情報セキュリティリスクとは?
2つの要素と対策方法を徹底解説

サイバー攻撃不正アクセス情報漏洩など、不穏なニュースが後を絶ちません。世界中がインターネットでつながっている現代、情報セキュリティリスクに備えることの重要性は多くの経営者が認識されていると思います。しかし、具体的に何をどうすればいいのか、適切な対処方法は何かを把握するためには、情報セキュリティリスクに関する正しい理解が必要不可欠です。今回の記事では、情報セキュリティリスクにおける2つの要素と対策方法について詳しく解説します。ぜひ、自社のセキュリティ対策の参考になさってください。

今回のお悩み
情報セキュリティリスクにはどのようなものがあるのかを把握したい。情報セキュリティリスクをそのままにしておくとどうなるのか、企業としてどのような対策を行えばよいのかも知りたい。

私が解説します!
まずは情報セキュリティの2大リスクである「脅威」と「脆弱性」について解説します。具体的な被害事例も見ることで、情報セキュリティリスクを放置することの怖さ、対策の重要性を理解していきましょう。

( 1 ) 情報セキュリティの2大リスクは「脅威」と「脆弱性」

情報セキュリティリスクとは?

情報セキュリティリスクとは、企業の情報システムや保有するデータなどに損害を与える要因のことです。情報セキュリティにおいては、「機密性」「完全性」「可用性」の3要素(※1)を保つことが重要とされています。つまり、許可されたユーザーだけが情報にアクセスでき(機密性)、情報を正確かつ完全な状態に保ち(完全性)、必要なときにいつでも情報を利用できる状態であること(可用性)です。これらが正常に機能していることが、「情報セキュリティが保持できている状態」であるということになります。情報セキュリティリスクは、情報セキュリティ3要素が正常に機能していない状態(情報セキュリティが保持できていない状態)になる要因とも言えるでしょう。

情報セキュリティの2大リスクは「脅威」と「脆弱性」

リスクは「脅威」と「脆弱性」に分けられる

情報セキュリティ3要素が正常に機能していないというのは、どのような状態なのでしょうか。
マルウェア(※2)に感染した、不正アクセスを受けて業務が停止してしまったなど、さまざまなケースが考えられますが、これらは大別すれば「脅威」と「脆弱性」の2つに分類することができます。
「脅威」とは、情報セキュリティを脅かす攻撃のことです。「脆弱性」とは、情報セキュリティの弱点のことで、「セキュリティホール」とも呼ばれます。脅威と脆弱性は互いに関連している場合が多く、例えばソフトウェアに脆弱性があることで、悪意ある第三者からの攻撃を受けやすくなってしまいます。

※1 情報セキュリティ3要素:「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の頭文字を取って「CIA」とも呼ばれる。
※2 マルウェア:ウイルスなど、悪意ある不正プログラムの総称。

( 2 ) 情報セキュリティリスク「脅威」の種類

「脅威」をさらに分類すると、3つに分けられます。それぞれについて解説します。

①意図的脅威

脅威という言葉から最もイメージしやすいのが意図的脅威です。マルウェア感染や不正アクセス、Webサイトの改ざんなど、悪意ある第三者によって引き起こされます。また意図的脅威は外部だけでなく、内部にも潜んでいます。社内の人間が金銭や手土産転職(※3)を目的として情報を持ち出すケースも含まれます。

②偶発的脅威

悪意はなくとも起きてしまうのが偶発的脅威です。メール誤送信のようなヒューマンエラーによる情報漏洩や、パソコンやUSBといった記録媒体を社外に持ち出した際に紛失するなどが典型的なパターンです。どれだけ注意していても、人為的なうっかりミスは発生してしまいます。

③環境的脅威

地震、落雷、台風、火災などの自然災害、または高気温、高湿度などの異常気象によるものが環境的脅威です。例えば停電によってサーバが停止・破損し、大事なデータが消えたり機能がストップしたりする場合や、地震や豪雨によってオフィス自体が使えなくなる場合などが挙げられます。

※3 手土産転職:退職時に顧客情報や機密情報などを盗み、転職先に「手土産」として渡す不正行為。

( 3 ) 情報セキュリティリスク「脆弱性」の種類

脆弱性」についても、「脅威」と同様に3種類に大別できます。

①ソフトウェアの脆弱性

OSをはじめ、ソフトウェアにはしばしば脆弱性が存在します。中にはベンダーが気づかないケースもあり、多くは判明後に修正パッチ(※4)が提供されますが、その隙をついて攻撃を仕掛けてくるゼロデイ攻撃(※5)のような攻撃もあり、油断できません。また近年はテレワーク(リモート接続システム)の脆弱性を狙ってくる手口も増えています。

