サイバーセキュリティ対策まとめ | 一般的な対策・経営ガイドラインを解説
サイバーセキュリティは経営課題
サイバーセキュリティとは、サイバー攻撃に対する防御行為のことです。
サイバー攻撃は多種多様であり、かつ高度化・巧妙化していることもあり、日本年金機構などの国家レベルの団体や大企業も被害に遭っています。
そのため、現在の情報保護のぜい弱性が社会問題化しており、国全体として情報漏えいを防ぐために対策を行う必要があります。
そして、B2Bビジネスが加速するいまこそ、各企業の経営課題として優先度をあげるべき問題です。
本記事では、サイバーセキュリティ対策についてまとめ、一般的な対策・経営ガイドラインを解説します。
目次を閉じる
サイバー攻撃の脅威
サイバー攻撃は多種多様であるため、対策を講じても攻撃手段を変えて対策をすり抜けるという、いたちごっこが発生しているのが現状です。
そのため、いくら高度な対策を行ったとしても、リスクがゼロにはならないことを理解し、常にサイバー攻撃を受ける可能性があるという危機意識を持っておくが重要です。
標的型攻撃
標的型攻撃とは、特定の組織を攻撃対象として行われる高度なサイバー攻撃です。
なぜピンポイントで狙うことができるのかというと、たとえば攻撃対象となる企業の従業員の交友関係をSNSなどから探り、それらの関係者を装ってメールを送るなどの方法があります。
この方法で使われるマルウェアは、ターゲットとなる企業の攻撃のために作られたものである場合が多く、従来型のウィルス対策では検知できません。
そのため感染してしまうと、知らない間に最初に侵入したマルウェアから、次々と新しいマルウェアを取り込まれ、外部からの指示のもと操作ができるようになってしまい、機密情報へアクセスされる可能性が高まります。
APT攻撃
APT攻撃とは、「高度な(Advanced)」「持続的な(Persistent)」「脅威(Threat)」の頭文字をとって名付けられたサイバー攻撃です。
APT攻撃はサイバー攻撃の中でも、より高度な技術を使い、かつ継続的に行われる攻撃です。
そのため、基本的なサイバーセキュリティ対策を講じている企業でも侵入経路や攻撃手口の特定が難しいという報告があるほど対策が困難とされています。
ランサムウェア攻撃
ランサムウェア攻撃とは、マルウェアの一種であり、勝手にネットワーク上にあるファイルを暗号化してしまい、それを解除するために身代金を要求するサイバー攻撃です。
ランサムウェア攻撃は、2016年に急増し、公共交通機関や大学や病院などの大きな組織が被害に遭いました。
その際には、Adobe FlashやマイクロソフトのOSのぜい弱性を利用するなどの手口によって、いくつかの政府機関が攻撃を受けました。
DoS攻撃、DDoS攻撃
DoS攻撃(Denial of Service attack)、DDoS攻撃(Distributed Denial of Service attack)とは、大量のアクセスを送りつけたりソフトウェアのバグを利用して、プログラムやサービスを停止させる攻撃のことです。
このDos攻撃は、大容量メールのブロックしたり、DoS攻撃の対策ツールを導入すれば攻撃への対応ができますが、DDoS攻撃の場合には、遠隔操作によって一斉に複数のデバイスから攻撃を行うため対応が困難です。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアのぜい弱性をついた攻撃のことです。
これは、ソフトウェアにセキュリティでのぜい弱性が見つかり、それが公表されて対策をする前に行われる攻撃であるため、非常に厄介で対策が困難です。
その他のサイバー攻撃
サイバー攻撃をされるきっかけというのは日常生活の中で多く潜んでいます。
たとえば、内部不正、退職者による不正、デバイスの盗難や紛失、メールの誤送信などもサイバー攻撃に発展する可能性があります。
また、アカウントの乗っ取りやなりすましを防ぐためにも、企業や組織全体でリスクを再認識し適切な教育を行うことが必要です。
サイバー攻撃の4大リスク
