セキュリティ診断サービスの関連情報

コピー完了

記事TOP

サイバーセキュリティ対策まとめ | 一般的な対策・経営ガイドラインを解説

最終更新日:(記事の情報は現在から1664日前のものです)
サイバーセキュリティの対策についての基礎知識を紹介し、経済産業省が出しているサイバーセキュリティ経営ガイドラインを簡単にまとめて解説します。

サイバーセキュリティは経営課題

サイバーセキュリティとは、サイバー攻撃に対する防御行為のことです。

サイバー攻撃は多種多様であり、かつ高度化・巧妙化していることもあり、日本年金機構などの国家レベルの団体や大企業も被害に遭っています。

そのため、現在の情報保護のぜい弱性が社会問題化しており、国全体として情報漏えいを防ぐために対策を行う必要があります。

そして、B2Bビジネスが加速するいまこそ、各企業の経営課題として優先度をあげるべき問題です。

本記事では、サイバーセキュリティ対策についてまとめ、一般的な対策・経営ガイドラインを解説します。

サイバー攻撃の脅威

サイバー攻撃は多種多様であるため、対策を講じても攻撃手段を変えて対策をすり抜けるという、いたちごっこが発生しているのが現状です。

そのため、いくら高度な対策を行ったとしても、リスクがゼロにはならないことを理解し、常にサイバー攻撃を受ける可能性があるという危機意識を持っておくが重要です。

標的型攻撃

標的型攻撃とは、特定の組織を攻撃対象として行われる高度なサイバー攻撃です。

なぜピンポイントで狙うことができるのかというと、たとえば攻撃対象となる企業の従業員の交友関係をSNSなどから探り、それらの関係者を装ってメールを送るなどの方法があります。

標的型攻撃メールとは?対策や見分け方 - 事例も紹介
標的型攻撃メールとは、特定の企業を標的とし添付ファイルやURLにてウィルスを侵入させる攻撃手段です。そんな標的型攻...
詳細を見る

この方法で使われるマルウェアは、ターゲットとなる企業の攻撃のために作られたものである場合が多く、従来型のウィルス対策では検知できません。

そのため感染してしまうと、知らない間に最初に侵入したマルウェアから、次々と新しいマルウェアを取り込まれ、外部からの指示のもと操作ができるようになってしまい、機密情報へアクセスされる可能性が高まります。

APT攻撃

APT攻撃とは、「高度な(Advanced)」「持続的な(Persistent)」「脅威(Threat)」の頭文字をとって名付けられたサイバー攻撃です。

APT攻撃はサイバー攻撃の中でも、より高度な技術を使い、かつ継続的に行われる攻撃です。
そのため、基本的なサイバーセキュリティ対策を講じている企業でも侵入経路や攻撃手口の特定が難しいという報告があるほど対策が困難とされています。

ランサムウェア攻撃

ランサムウェア攻撃とは、マルウェアの一種であり、勝手にネットワーク上にあるファイルを暗号化してしまい、それを解除するために身代金を要求するサイバー攻撃です。

ランサムウェア攻撃は、2016年に急増し、公共交通機関や大学や病院などの大きな組織が被害に遭いました。
その際には、Adobe FlashやマイクロソフトのOSのぜい弱性を利用するなどの手口によって、いくつかの政府機関が攻撃を受けました。

ランサムウェアとは?有効な対策と感染経路・対処法【保存版】
ランサムウェアとは、PCやスマホ・タブレットに感染し、ロックをかけて利用不可にした後、もとに戻すことを条件に金銭な...
詳細を見る

DoS攻撃、DDoS攻撃

DoS攻撃(Denial of Service attack)、DDoS攻撃(Distributed Denial of Service attack)とは、大量のアクセスを送りつけたりソフトウェアのバグを利用して、プログラムやサービスを停止させる攻撃のことです。

このDos攻撃は、大容量メールのブロックしたり、DoS攻撃の対策ツールを導入すれば攻撃への対応ができますが、DDoS攻撃の場合には、遠隔操作によって一斉に複数のデバイスから攻撃を行うため対応が困難です。

