprotector/index.html
まとめ
サーバーやパソコンなどの端末、そこで使用されるシステムは今や、業務に欠かせないものばかりです。万が一、それらIT基盤がサイバー攻撃によって機能を停止したり、社員のついうっかりによって情報漏えいしたりすると、甚大な損害につながる恐れがあります。
だからこそ、そのような事態になる前に、企業には現状のセキュリティリスクがどれほどなのかチェックして、適切な対策を講じておくことが欠かせません。反対に、現状を正しく把握し、適切な対策を講じてさえいれば安心して日々の業務に集中できるわけです。
そのためにも、ぜひまずはセキュリティチェックから実施してみましょう。NTTコムウェア「STC診断」をはじめ、ここでご紹介したツールはどれも無料で利用できます。
よくある質問
- セキュリティチェックは必要?
-
適切なセキュリティ対策を実施するには、現状を把握することが欠かせません。セキュリティチェックはその第一歩ですので、実施されることをおすすめします。なお、セキュリティチェックは社員とともに実施することで情報リテラシー教育にも役立ちます。
- セキュリティ対策で大切なことは?
-
前提として、経営陣から管理職、一般の社員に至るまで全員が正しい知識を身につけることです。せっかくセキュリティ対策に前向きでも、知識に誤りがあると効果的な対策を施せません。セキュリティ知識はその都度、最新の情報を共有するようにしましょう。
- セキュリティの専門職は配置すべき?
-
社内にセキュリティの専門知識、技術をもつ人材がいると理想的ではあります。しかし、専門職の配置にはコストがかかりますし、基本の対策であれば一般の社員だけでも可能です。また、より高度な対策は、専門の事業者に委託するという選択肢もあります。