情報を通してさまざまなビジネスが行われている現代において、情報セキュリティ対策は重要な意味を持っています。サイバー攻撃や不正利用など、情報は多くの脅威に晒されており、それを守るため、多岐に渡る情報セキュリティ対策を担う義務が企業にはあります。

では、脅威から情報を守るために、企業はどのような対策を行えば良いのでしょうか。

今回は、中小企業が取り組むべき情報セキュリティ上の脅威と対策について解説します。

情報セキュリティ対策とは

情報セキュリティ対策とは、あらゆる脅威から情報を守るための対策のことです。

不正アクセスやウイルス感染による情報漏洩、自然災害による情報消失など、情報セキュリティ上の脅威はさまざま。これらのリスクに対し、ログイン認証を複雑化したり、ウイルスソフトを入れたりといった対策を行うことが、情報セキュリティ対策です。

不正アクセスやウイルス感染などの被害は、企業に多大な損害をもたらします。それを防ぐため、多様な情報セキュリティ上の脅威に対応すべく、企業は多岐にわたるセキュリティ対策を行なっています。

情報セキュリティ対策の種類

企業の情報セキュリティ対策は、大きく3種類に分けることができます。
その内容と具体例について詳しく見ていきましょう。

対策の種類内容具体例
①技術的な対策コンピュータやサーバー、システム等への脅威に対する技術的な対策・セキュリティソフトの導入

・ファイアウォールの導入

・こまめなアップデート

・アクセス制御、権限管理

・ネットワークの監視

・データ暗号化 等

②物理的な対策コンピューター内ではなく、主にオフィス内において、物理的に情報を守るための対策・入退室の管理

・ハードウェアの保護

・予備装置の運用

・データのバックアップ

・デバイス破棄時のデータ消去と破壊

・書類破棄時のシュレッダー

・デバイスや書類の管理

・オフィスの防犯対策 等

③人的な対策ミスやリテラシーの欠如、意図的な不正などといった人的要因による脅威に対する対策・情報セキュリティ教育の徹底

・情報セキュリティに関するポリシー策定

・情報取り扱いのルール制定 等

情報を脅威から守るために、企業はこの3種の情報セキュリティ対策を漏れなく行う必要があります

情報セキュリティの被害と対策例

情報処理推進機構(IPA)が発表した『セキュリティ10大脅威2021』をもとに、情報セキュリティの被害と対策例について解説していきます。

情報セキュリティ10大脅威をチェック

情報処理推進機構(IPA)では、毎年社会的な影響の大きかった情報セキュリティ上の脅威を、ランキング式で発表しています。
2020年の組織分野における脅威のランキングは、以下のようになりました。

1位ランサムウェアによる被害
2位標的型攻撃による機密情報の窃取
3位テレワーク等のニューノーマルな働き方を狙った攻撃
4位サプライチェーンの弱点を悪用した攻撃
5位ビジネスメール詐欺による金銭被害
6位内部不正による情報漏えい
7位予期せぬIT基盤の障害に伴う業務停止
8位インターネット上のサービスへの不正ログイン
9位不注意による情報漏えい等の被害
10位脆弱性対策情報の公開に伴う悪用増加

(参照:情報処理推進機構情報『セキュリティ10大脅威2021』

この結果を受け、次章では各脅威の被害と対策例について解説します。

各脅威の被害と対策例

上記ランキングにおける各脅威の被害と具体的な対策例を順に見ていきましょう。

1位:ランサムウェアによる被害

ランサムウェアとは、感染するとデータが暗号化されたりデバイスがロックされたりして利用できない状態になるウイルスのこと。攻撃者がデータやデバイスの回復と引き換えに金銭を要求する被害が発生しています。

◆対策
・ウイルス対策ソフトの導入
・Webフィルタリング
・こまめなアップデート
・データのバックアップ 等

2位:標的型攻撃による機密情報の窃取

標的型攻撃とは、特定の組織から情報を盗むために、業務メールと思わせるような巧妙なメールを担当者に送りメールを開封させることで、ウイルスに感染させる攻撃のこと。標的型攻撃メールによるマルウェア感染は増加しています。

◆対策
・メールのフィルタリング
・ウイルス対策ソフトの導入
・データの暗号化
・メールに関するルール策定 等

3位:テレワーク等のニューノーマルな働き方を狙った攻撃

テレワークに使用されるシステムやネットワークの脆弱性を突いた、第三者による不正アクセスやウイルス感染などの攻撃が多数確認されています。

◆対策
・自宅ルーター等のセキュリティ強化
・セキュリティソフトの導入
・ソフトウェアの更新
テレワーク時のルール策定 等

4位:サプライチェーンの弱点を悪用した攻撃

標的の企業ではなく、企業が構成するサプライチェーンの取引先の脆弱性を狙い、攻撃を仕掛けるケース。取引先を狙うことで、標的の企業の情報が盗まれたり、最終的に標的企業が攻撃を受けたりする被害が出ています。

◆対策
・セキュリティ対応を踏まえた取引先や委託先の選定
・取引先や委託先に対して情報管理の徹底を指示 等

5位:ビジネスメール詐欺による金銭被害

ビジネスメールを装って金銭を騙し取るビジネルメール詐欺の被害は多く、2020年にはコロナウイルスにかこつけた詐欺メールが発生しています。

◆対策
・金銭取引の社内ルール策定
・メールアカウントの管理 等

6位:内部不正による情報漏えい

内部の人間による意図的な情報持ち出しや情報の悪用など、内部不正による脅威も深刻です。

◆対策
・機密情報の管理
・アクセス制御
・システム操作履歴の監視 等

7位:予期せぬIT基盤の障害に伴う業務停止

ネットワークを通したビジネスが当たり前になった昨今、予期しないIT基盤の障害により、業務で利用しているシステムが使用できなくなり、業務を停止せざるを得なくなる例も増えています。

◆対策
・BCP(事業継続計画)の策定と運用
・データのバックアップ 等

8位:インターネット上のサービスへの不正ログイン

企業が利用しているインターネット上のサービス(システム・ツール)へ第三者が不正アクセスを行い、情報が盗まれてしまうケース。IDやパスワードを突破され、不正ログインを許してしまうことで、甚大な被害を受ける可能性があります。

◆対策
・IDやパスワードの適切な管理
・多要素認証の導入 等

9位:不注意による情報漏えい等の被害

メールの送り間違いやデバイスの紛失など、ちょっとした不注意が情報漏洩に繋がることもあります。

◆対策
・データ持ち出しに関するルール制定
・パスワードの一斉変更
情報リテラシー教育 等

10位:脆弱性対策情報の公開に伴う悪用増加

ソフトウェアやOSに脆弱性が見つかった場合にはその情報が公開されますが、この情報を利用し、まだ脆弱性対策を行なっていないシステムに対し攻撃を行うケースが増加しています。

◆対策
・脆弱性情報の収集・対応
・迅速なアップデート
セキュリティパッチの利用 等

中小企業が取り組むべき情報セキュリティ対策

今回ご紹介したような脅威の被害に遭うと、企業は多大な損失を被ることになります。それを避けるに、企業は情報セキュリティ上のあらゆる脅威に備える対策を徹底しなければなりません。

ここからは、中小企業がまず取り組むべき情報セキュリティ対策を3つに分けてご紹介しましょう。

複数の対策徹底でセキュリティ強化

情報セキュリティ対策としては、まずはシステムやサーバーのセキュリティ自体を強化することが大切です。
例えば、「ソフトウェア等のアップデートはこまめに行う」「セキュリティソフトを入れる」「ファイアウォールを導入する」など。

脅威の種類はさまざまなので、複数のセキュリティ対策によって、セキュリティの壁をより強固にしておくことが大切です。

社員の情報セキュリティ教育

脅威ランキングにもあったように、社内の人的ミスや不正による情報インシデントは多く発生しています。
このような脅威に備えるには、社員に対する情報セキュリティ教育が必須。定期的な研修や講習会などで、社員の情報セキュリティに関する知識と意識を向上させましょう。

また、業務を委託している場合には、委託先の従業員にも情報セキュリティの知識を持ってもらうことが大切です。

ニューノーマルへの対策も必要

今回の脅威ランキングで初めてランクインしたのが、3位の「テレワーク等のニューノーマルな働き方を狙った攻撃 」。社会背景に応じてビジネスは変化しているため、それに合わせてセキュリティ対策も変化していかなければなりません。

例えば、「公衆無線LANは使用させない」「テレワーク時のWi-Fiルーターの暗号化を確認する」など。
テレワークによる脅威への対策として、新たな情報セキュリティルールを設けるべきでしょう。

まとめ

情報セキュリティ上の脅威は多様化・巧妙化してきているため、情報を守るためには、多方面からの対策が必要です。ひとつの対策で満足せず、どんな脅威が存在するか把握した上で、各脅威に対抗する対策を講じるようにしましょう。

情報セキュリティ対策は、莫大な量の機密情報や個人情報を取り扱う企業の義務。情報インシデントによって自社の信頼を損なったり顧客に被害を出したりすることのないよう、常に万全な対策を心がけてください。