DDos攻撃とは?対策方法・Dos攻撃との違い【図解】
DDos攻撃とは複数のコンピューターから大量の処理要求を標的のサーバーに送り、サービスを停止させる攻撃です。企業や...
詳細を見る

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアのぜい弱性をついた攻撃のことです。
これは、ソフトウェアにセキュリティでのぜい弱性が見つかり、それが公表されて対策をする前に行われる攻撃であるため、非常に厄介で対策が困難です。

その他のサイバー攻撃

サイバー攻撃をされるきっかけというのは日常生活の中で多く潜んでいます。

たとえば、内部不正、退職者による不正、デバイスの盗難や紛失、メールの誤送信などもサイバー攻撃に発展する可能性があります。

また、アカウントの乗っ取りやなりすましを防ぐためにも、企業や組織全体でリスクを再認識し適切な教育を行うことが必要です。

セキュリティ教育とは?組織が実施するべきポイント・必要性
セキュリティ教育は、組織のセキュリティポリシー遵守への意識向上を目的に行われます。企業活動において重要さの増す情報...
詳細を見る

サイバー攻撃の4大リスク

サイバー攻撃による事故が一つでも起きてしまえば、以下で解説するリスクが連鎖して経営に大きなダメージを与えます

ここでは、経営者はもちろん企業や組織全体で認識すべきリスクを4つに整理して解説します。

情報漏えいリスク

  • 個人情報流出
  • 機密情報漏えい

顧客の情報や会社の重要な情報というのは、企業にとって絶対に外に漏らしてはいけない信用に関わるものです。

情報漏えいが起こると、それによって被害が発生してしまい、多額の対応費用がかかってしまうことがあります。

情報漏えいの事例 - 原因から対策を考える | 個人情報が危ない
近年、急速に重要視されている個人情報の保護。そんな個人情報が漏えいする原因と対策、漏れてしまったらどうなるのか、実...
詳細を見る

事業継続リスク

  • データやウェブサイトの改ざん、損壊
  • システムダウン、サービス停止
  • 不正取引

現在ネットワーク上で行っているサービスを故意的に止められてしまうことで、事業を強制的に停止させられてしまうことがあります。

また、勝手にWebサイトの内容を変更されたり、壊されてしまうことがあります。

Web改ざん検知とは?サービス7製品比較・種類・検知方法
今回は、Webサイト改ざん検知の状況とさまざまな製品について紹介します。マルウェアなどの原因にもなり得るWebサイ...
詳細を見る

賠償責任リスク

  • 情報漏えい、サービス停止への賠償
  • 事故対応

実際に、ユーザーに課金して利用してもらっている自社サービスを故意的に停止されてしまった場合には、情報漏えいに対する責任だけではなく、サービス停止の賠償を行わなくてはいけません。
自社内の対応だけではなく、被害者対応を行う必要があります。

風評リスク

  • 信頼失墜による企業ブランド力低下
  • 顧客の喪失

顧客の個人情報が漏えいしてしまうと、顧客からその企業への信頼は無くなってしまい、大切な顧客を失うことにもなります。

また、リスク管理ができていない企業としてのレッテルを貼られてしまい、信頼失墜による企業ブランドが低下します。

サイバーセキュリティ対策のポイント

ここでは、サイバーセキュリティ対策をこれから本格的に始めたいと考えている経営層・情報部門の担当者がまず抑えるべきサイバーセキュリティ対策のポイントを4つ説明します。

侵入を未然に防ぐ「入口対策」

  • 偽装メールの検知
  • Webサイトからのダウンロードを検知
  • スパムメール/疑わしいメールのブロック

侵入を未然に防ぐ「入口対策」としてできることは主に上記の3つです。

しかし、入口対策ではウィルス対策がメインなため、巧妙な方法での攻撃を受けた場合には検知することが難しく、防御するためには限界があります。

侵入を前提とした「内部対策」

  • サーバセグメントへの疑わしい通信を検知/遮断
  • 疑わしい動作を示す端末の隔離
  • 端末のセキュリティ対策の強化

前述のように、高度な攻撃を仕掛けられた場合には入り口ですべてを防ぐことは困難です。

そのため、上記のような侵入を前提とした対策を行うことで、脅威に素早く気づくことができ、被害を最小限に抑えることができます。

被害の拡大を防ぐための「出口対策」

  • 疑わしい通信、URLへの通信を検知/遮断
  • 操作ログを保存する
  • 標的型攻撃対策ソリューションを導入する

被害の拡大を防ぐためには出口対策が絶対に必要です。

そのため、上記の3つのような対策を行うことで、侵入をされた場合での機密情報の流出リスクを最小限に抑えることが必要です。

標的型攻撃対策ツール22選比較!導入メリット・サービスの選び方
サイバー攻撃の中でもより凶悪で執拗に攻撃してくるのが標的型攻撃です。目的を決めて狙った情報を得るまで攻撃を止めない...
詳細を見る

社内教育・意識向上

  • 会社用ノートPCやスマートデバイスなどの紛失・盗難への注意喚起
  • パスワードの使い回しをしない
  • eラーニングや社内研修を定期的に開催

会社の従業員一人ひとりが、常にセキュリティ面への意識を持っていないことには、いくら会社で対策を講じても意味がありません。

そこで、上記のような社員教育による意識向上を目的とする活動を定期的に開催することが必要です。
ワンタイムパスワードなどを利用するのも一つの手段です。

ワンタイムパスワードとは?仕組み・受け取り方やメリット
ワンタイムパスワードとは、一定時間ごとに更新される使い捨てのパスワードです。ワンタイムパスワードの意味や仕組み、受...
詳細を見る

事故対応プロセスの可視化

もし万が一侵入による被害が発生したことに気づいた際には、どのような対応を行うべきかを事前に把握しておく必要があります

サイバー攻撃への被害に気づいた時点では、すでに手遅れである場合が多いため、関連会社や社外の方たちに被害が拡大することを防がなくてはいけません。

事故対応後にどういうプロセスを取るべきかを可視化し、行うべきフローを用意しておきましょう。

経営ガイドラインの活用

経済産業省とIPAが2015年に発表した「経営ガイドライン」には、経営者が認識する必要がある3原則(基本的な考え方)と10項目(取るべき行動)が掲載されています

ここでは、それらについて詳しく解説します。

経営者が意識すべき「3原則」とは

  • 経営者がリーダーシップをとって対策を進めることが必要
  • 自社のみならずビジネスパートナーを含めた対策が必要
  • 平時および緊急時のいずれにおいても関係者との適切なコミュニケーションが必要

今やサイバー攻撃へのセキュリティ対策は、経営者を中心に企業全体として取り組むことが必要とされています。

一つの企業で被害が出れば、そこを中心にして被害が拡大してしまうため、関係会社すべてでの対策を行う必要があります

サイバーセキュリティ対策のPDCA構築に必要な10項目

  • 組織全体での対策方針の策定
  • 方針を実装するための体制の構築
  • リスクを洗い出し計画の策定
  • PDCAの実施および状況報告
  • ビジネスパートナーを含めたPDCAの実施
  • 予算・人材などリソースの確保
  • ITシステムの委託先対策も確認
  • 情報収集・共有活動に参加
  • CSIRT整備や訓練の実施
  • 被害発覚後に備えた事前準備

いつ自社がサイバー攻撃に遭うのかはだれも予想することはできません。

そのため、日ごろからどのようなことをすべきかを企業全体で準備しておくことが必要です。

サイバーセキュリティ対策のしおり活用も有効

現在日本ではサイバー攻撃は社会問題化しています。

そのため、IPAが最低限実施すべきサイバーセキュリティ対策についてまとめているので、具体的に何から始めて良いのかわからない企業の方は、そちらを参考にすることをオススメします。

サイバーセキュリティ対策のサービス紹介

ここでは、サイバーセキュリティ対策のサービス紹介をします。

WAF

WAFとはウェブアプリケーションファイアーウォールのことです。WAFでセキュリティ対策をしっかり取りましょう。

【比較表あり】WAF製品の比較19選!選び方や種類も解説
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された製品を比較するとともに、選び...
詳細を見る

WAFのサービスの詳細は以下から無料でダウンロードできます。ぜひご覧ください。

ウイルス対策

ウィルス対策はサイバー攻撃の脅威を防御するための基本中の基本です。

以下の記事では、セキュリティソフト・ウイルス対策ソフトを定番や無料、おすすめソフトなどカテゴリーごとに徹底比較しているので、自社に適したものを探してみましょう。

セキュリティソフト33選を比較!ウイルス対策におすすめのサービス【企業向け】
セキュリティソフト・ウイルス対策ソフトでおすすめのサービスを比較!定番や無料、企業向け、おすすめなどのカテゴリーに...
詳細を見る

ネットワークセキュリティ

インターネットを利用する上では、企業や個人に関係なくネットワークセキュリティは必要です。
以下の記事では、企業の規模や状況に応じた柔軟なセキュリティ対策について解説しています。

ネットワークセキュリティとは - 対策 | セキュリティソフトの種類
ネットワークセキュリティとは、コンピューターが安定して利用できるようにネットワーク上のセキュリティを確保するシステ...
詳細を見る

   

オンラインストレージセキュリティ

現在では安価で利用できるオンラインストレージサービスが増えてきたこともあり、企業として利用しているところも多いと思います。

以下の記事では、セキュリティ面を含めた法人向けのオンラインストレージを紹介しています。

【2024年】オンラインストレージ比較!比較表と選び方解説
代表的なオンラインストレージやボクシルおすすめサービスの容量や価格、機能を徹底比較。DropboxやOneDriv...
詳細を見る

オンラインストレージサービスの詳細は以下からご覧になれます。ぜひダウンロードしてみてください。

マルウェア対策

マルウェアは常に新しい形式へと日々進化をしているため、定期的に対策を行わなくてはいけません。以下の記事では、企業として理解しておくべきマルウェア対策を解説しています。

マルウェア対策を徹底解説!スマートフォン・対策
今や誰もが持っていると言っても過言ではないパソコン。ネットショッピング、ネットバンキングなど様々な利用法があります...
詳細を見る

   

スパイウェア対策

スパイウェアとコンピュータウィルスの違いを理解していますか?
似たような言葉が多く、中には正しく理解していない方も多いのがスパイウェアです。以下の記事では、スパイウェアについて理解できるよう一から解説しています。

スパイウェアとは?コンピューターウイルス・マルウェア・ランサムウェアとの違い - 事例や対策方法
スパイウェアとは、ユーザーの行動や個人情報を知らないうちに自動で外部に送信するソフトやプログラムのことです。ウイル...
詳細を見る

サイバーセキュリティ対策はコストではなく投資

 
日本ではサイバーセキュリティ基本法が成立・改正されている現状、またこれからはIoTなど最新技術の活用、EU圏で採択された「一般データ保護規則(GDPR)」が2018年5月25日から適用となります。

現在ではまだまだ法整備が追いついていないのが現状であり、今後国としても企業としても、よりいっそうの自助努力が必要であり、サイバーセキュリティ対策はコストではなく投資と考えることが必要です。

BOXILとは

BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員(無料)になると次の特典が受け取れます。

  • BOXIL Magazineの会員限定記事が読み放題!
  • 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
  • 約800種類のビジネステンプレートが自由に使える!

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか?

  • リード獲得に強い法人向けSaaS比較・検索サイトNo.1
  • リードの従量課金で、安定的に新規顧客との接点を提供
  • 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査

455_セキュリティ診断サービス選び方ガイド_20240709.pptx.pdf
セキュリティ診断サービス
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
貴社のサービスを
BOXIL SaaSに掲載しませんか?
累計掲載実績1,200社超
BOXIL会員数200,000人超
※ 2024年3月時点
セキュリティ診断サービスの最近更新された記事