情報セキュリティと一口に言ってもさまざまなものがあります。そこで今回は、情報セキュリティにはどのようなものがあるのか、企業として情報セキュリティ事故が起きてしまった場合どういった対応が必要となるのかを解説します。近年起きた情報セキュリティ事故の事例や、どのような対応が行われたのかも紹介します。御社のセキュリティ対策として、万が一に備えるための参考にしてください。
目次
( 1 ) 情報セキュリティの3大要素
情報セキュリティとは、企業や組織の情報資産を守ることを指します。情報資産には重要な情報そのものに加えて、それらが記載されているファイル、メールなどのデータ、さらにそのデータが保存されているPC、サーバ、USBなどの記録媒体、紙の資料も含まれます。
総務省の「国民のためのサイバーセキュリティサイト」では、企業や組織における情報セキュリティについて、以下のように定めています。
私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それがサイバーセキュリティ対策です。
出典:総務省「国民のためのサイバーセキュリティサイト」また、「情報セキュリティの3大要素」として、機密性・完全性・可用性が定義されています。この3つの要素を保ち維持することが、情報セキュリティにおける重要なポイントとなります。
- 機密性(Confidentiality)
許可された者のみが情報にアクセスできること
- 完全性(Integrity)
保有する情報が正確かつ完全である状態を保持すること
- 可用性(Availability)
許可された者が必要に応じていつでも情報にアクセスできる状態
( 2 ) 情報セキュリティにおけるリスク
では、情報資産を脅かすリスクにはどのようなものがあるのでしょうか。企業や組織における具体的な情報セキュリティリスクについて、主な5点を以下にまとめました。
情報セキュリティリスク | 具体例 |
---|---|
機密情報の漏洩 | 機密情報は販売や技術に関する情報など、企業が競争力を保持するうえで欠かせないものであり、漏洩すればブランドイメージが著しく低下する |
個人情報の流出 | 取引先の情報や顧客リストなどの個人情報が、サイバー攻撃や内部の不正などによって流出してしまうと、大きな信頼の失墜につながる |
Webサイトの改ざん | 自社が運営するWebサイトが攻撃者によって改ざんされてしまうと、関係のないメッセージや画像が掲載され、閲覧者がマルウェアに感染する恐れがある |
業務・サービスの停止 | ウイルス感染によって社内のシステムがストップするとサービスや業務自体が滞り、その間に取引先が競合他社に乗り換えることも考えられる |
ウイルスの感染拡大 | 社内や組織のPCがウイルスに感染すると、ほかのPCに感染が広がるだけでなく、ネットワークでつながった先にも感染が拡大し、大きな被害につながる |
( 3 ) 情報セキュリティ事故と対応の事例
内外に潜むさまざまなリスクとは?
近年、情報セキュリティ事故は増加の一途をたどっています。防御する側がいくら目を光らせていても、攻撃者は巧妙に脆弱性を突いてきます。ここからは、情報セキュリティ事故の具体例と、そこでどのような対応が行われたのかを紹介します。
種類 | 事故の内容 | 対策 |
---|---|---|
不正アクセス | 大手アパレル企業で、業務システムのサーバが不正アクセスを受け、物流システムの停止、ECサイトの休止などの被害を受けた | 情報漏洩の可能性のある対象者に連絡するとともに、再発防止に向け、セキュリティと監視体制の強化を実施した |
標的型攻撃 (※1) |
公的な運用業務を担う特殊法人が標的型攻撃のターゲットになり、125万件の個人情報が流出した | 専用の電話窓口を設置し、警察に捜査を依頼。さらに外部有識者を加えた原因調査・再発防止の委員会を設置した |
Emotet
(※2) |
地方都市の大学で、教職員数人のPCがEmotetに感染。同大のメールサーバ経由で大量のスパムメールが送信され、個人情報などが流出した | 関係者への連絡やWebサイトで注意喚起を実施。セキュリティ対策の点検、システムのセキュリティ対策強化を行った |
ランサムウェア (※3) |