サイバー攻撃による事故が一つでも起きてしまえば、以下で解説するリスクが連鎖して経営に大きなダメージを与えます。
ここでは、経営者はもちろん企業や組織全体で認識すべきリスクを4つに整理して解説します。
情報漏えいリスク
- 個人情報流出
- 機密情報漏えい
顧客の情報や会社の重要な情報というのは、企業にとって絶対に外に漏らしてはいけない信用に関わるものです。
情報漏えいが起こると、それによって被害が発生してしまい、多額の対応費用がかかってしまうことがあります。
事業継続リスク
- データやウェブサイトの改ざん、損壊
- システムダウン、サービス停止
- 不正取引
現在ネットワーク上で行っているサービスを故意的に止められてしまうことで、事業を強制的に停止させられてしまうことがあります。
また、勝手にWebサイトの内容を変更されたり、壊されてしまうことがあります。
賠償責任リスク
- 情報漏えい、サービス停止への賠償
- 事故対応
実際に、ユーザーに課金して利用してもらっている自社サービスを故意的に停止されてしまった場合には、情報漏えいに対する責任だけではなく、サービス停止の賠償を行わなくてはいけません。
自社内の対応だけではなく、被害者対応を行う必要があります。
風評リスク
- 信頼失墜による企業ブランド力低下
- 顧客の喪失
顧客の個人情報が漏えいしてしまうと、顧客からその企業への信頼は無くなってしまい、大切な顧客を失うことにもなります。
また、リスク管理ができていない企業としてのレッテルを貼られてしまい、信頼失墜による企業ブランドが低下します。
サイバーセキュリティ対策のポイント
ここでは、サイバーセキュリティ対策をこれから本格的に始めたいと考えている経営層・情報部門の担当者がまず抑えるべきサイバーセキュリティ対策のポイントを4つ説明します。
侵入を未然に防ぐ「入口対策」
- 偽装メールの検知
- Webサイトからのダウンロードを検知
- スパムメール/疑わしいメールのブロック
侵入を未然に防ぐ「入口対策」としてできることは主に上記の3つです。
しかし、入口対策ではウィルス対策がメインなため、巧妙な方法での攻撃を受けた場合には検知することが難しく、防御するためには限界があります。
侵入を前提とした「内部対策」
- サーバセグメントへの疑わしい通信を検知/遮断
- 疑わしい動作を示す端末の隔離
- 端末のセキュリティ対策の強化
前述のように、高度な攻撃を仕掛けられた場合には入り口ですべてを防ぐことは困難です。
そのため、上記のような侵入を前提とした対策を行うことで、脅威に素早く気づくことができ、被害を最小限に抑えることができます。
被害の拡大を防ぐための「出口対策」
- 疑わしい通信、URLへの通信を検知/遮断
- 操作ログを保存する
- 標的型攻撃対策ソリューションを導入する
被害の拡大を防ぐためには出口対策が絶対に必要です。
そのため、上記の3つのような対策を行うことで、侵入をされた場合での機密情報の流出リスクを最小限に抑えることが必要です。
社内教育・意識向上
- 会社用ノートPCやスマートデバイスなどの紛失・盗難への注意喚起
- パスワードの使い回しをしない
- eラーニングや社内研修を定期的に開催
会社の従業員一人ひとりが、常にセキュリティ面への意識を持っていないことには、いくら会社で対策を講じても意味がありません。
そこで、上記のような社員教育による意識向上を目的とする活動を定期的に開催することが必要です。
ワンタイムパスワードなどを利用するのも一つの手段です。
事故対応プロセスの可視化
もし万が一侵入による被害が発生したことに気づいた際には、どのような対応を行うべきかを事前に把握しておく必要があります。
サイバー攻撃への被害に気づいた時点では、すでに手遅れである場合が多いため、関連会社や社外の方たちに被害が拡大することを防がなくてはいけません。
事故対応後にどういうプロセスを取るべきかを可視化し、行うべきフローを用意しておきましょう。
経営ガイドラインの活用
経済産業省とIPAが2015年に発表した「経営ガイドライン」には、経営者が認識する必要がある3原則(基本的な考え方)と10項目(取るべき行動)が掲載されています。
ここでは、それらについて詳しく解説します。
経営者が意識すべき「3原則」とは
- 経営者がリーダーシップをとって対策を進めることが必要
- 自社のみならずビジネスパートナーを含めた対策が必要
- 平時および緊急時のいずれにおいても関係者との適切なコミュニケーションが必要
今やサイバー攻撃へのセキュリティ対策は、経営者を中心に企業全体として取り組むことが必要とされています。
一つの企業で被害が出れば、そこを中心にして被害が拡大してしまうため、関係会社すべてでの対策を行う必要があります。
サイバーセキュリティ対策のPDCA構築に必要な10項目
- 組織全体での対策方針の策定
- 方針を実装するための体制の構築
- リスクを洗い出し計画の策定
- PDCAの実施および状況報告
- ビジネスパートナーを含めたPDCAの実施
- 予算・人材などリソースの確保
- ITシステムの委託先対策も確認
- 情報収集・共有活動に参加
- CSIRT整備や訓練の実施
- 被害発覚後に備えた事前準備
いつ自社がサイバー攻撃に遭うのかはだれも予想することはできません。
そのため、日ごろからどのようなことをすべきかを企業全体で準備しておくことが必要です。
サイバーセキュリティ対策のしおり活用も有効
現在日本ではサイバー攻撃は社会問題化しています。
そのため、IPAが最低限実施すべきサイバーセキュリティ対策についてまとめているので、具体的に何から始めて良いのかわからない企業の方は、そちらを参考にすることをオススメします。
サイバーセキュリティ対策のサービス紹介
ここでは、サイバーセキュリティ対策のサービス紹介をします。
WAF
WAFとはウェブアプリケーションファイアーウォールのことです。WAFでセキュリティ対策をしっかり取りましょう。
WAFのサービスの詳細は以下から無料でダウンロードできます。ぜひご覧ください。
ウイルス対策
ウィルス対策はサイバー攻撃の脅威を防御するための基本中の基本です。
以下の記事では、セキュリティソフト・ウイルス対策ソフトを定番や無料、おすすめソフトなどカテゴリーごとに徹底比較しているので、自社に適したものを探してみましょう。
ネットワークセキュリティ
インターネットを利用する上では、企業や個人に関係なくネットワークセキュリティは必要です。
以下の記事では、企業の規模や状況に応じた柔軟なセキュリティ対策について解説しています。
オンラインストレージセキュリティ
現在では安価で利用できるオンラインストレージサービスが増えてきたこともあり、企業として利用しているところも多いと思います。
以下の記事では、セキュリティ面を含めた法人向けのオンラインストレージを紹介しています。
オンラインストレージサービスの詳細は以下からご覧になれます。ぜひダウンロードしてみてください。
マルウェア対策
マルウェアは常に新しい形式へと日々進化をしているため、定期的に対策を行わなくてはいけません。以下の記事では、企業として理解しておくべきマルウェア対策を解説しています。
スパイウェア対策
スパイウェアとコンピュータウィルスの違いを理解していますか?
似たような言葉が多く、中には正しく理解していない方も多いのがスパイウェアです。以下の記事では、スパイウェアについて理解できるよう一から解説しています。
サイバーセキュリティ対策はコストではなく投資
日本ではサイバーセキュリティ基本法が成立・改正されている現状、またこれからはIoTなど最新技術の活用、EU圏で採択された「一般データ保護規則(GDPR)」が2018年5月25日から適用となります。
現在ではまだまだ法整備が追いついていないのが現状であり、今後国としても企業としても、よりいっそうの自助努力が必要であり、サイバーセキュリティ対策はコストではなく投資と考えることが必要です。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
