UTMが義務化？未導入時の罰則はある？
中小企業に必要なセキュリティ対策を紹介

対策は「待ったなし」の状況

結論から言えば、UTMの導入は義務化されていません。よって未導入に対する罰則もありません。
「なんだ、そうだったのか」と安心される方も多いでしょうが、ここで早合点してはならないのは、決して何も対策をしなくてよいということではありません。
改正個人情報保護法が施行され、情報漏洩発生時の報告が義務化された背景には、企業からの情報漏洩が急増しているという現実があります。その対策は、まさに「待ったなし」の状況に来ており、企業にはこれまで以上に情報セキュリティへの対応策が求められています。

情報漏洩を防ぐための有効なツールとして、UTMが挙げられています。つまり導入の義務化はされていないものの、結果的に多くの企業がUTMを導入したことによって、そこから「UTMも義務化されたのか？」という噂につながったのだと推測されます。

中小企業が“踏み台”に

「わが社は中小企業だから、大丈夫だろう」という経営者の方には、今は中小企業こそサイバー攻撃の標的になっていることを知っていただきたいと思います。
「サプライチェーン攻撃」というサイバー攻撃を聞いたことがあるのではないでしょうか。サプライチェーンとは、製品の原料・部品の調達から販売に至るまでの一連の流れを指しますが、サプライチェーン攻撃とは、取引先の中小企業などを経由して、最終的にターゲットとする大手企業に不正侵入するサイバー攻撃のことです。
このように、近年は中小企業が狙われる傾向にあります。多くのコストを投じて手厚くサイバーセキュリティ対策をしている大手企業に比べて、中小企業はどうしても対策が手薄になってしまいがちです。そこをサイバー攻撃者たちは巧妙に突き、中小企業を“踏み台”として悪用するのです。

そもそも個人情報保護法とは？

こうした社会的課題に対応するために改正個人情報保護法が施行され、情報漏洩発生時の報告も義務化されたと言ってもいいでしょう。
では、そもそも個人情報保護法とはどのような法律なのでしょうか。
例えば、氏名、性別、生年月日、住所といった情報は、どれも「個人情報」と呼ばれるものです。これらの情報を活用することで、行政、医療、ビジネスなど、さまざまな分野でサービスの向上や業務の効率化が図られます。しかし一方でプライバシーにかかわる重要な情報であるため、取り扱いには慎重にならなければなりません。

そこで個人情報の保護を目的として「個人情報保護法」が2005年4月に施行されました。その後、グローバル化、デジタル化、個人情報への意識の高まりなど、社会情勢や時代の変化にあわせて3度大きな改正が行われており、最新のものが2022年4月に「改正個人情報保護法」として施行されています。
加えて、これまで総務省および個人情報保護委員会がそれぞれ所管していた3本の法律を1本の法律に統合し、全体の所管は個人情報保護委員会に一元化されました。

改正個人情報保護法のポイント

改正の範囲は多岐にわたりますが、ここでは6つのポイントを紹介します。

「努力義務」から「完全義務化」へ

先に挙げた6つのポイントの中でも、情報漏洩の報告が義務化されたことは、企業の規模にかかわらず大きな変化と言っていいでしょう。
これは改正前には「個人情報保護委員会に報告及び本人通知するように努める」と、努力義務とされてきた部分です。ところが改正後には「漏洩等が発生し、個人の権益利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化する」と、完全義務化に変わりました。

委員会規則で定められた報告義務化の対象事案は、以下のとおりです。

なお、それぞれの類型について「漏洩等のおそれ」がある事案も対象とされています。

報告は2段階で行う

情報漏洩の報告については「速報」と「確報」の2段階で行う必要があります。
速報とは、報告対象の事態を知ってから速やかに（おおむね3～5日以内）に行う報告のことです。報告内容は、報告をしようとする時点において把握している範囲で構いません。
一方、確報とは、報告対象の事態を知ってから30日以内（不正目的による「おそれ」がある漏洩の場合は60日以内）に行う報告のことです。報告は、すべての事項について行わなければなりません（合理的努力を尽くしてもすべての事項を報告できない場合は、判明次第報告を追完）。

法令に違反するとどうなる？

報告を怠ると、最大1億円の罰金が科せられるだけでなく、悪質と判断された場合には社名も公表されてしまいます。今回の改正は、こうした重いペナルティを設けることで個人情報流出の被害を未然に防ごうという試みとも言えるでしょう。

複雑化・巧妙化するサイバー攻撃

個人情報漏洩時の報告義務化や違反への罰則が強化された背景には、先にも述べたように急増する情報漏洩への対策が「待ったなし」という状況があります。
サイバー攻撃は、どんどん複雑化・巧妙化しています。近年はOSやソフトウェアの脆弱性を狙った悪質な攻撃も続々と登場しています。みなさんも以下のようなサイバーリスクをニュースなどで聞かれたことがあるのではないでしょうか。

●ランサムウェア

巧妙に攻撃を仕掛けてくるマルウェアの一つです。パソコンに保存されているデータを暗号化するなどして、ランサム（Ransom＝身代金）を要求するという手口です。

●Emotet（エモテット）

これもマルウェアの一種で、メールを主な感染経路として侵入します。脅威が広まった後にいったんは収束するものの、再び活動が活発になるということを繰り返しています。

ランサムウェアはIPA（独立行政法人 情報処理機構）が発表する「情報セキュリティ10大脅威」の組織編で2021年から3年連続で1位となるほど被害が拡大しています。またEmotetは同じく10大脅威の上位のランキングしている標的型攻撃などに用いられ、巧妙化したなりすましメールによるマルウェア感染や情報漏洩は大きな問題となっています。