日本の電機メーカーの海外子会社が、ランサムウェアに感染。インターネット上のダークウェブ(※4)に同社の情報が掲載された | 不正アクセスを検知後、通信制限などを実施。パスワードリセット、ファイルサーバの監視強化などの措置を講じた |
サプライチェーン攻撃 (※5) |
世界的な自動車メーカーが取引先を経由したサプライチェーン攻撃により、国内全工場が稼働停止する事態となった | 関連会社や取引先に対し、脆弱性対策の取り組み強化を促すとともに、定期的な講習を実施している |
ゼロデイ攻撃 (※6) |
大手電機メーカーのウイルス対策システムにゼロデイ攻撃が仕掛けられ、個人情報や機密情報が外部へ流出した | 漏洩した情報に関与する顧客への早期対応および再発防止策のための組織を新設すると報告している |
メールの 誤送信 |
中四国の地方自治体で、添付する必要のないメールアドレス一覧を誤って添付・送信し、200人以上の個人情報が漏洩した | メール送信時におけるチェック体制の見直しを実施するなど、再発防止に努めている |
従業員による 不正 |
全国展開する不動産管理会社で、元従業員が約5,000人の顧客情報を不正に持ち出し、第三者に提供していたことが発覚した | 再発防止策として、システムへのアクセス制限強化および従業員へのセキュリティ教育の実施を挙げている |
※2 Emotet:マルウェアの一種。メールに添付されたOfficeファイルのマクロ機能を利用して感染・侵入し、メール情報を盗み取る。
※3 ランサムウェア:PCやデータに制限をかけ、解除と引き換えに身代金(ランサム)を要求する。
※4:ダークウェブ:匿名性の高いインターネット上の領域を指し、通常のブラウザからはアクセスできない仕組みになっている。闇サイト。
※5:サプライチェーン攻撃:業務上のつながりを悪用して行われるサイバー攻撃のこと。しばしば中小企業が「踏み台」にされる。
※6:ゼロデイ攻撃:脆弱性を修正するために配信されるセキュリティパッチの公開前を狙った攻撃。
( 4 ) 情報セキュリティの対策
自社セキュリティを強化するには?
ここまで見てきたようなさまざまなリスクに備えるためには、普段からどのようなことに気をつけておけばよいのでしょうか。ここからは、自社セキュリティを強化する方法について紹介します。
強化の方法 | 具体例 |
---|---|
パスワード管理を 徹底する |
わかりやすいパスワードにしない、同じパスワードを使い回さない、パスワードを書いたメモなどをPC周りに置かないなどの対策を徹底する |
ソフトウェアを最新に アップデートする |
ソフトウェアのバージョンを古いまま使い続けると脆弱性を狙ったサイバー攻撃を受けるリスクが高くなる。常に不具合が修正されたものにアップデートし、最新の状態を保つ |
データを バックアップする |
サイバー攻撃など、万が一に備えて重要なデータは定期的にバックアップしておく。バックアップには外付けのハードディスクやクラウドサービスなど自社にあったものを選択する |
クラウドサービス 利用時の注意 |
クラウドは便利であると同時にデメリットもあることに注意する。サイバー攻撃の対象になることを想定し、セキュリティの強固なサービスを選ぶなどの対策が必要となる |
ウイルス対策と 感染時の対応を策定 |
アンチウイルスなどのツール導入に加え、万が一ウイルスに感染した際、どのような対応をするか、誰に報告するかといったフローなどのルールを事前に策定する |
無線LANの安全性を 確認する |
社外でビジネス用のPCやタブレットなどを使用する際には、基本的に無料のWi-Fiなどは使用せず、使用する場合は必ず安全性を確認してから接続を行う |
Webサイトの閲覧を 制限する |
閲覧するだけでウイルスに感染する不正なWebサイトなどが存在するため、業務に関係のないサイトの閲覧を制限し、リスクを最小限に抑える |
情報管理の ルールを策定する |
情報を管理する担当部署や担当者を配置し、データの重要度などに合わせた管理方法や、社外持ち出し禁止などの細かなルールを策定・運用する |
従業員の情報リテラシー を向上する |
メールの誤送信に代表される「うっかりミス」は、従業員の情報リテラシーにかかわる問題。セキュリティに関する情報発信や定期的な研修により意識を高める |
従業員エンゲージメント (※7)の向上 |
不正が行われてしまう要因の一つは、従業員の会社への不満が挙げられる。職場環境の改善や業務の見直しを行い、従業員の満足度やエンゲージメントの向上を図る |
このほかにも、以下のような対策が挙げられます。
- メールに記載されたURLや添付ファイルに注意する
- メディアの持ち出しや紛失に注意する
- ハードウェアの処分時にデータを残さない
フィッシングメールや標的型攻撃メールなどが巧妙化し、うっかりURLをクリックしたり、添付ファイルをダウンロードしたりすることでウイルスに感染する可能性があります。また、故意ではなくともPCやタブレット、USBなどの持ち出しは盗難や紛失などのリスクがあるため、運用ルールなどを定めておくことも有効です。見落としがちですが、廃棄されたハードウェアから情報漏洩が起きる事故も発生しています。処分時にデータを完全に消去する、もしくは専門業者に依頼することも検討しましょう。
※7 従業員エンゲージメント:従業員が会社の理念に共感し、業績向上のために自発的に会社に貢献したいと思う意欲のこと。( 5 ) 情報セキュリティに関してよくある5つのQ&A
最後に、情報セキュリティに関して「聞いたことはあるけれど、よくわからない」といったよくある疑問を5つほどQ&A形式で紹介します。
Q1 情報セキュリティポリシーとは?
A 企業や組織で実施する情報セキュリティ対策の方針や行動指針のことです。どのような情報資産をどのような脅威からどのように守るのか、そのためにどのような体制・運用規定・基本方針・対策基準を定めるのかなどを、具体的に検討してまとめます。
Q2 情報セキュリティで気をつけることは?
A 本文でも述べたように、情報セキュリティにおいて留意すべきことは、3大要素である「機密性」、「完全性」、「可用性」をしっかりと維持することです。企業や組織はこの3つのバランスを考慮したうえで、情報セキュリティ対策を行うことが重要です。
Q3 情報セキュリティ監査とは?
A 企業や組織において、情報資産を守るためにセキュリティシステムが正しく機能しているか、サイバー攻撃にしっかり対応できるかなどを第三者視点で検証・評価することを指します。監査の方法には内部監査のほか、外部の監査人に頼む外部監査があります。
Q4 情報セキュリティ5か条とは?
A 情報セキュリティ確保のために、企業が行うべき5つの基本的な取り組みについてIPA(独立行政法人 情報処理推進機構)が策定・公表したものです。わかりやすくシンプルにまとめられており、これらに取り組むことで必要最低限のセキュリティ対策ができます。
- 1:OSやソフトウェアは常に最新の状態にしよう!
- 2:ウイルス対策ソフトを導入しよう!
- 3:パスワードを強化しよう!
- 4:共有設定を見直そう!
- 5:脅威や攻撃の手口を知ろう!
Q5 情報セキュリティにおける問題とは?
A 大きく分けると、「サイバー攻撃による被害」、「従業員や関係者の過失(または不正)によって起きる情報漏洩」、「システム障害による事業機会の喪失」ということになります。3つ目のシステム障害には、単なる内部要因によるシステム障害だけでなく、地震、豪雨など自然災害による障害も含まれます。企業としては、こうしたリスクに備えることが大切です。
( 6 ) まとめ
ここまで、情報セキュリティについて総まとめ的に紹介してきました。何となく理解していたものが、「そういうことだったのか」と納得いただけたのではないでしょうか。
企業にとって情報セキュリティを強化することは、企業経営において欠かせない取り組みです。情報セキュリティを怠ると、サイバー攻撃はもちろん、思いがけないトラブルに見舞われるリスクが高まり、甚大な被害が発生する恐れがあります。そのためにも、まずは情報セキュリティの知識を高め、自社の現状を把握・見直しをすることが重要です。
サクサでは、サイバー攻撃をはじめとする中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。
また、最新セキュリティレポートや情報漏洩対策チェックリストなど、さまざまなお役立ち資料もご提供していますので、ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。