②管理・運用体制の脆弱性

大事なデータは適切に管理・運用しなければなりません。これができていない会社は、企業体質そのものに脆弱性が潜んでいます。機密情報に誰でも簡単にアクセスできたり、パソコンや記録媒体の持ち出しに明確なルールがなかったり、そもそも従業員の情報セキュリティに対する意識が低かったりすると、一気にリスクが高まります。

③立地の脆弱性

災害が起きやすい立地にオフィスやデータセンターがあることも、一種の脆弱性と言えるでしょう。データを守れないだけでなく、万が一のときは出社できないなど業務に支障が出る可能性もあります。また海外に拠点を展開している場合は、その国や地域の治安にも留意しなければなりません。

※4 修正パッチ:バグ、欠陥などソフトウェアの脆弱性を解消する更新プログラムのこと。アップデート。
※5 ゼロデイ攻撃脆弱性を解消するための対策が提供される前に行われるサイバー攻撃脆弱性は存在しているけれど修正パッチがまだない状態を「ゼロデイ」と呼ぶ。

( 4 ) 情報セキュリティリスクによる被害

情報セキュリティリスクの対策を怠ると、重大な被害に発展するおそれがあります。「狙われるような重要なデータを保有していないから大丈夫だろう」と思っていても、気づかぬうちに被害にあわないとも限りません。そうなってからでは遅いということがよくわかる、2つのセキュリティインシデントの事例を紹介します。

【CASE:1】1社のシステム障害が計り知れない影響を及ぼす

2022年2月、大手自動車メーカーの仕入れ先の会社が不正アクセスによるサイバー攻撃を受け、システムが停止しました。車は部品が一つでもそろわなければ、組み立てることができません。そのため、大手自動車メーカーでも国内14工場28ラインの稼働を1日停止し、約1万3000台の生産を見送る事態になりました。

こうした攻撃は「サプライチェーン攻撃」と呼ばれます。サプライチェーンとは材料や部品の調達から販売に至るまでの一連の流れを指しますが、その供給網を悪用した攻撃のことです。いきなり標的とする大手企業を狙うのではなく、まずはサプライチェーンに連なる中小企業を狙う狡猾な攻撃です。情報セキュリティ対策が比較的手薄と攻撃者が考える関連会社や取引先が狙われます。

以前からサプライチェーン攻撃の怖さは指摘されていましたが、たった1社のシステム障害が実に大きな影響を及ぼすことを、この事件はあらためて世間に広く知らしめました。

【CASE:2】集められた個人情報は犯罪者にとって「宝の山」

2024年6月、出版やIPビジネス(※6)などを手がけるエンターテインメント企業のグループデータセンター内のサーバが大規模なサイバー攻撃を受け、システム障害が発生しました。紙書籍の受注システムや流通システムが停止し、出荷部数が平常時の3分の1に減少しただけでなく、株価も20%下落しました。

攻撃者はダークウェブ(※7)上に犯行声明を発表。大量の個人情報を盗み出して身代金も要求しており、結果的に個人情報の流出も発生したと見られています。
こうした攻撃は、「ランサムウェア」と呼ばれるマルウェアによるものです。ランサム(Ransom)とは「身代金」の意味で、IPA(独立行政法人 情報処理推進機構)が発表している「情報セキュリティ10大脅威」の組織編でも9年連続ランクイン。しかも4年連続1位と、近年あまりに増えていることから「ランサムウェア対策特設ページ」も設けられています。

ここまで読んで「狙われるのは大企業だけでは?」と思われるかもしれませんが、ランサムウェア被害の6割は中小企業という警察庁の報告があるとおり、決して大企業のみを狙うものではありません。むしろ、強固なセキュリティ対策を行う大企業よりも、手薄な中小企業が狙われているケースが増えています。

参照:IPA(独立行政法人 情報処理推進機構)ランサムウェア対策特設ページ_情報セキュリティ 参照:警察庁_令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について ※6 IPビジネス:IPは「Intellectual Property(知的財産)」の略。IPビジネスとは、自社が生み出した知的財産によって収益を得るビジネスのこと。
※7 ダークウェブ:匿名性の高いインターネット上の領域を指す。通常のブラウザからはアクセスできない仕組みになっている。違法な取引などの温床になっていることも多い。