人為的なミスも課題

また、メール誤送信など内部からのうっかりミスによって重要な情報が外部に流出してしまう事故も後を絶ちません。意図的な持ち出しも問題になっていますが、それは全体からすればほんの一部で、多くは悪意のない情報漏洩です。
しかし外部要因であれ内部要因であれ、情報漏洩は一度でも起きてしまうと自社の信用問題にかかわってしまいます。ときには損害賠償の負担など大きな不利益につながる深刻なケースもあるでしょう。そうならないためにも、従業員の意識を高める情報セキュリティ教育とあわせて、適切なセキュリティ対策が必要になります。

UTMならオールインワンで多層防御ができる

そうは言っても、正直なところあまりセキュリティ対策に手間やコストをかけられないという会社にこそ、UTMの導入をおすすめします。
UTM（Unified Threat Managementの略）とは、日本語で「統合脅威管理」と呼ばれることからもわかるとおり、以下のようなさまざまなセキュリティ機能が一つにまとめられたオールインワン製品です。

●ファイアウォール

もともとは火災などの被害を最小限に食い止めるための「防火壁」の意味です。インターネットの世界ではネットワークやコンピュータを防御する製品のことを指します。

●アンチウイルス

コンピュータウイルスの侵入・攻撃からシステムを守る対策のことを言います。通常はソフトウェアとしてインストールします。

●IDS/IPS

IDSとは「不正侵入検知システム」のことで、不正アクセスや異常な通信の通知のみを行います。一方、IPSとは「不正侵入防御システム」のことで、不正アクセスや異常な通信を検知・通知したうえでブロックします。

●Webフィルタリング

Webサイトへのアクセスを制御する技術です。アダルトサイトや犯罪にかかわるものなど不適切なサイトの閲覧を防止します。

従来これらのセキュリティ対策ツールはそれぞれ個別の製品として提供されてきましたが、UTMにはさまざまなセキュリティ機能が一つにパッケージ化され、多層的な防御を行うことが可能です。あらゆる脅威に個別対策を行うためには、手間やコストがかかるうえ、専任の担当部門や人材までもが必要です。そうした煩雑さから解放されるのがUTMの最大のメリットと言えます。
なお、UTMによってはサイバー保険（※3）が標準で付いているものもあるので、万が一、被害にあった場合に備えることができます。

UTMはトラブル対応もスムーズ

UTMは外部ネットワークと接続している大元のモデムに設置します。これによりパソコンだけでなく、UTMとつながっているすべての機器が保護の対象になります。
また、UTMは通常アプライアンス（専用機器）として提供されるため、インストールの必要がありません。そのため導入が素早く簡単なことも特徴です。
さらに、UTMはトラブル対応も非常にスムーズです。個々にセキュリティ対策をしていると、何かトラブルが起きたときにそれぞれの業者に連絡しなければなりませんが、UTMなら連絡は1社だけで済みます。

UTMを選ぶ際のポイント

さまざまな点から考えて、UTMは中小企業にとって最適なセキュリティ対策と言えるでしょう。どのようなことに気をつけて製品を選べばいいのか迷ったときは、以下のようなポイントを検討してみてください。

●機能

どのような機能があるか確認し、自社に必要な機能を検討することが重要です。外部の脅威から社内ネットワークを守るだけでなく、内部機器からの不正アクセス、ウイルス拡散や情報漏洩などのリスクにも備えることができるかをチェックしましょう。

●使いやすさ

セキュリティ状況が“見える化”されるなど、管理機能や使いやすさも重要なポイントです。またウイルス定義ファイル（パターンファイル）を定期的に自動で更新してくれるものなら、専任の担当者を置かなくても安心です。

●コスト

自社の規模に合ったものを適切な価格で導入できるかもチェックしましょう。ただし、価格だけで選んでしまうと、導入後に不具合やトラブルが生じる可能性もあるため、注意が必要です。

●耐久性

耐久性に優れた製品かどうか、販売会社の実績も参考にしながら見極めましょう。

●サポート体制

わからないことや困ったことがあったときに連絡すれば、迅速に対応してくれるか。リモート保守サービスや、パソコンの感染時には無料のウイルス駆除サービスがあるか。このようなサポート体制が充実している製品を選びましょう。

自社の状況に応じたセキュリティ機器の導入により、情報漏洩を防止するための対策を強化することができます。法令を遵守し、損失を防ぐだけでなく、企業の信用を高めていくことが重要です。

今回は、「UTMM導入が義務化された？」「罰則はあるのか？」という疑問への回答とあわせて、改正個人情報保護法に適切に対応するためにはどのようなセキュリティ対策を行う必要があるのかを考えてきました。
義務化はされていませんが、多くの企業がUTMを選んでいることからも、さまざまな脅威にオールインワンで備えるには、やはりUTMが賢い選択であることがおわかりいただけたのではないでしょうか。

サクサではUTMの基礎知識を解説する特設ページをオープンしています。UTMの機能や脅威となるサイバー攻撃について、動画で詳しくご紹介しています。また、充実したセキュリティ機能に加え、監視・保守・サポートなど導入後のアフターケアも充実している最新モデルのUTM「SS7000Ⅱ」の詳細もご覧いただけます。ぜひ自社のセキュリティ対策の参考にしてください。

UTMの基本機能から導入メリット・選定ポイントなどを、詳しく解説したお役立ち資料もご提供していますので、ぜひご活用ください。