近年テクノロジーやビジネス環境の変化に伴い、大切な情報資産が様々な脅威にさらされています。脅威から守り、安全な環境を維持するためにはしっかりとしたセキュリティ対策を講じることが必要です。必要だとわかってはいるけど何から始めていいかわからない、そんな方に安全な環境を構築するための効果的なセキュリティ対策の始め方をご紹介します。
01 セキュリティ対策の重要性
セキュリティ対策が必要な理由は多岐にわたります。近年のサイバー攻撃はフィッシング、ランサムウェア、標的型攻撃など様々な手法が用いられ、個人や企業が保有する情報が狙われています。また、外部だけでなく内部の脅威も潜んでいます。
侵害を受けてセキュリティインシデントが発生すると、業務が停止する危険性があるだけでなく、利益の損失や顧客の信頼を失うリスクも生じるため、企業イメージが大きく損なわれることにもなりかねません。
これらのリスクを避けるためにも、セキュリティ対策を講じることは非常に重要だといえます。
NICTERにおけるサイバー攻撃関連の通信数の推移
※総務省㏋より(出典:国立研究開発法人情報通信研究機構「NICTER観測レポート」を基に作成)
企業における情報通信ネットワーク利用の際のセキュリティ侵害
※総務省HPより(出典:総務省「通信利用動向調査」)
サイバーセキュリティに関する問題が引き起こす経時的損失
| 調査・分析の実施主体 | 対象地域 | 対象期間 | 経済的損失の概要 | 損失額 |
|---|---|---|---|---|
| トレンドマイクロ | 日本 | 2023年 [調査時期] |
過去3年間でのサイバー攻撃の被害を経験した法人組織の累計被害額の平均 | 1億2,528万円 |
| 警察庁 | 日本 | 2023年上半期 | ランサムウェア被害に関連して発生した調査・復旧費用の総額 | 26%が100万円未満 19%が100万~500万円未満 25%が500万~1,000万円未満 23%が1,000万~5,000万円未満 8%が5,000万円以上 |
| FBI | 米国 | 2022年 | サイバー犯罪事件による被害報告総額 | 102億ドル |
| NFIB | 英国 | 2022年 | サイバー犯罪による被害報告総額 | 560万ポンド |
| Sophos | 世界14か国 | 2023年 | 直近のランサムウェア攻撃の修復に要した1組織あたりの年間平均コスト | 182万ドル |
| IBM | 世界16か国 | 2023年 | 組織における1回のデータ侵害に係る世界平均コスト | 445万ドル |
| Cybersecurity Ventures | 世界 | 2025年 [予測] |
サイバー犯罪によるコスト | 10兆5,000億ドル |
| Fastly | 米国、欧州、アジア、太平洋地域 | 2023年 | サイバー攻撃を受けた企業の損失 | 過去12ヶ月間収益の9% |
02 セキュリティ対策の始め方
まずはチェックリストを使って、現時点での対策状況を確認してみましょう。
セキュリティチェックリスト
| ① パスワード管理 | |
| □ | 強力なパスワードを作成する。 (大文字、小文字、数字、記号を組み合わせた12文字以上のパスワード) |
| □ | 同じパスワードを複数のサービスで使い回さない。 |
| ② ソフトウェアとシステムの更新 | |
| □ | オペレーティングシステムとソフトウェアを最新の状態に保つ。 |
| □ | 自動更新機能を有効にする。 |
| ③ ウイルス対策ソフトウェア | |
| □ | 信頼できるウイルス対策ソフトをインストールする。 |
| □ | 定期的なスキャンを実施する。 |
| ④ ネットワークセキュリティ | |
| □ | Wi-Fiルーターのパスワードを変更し、強力なパスワードを設定する。 |
| □ | WPA2またはWPA3暗号化を利用する。 |
| □ | ゲストネットワークを設定して、メインネットワークから分離する。 |
| ⑤ バックアップ | |
| □ | 重要なデータのバックアップを定期的に行う。 |
| □ | バックアップデータをクラウドストレージや外部ハードディスクに保存する。 |
| ⑥ フィッシング対策 | |
| □ | メールやメッセージのリンクをクリックする前に送信者を確認する。 |
| □ | 知らない送信者からのメールは開かない。 |
| □ | 不審なウェブサイトにアクセスしない。 |
| ⑦ 教育と意識向上 | |
| □ | 自分自身や社員に対してセキュリティ教育を実施する(オンラインコースやウェビナーなど)。 |
| □ | セキュリティ関連の最新情報を定期的にチェックする。 |
| ⑧ 二要素認証(2FA) | |
| □ | 可能なサイトでは二要素認証を有効にする。 |
| □ | 認証アプリやSMSでの確認を設定する。 |
| ⑨ デバイスのセキュリティ | |
| □ | デバイスのロック画面を設定する(PINやパスコード)。 |
| □ | デバイスに紛失や盗難対策アプリをインストールする。 |
| ⑩ 内部脅威への対策 | |
| □ | アクセス権限を適切に設定し、必要な人だけにアクセスを許可する。 |
| □ | 重要な情報にアクセスする人を定期的に確認する。 |
対策状況はいかがでしたか?
実施していない項目の対策を講じることから始めてみましょう。
03 継続的なセキュリティリスク管理
セキュリティに関する脅威は常に変化し、新しい脆弱性や攻撃手法が生み出されています。また、インシデントが発生すると多大なコストが発生することも少なくありません。そのため、セキュリティ対策は一度設定したら終わりではなく、持続的な対策と改善を行うことも大切です。
継続的なリスク管理をすることで、最新の脅威に迅速に対応したり、インシデント発生の可能性を低減したりすることができます。チェックリストを使ってセキュリティ状況を見直すことで、定期的な対策の改善にも役立ちます。
04 まとめ
セキュリティインシデントは深刻な影響を及ぼす可能性があります。安定した運営を実現するために、まずはチェックリストを使って適切なセキュリティ対策を講じ、安全な環境を維持することが重要です。
しかし、チェックリストだけではカバーしきれないリスクが潜んでいることもあります。そこで、次のステップとして、より詳細なセキュリティリスクを可視化し、包括的な対策を講じることをお勧めします。
NTTコムウェアでは、お客様の業務環境や現在のセキュリティ対策について詳しいヒアリングを行い、見えづらいリスクを可視化し、適切な対策を提案するセキュリティリスクレポートを作成しています。より具体的かつ効果的なセキュリティ対策を専門家の診断を踏まえて実践してみませんか。