( 5 ) 情報セキュリティリスクの対策方法

では、情報セキュリティリスクに対してどのような対策を講じればよいのでしょうか。以下に挙げるポイントに留意し、普段からセキュリティ情報のトレンドにアンテナを張りながら、リスクの種類・性質に応じた対策をとることが重要です。

【企業として気をつけたいこと6選】

まずは、企業としてできる6項目です。いずれも難しいことではありませんが、意外と徹底できていないという会社が多いのではないでしょうか。

  • ID・パスワードなどのアカウント管理を徹底する
  • 適切なアクセス制限を設定する
  • ソフトウェアを常にアップデートする
  • 適切なツールを導入する
  • テレワークの運用ルールを策定する
  • 従業員への情報発信・研修を実施する

【個人として気をつけたいこと6選】

次に、従業員一人ひとりが気をつけるべき6項目です。これらの対策は従業員個人に委ねるのではなく、企業や組織でルール化し、リテラシーを高める指導や研修などを行うことも有効です。

  • 適切なパスワードを設定・管理する
  • 許可されたデバイス以外は業務に使用しない
  • 安易にソフトウェアをインストールしない
  • フィッシングメールに注意する
  • Webサイトの閲覧に注意する
  • 個人情報をデバイスに保存しない

( 6 ) 情報セキュリティリスク対策における経営者の心構え

情報セキュリティリスク対策は、何もインシデントが起きなければ、「わざわざ対策をしなくても大丈夫だろう」と考える方が少なくありません。
しかし情報セキュリティリスクは日々巧妙化・複雑化しており、対策をしている会社としていない会社では必ず差が出てきます。対策には当然コストもかかりますが、万一、情報漏洩などのインシデントが発生した場合には、それ以上の損害が出てしまう可能性もあります。

欧米に比べると日本の経営者は情報セキュリティへの関心度が低いと言われます。情報セキュリティリスク対策も含めたDX(※8)は、会社の経営を左右する重要な原動力であるという認識がまだまだ足りないのかもしれません。情報セキュリティ対策の必要性を認識したうえで、必要な設備投資を行うという考え方が大事です。

情報セキュリティリスク対策における経営者の心構え

情報セキュリティリスク対策は「経営課題」

適切な情報セキュリティリスク対策を講じないままインシデントが発生した場合、ビジネスの機会を喪失するだけでなく、信頼やブランドイメージが失墜し、場合によっては賠償金など経営責任や法的責任が発生することも考えられます。
デジタル化が進むほど、情報セキュリティリスク対策の重要度は増していきます。情報セキュリティ対策は、いわばビジネスにとってなくてはならない「インフラ整備」です。2022年4月には「改正個人情報保護法」が施行され、個人情報を取り扱う事業者に対して、情報が漏洩したときの報告が完全に義務化されました。
報告を怠ると、最大1億円の罰金が科せられるだけでなく、悪質と判断された場合には社名も公表されます。
情報という資産を守り、安定した事業活動を行うために、情報セキュリティリスク対策はもはや「経営課題」として取り組むべき重要なタスクと考えましょう。

※8 DX:「Digital Transformation(デジタル・トランスフォーメーション)」の略。デジタルによるビジネスや生活の変革を意味する。

( 7 ) まとめ

今回は、情報セキュリティリスクとは何かを詳しく解説してきました。情報セキュリティリスクは「脅威」と「脆弱性」に大別されること、それぞれの種類や企業・個人が気をつけるべきポイントなどがご理解いただけたのではないでしょうか。また情報セキュリティリスクへの対策を怠ると、企業は重大な被害を受けるおそれがあることや、取引先および関係者に多大な影響を与え、信頼の失墜につながることもおわかりいただけたのではないかと思います。
そうならないためにも、日ごろから情報セキュリティリスクへの対策をしっかりと行っておくことが肝要です。

サクサは、情報セキュリティの課題を解決するツールや、情報セキュリティ対策のご提案を通して中堅・中小企業のサポートをさせていただきます。ぜひ気軽にご相談ください。
また、情報セキュリティリスクへの対策方法をまとめた「情報漏洩対策チェックリスト」をはじめ、さまざまなお役立ち資料をご用意しています。こちらもぜひご活用ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら