2023年に入っても、マルウェア、不正アクセスなど、巧妙なサイバー攻撃が後を絶ちません。被害が出てしまうと、その影響は社内にとどまらず、社外にも広がっていきます。そこで、今後の情報セキュリティ対策を立てるうえでも、最新の動向について知っておくことが大切です。後編となる今回は、様々な脅威への対策の検討方法や具体的な対策についてお伝えします。
今回のお悩み
さまざまな情報セキュリティ関連のニュースが耳に入ってくる。セキュリティインシデント(※1)が起きてしまう前に、最新の動向を把握したうえで必要な対策を立てたい。
私が解説します!
IPAが発表した「情報セキュリティ10大脅威2023」をもとに、最新のリスクとその事例を交え、どのような取り組みが有効かを解説します。
( 6 ) 「情報セキュリティ10大脅威 2023」の活用方法
IPAでは、脅威への対策の参考となる資料として、「情報セキュリティ10大脅威の活用法」および「情報セキュリティ10大脅威 2023 セキュリティ対策の基本と共通対策」を提供しています。ここでは必要な対策を検討するための上記資料の活用方法について紹介します。
「情報セキュリティ10大脅威 2023」を活用した対策の検討方法
IPAでは、「情報セキュリティ10大脅威 2023」を読む前の留意事項(抜粋)として、以下を挙げています。
- 順位に捉われず、立場や環境を考慮する
- ランクインした脅威が全てではない
- 「情報セキュリティ対策の基本」が重要
組織や環境によって重要度の高い脅威は異なるため、順位に左右されることなく自社に必要な対策を検討する必要があると説明しています。自社にとって優先度の高い脅威と対策を検討する4つのステップを紹介します。
ステップ | 検討内容/詳細 | |
---|---|---|
1 | 守るべきものを明確にする | 自社の業務プロセス、情報・データ、システム・サービス、機器など |
2 | 脅威を抽出する | 守るべきものに対して大きな損害・損失が想定される脅威を抽出し、優先順位をつける |
3 | 対策候補(ベストプラクティス)を洗い出す | 各々の脅威に対して有効と考えられる対策候補(ベストプラクティス)を列挙する |
4 | 実施する対策を選択する | 洗い出した対策候補の一つひとつ に対して 、 実施状況( 「実施済み」「一部実施」「未実施」 のいずれであるかを 評価する |
( 7 ) 情報セキュリティ対策の基本
世の中には「情報セキュリティ10大脅威」にランクインしたもの以外にも、さまざまな脅威が存在しますが、攻撃者の利用する「攻撃の糸口」には古くから知られているものが使用されています。
- 脆弱性を悪用する
- ウイルスを使う
- ソーシャルエンジニアリングを使う
これらの「攻撃の糸口」を5つに分類し、それぞれに該当する対策を「情報セキュリティ対策の基本」と定めており、継続的に行うことで被害リスクの軽減が図れます。
【情報セキュリティ対策の基本】
攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
---|---|---|
ソフトウェアの
脆弱性 |
ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する |
ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する |
設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする |
誘導
(罠にはめる) |
脅威・手口を知る | 手口から重要視すべき対策を理解する |
複数の脅威に有効な「共通対策」
また、脅威の種類は多岐にわたるものの、対策については複数の脅威に対して有効なものもあります。
【複数の脅威に有効な対策集】
- パスワードを適切に運用する
- 情報リテラシー、モラルを向上させる
- メールの添付ファイル開封や、メールやSNSのリンク、URLのクリックを安易にしない
- 適切な報告/連絡/相談を行う
- インシデント体制を整備し、対応を行う
- サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
- 適切なバックアップ運用を行う
「情報セキュリティ10大脅威 2023 セキュリティ対策の基本と共通対策」
( 8 ) 今必要な情報セキュリティ対策とは?
ここまでの内容を踏まえ、具体的にどのようなことに取り組めばいいのかを紹介します。
社内管理体制の強化(ルールづくりを適切に行う)
普段からどのようなことに気をつけて業務を行い、もしものことが起きた場合にはどうやって被害防止に努めるか。またインシデントが発生したときには、誰に報告や相談をすればよいのか。こうしたルールづくりを適切に行うことが、社内管理体制の強化につながります。
情報セキュリティ教育の実施(従業員の意識向上を図る)
内部に潜むリスクに備えるためには、従業員への教育・研修が必要です。月に一回など定期的に研修や教育を行うことで、徐々に従業員の意識は向上していきます。あわせて、経営層の意識・態度の変容も欠かせません。「そうは言ってもサイバー攻撃や情報漏洩は起こらないだろう」という思い込みは捨て、どんな企業にもセキュリティリスクは付きものであることを理解しておくことが重要です。
適切なツールの導入(サイバー攻撃に対応できるツールを選ぶ)
更新プログラムの適用をはじめ、さまざまなマルウェアや不正アクセスに対応できる、適切なツールの導入も重要です。セキュリティソフトや不正侵入を検知・防止するシステムなど、自社に適したツールの選定・運用を行いましょう。
一台で高度な対策が可能な「UTM」
しかし正直なところ、中小企業にとって複数のソフトやツールを組み合わせて多層防御を行うのは現実的ではありません。人材的なリソースに限りがある企業も少なくないでしょう。そこで、注目していただきたいのがUTMです。
UTMは、さまざまな機能をオールインワンで搭載し、集中管理を行うツールです。マルウェアや不正アクセスなどのサイバー攻撃、さらに内部機器からの不正アクセス、ウイルス拡散、不適切サイト閲覧も防止するなど、外部からの脅威だけでなく、内部に潜むリスクにも備えることができます。一台で高度な情報セキュリティ対策が可能になり、専任のIT担当者を置く必要もありません。
選定にあたっては、使いやすさ、耐久性、サポート体制などをしっかり比較検討することが大切です。中にはサイバー保険が標準で付いているものもあるので、事前に確認しておくとよいでしょう。自社のニーズに合ったUTMを選ぶことで、サイバー攻撃や情報漏洩から自社を守るだけでなく、顧客や取引先もしっかり守りましょう。
( 9 ) まとめ
ここまで、IPA(独立行政法人
情報処理推進機構)が発表した「情報セキュリティ10大脅威2023」をもとに、具体的な事例も紹介しながら、今必要な情報セキュリティ対策とは何かについて解説してきました。
記事の中でも述べたように、近年のサイバー攻撃の特徴として情報セキュリティ対策が比較的手薄な中小企業を狙う傾向があります。ますます巧妙化する攻撃に備えるには、管理体制の見直し、従業員への教育とあわせて、適切なツールの導入が必須です。また、リスクは内部にも潜んでいることが、最新のランキングからは見て取れます。だからこそ、さまざまなリスクにオールインワンで対応できるUTMの導入をおすすめします。
サクサでは、さまざまな情報セキュリティ機器のご提案を通して、中堅・中小企業の課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。