情報セキュリティとは?中小企業での対策の必要性やリスク・脅威を解説
コンピューターやインターネットは企業にとって不可欠なものとなりましたが、便利な反面、ウイルス感染、システムの破壊、情報漏えい、災害による機器障害など多くの企業でさまざまなトラブルが発生しています。あなたの会社では、情報セキュリティ対策は万全でしょうか? 本記事では、情報セキュリティの基本概念から中小企業が実施すべき対策まで、わかりやすく解説します。
情報セキュリティとは?
情報セキュリティとは、第三者によるコンピューターへの侵入や情報の破壊、改ざん、流出などを阻止し、情報の機密性や安全性を保持すること。企業が保管する機密情報や個人情報がひとたび漏えいすれば、関係者や顧客、社会に多大な影響と被害をもたらすとともに、企業のブランドイメージを失墜させかねません。いまや、情報セキュリティ対策は、企業の重要な経営課題のひとつです。
情報セキュリティの3つの要素
情報セキュリティの3大要素は機密性・完全性・可用性。この3つが確保できているかどうかが、企業の情報管理体制の評価につながります。
◆機密性
機密性とは、認められた人だけが情報にアクセスできる状態を確保することです。機密性を確保するにはユーザー認証(利用者が本人かを確認する仕組み)を強固にすることが重要になります。IDやパスワード、IDカード、指紋、声紋、さらに網膜スキャンなど、複数組み合わせることで機密性はより高まります。
◆完全性
完全性とは、情報が破壊、改ざん、消去されていない状態を確保することです。近年はサイバー攻撃が多様化しています。情報の完全性を保つためには、IDやパスワードの設定だけでなく、ソフトウェアの更新やウイルス対策の導入なども必要となります。
◆可用性
可用性とは、認められた人だけが、必要時に中断することなく、情報にアクセスできる状態を確保することです。可用性を確保するためには、機器の故障、停電によるシステムダウンだけでなく落雷・地震などの災害発生時の対策に取り組むことが重要です。定期的なデータのバックアップはもちろん、本社だけでなく支社でもデータを保管するなど、機能が停止してもすぐに復旧できるようにしておく必要があります。
情報セキュリティの現状と必要性
近年、国内企業のDX(デジタルトランスフォーメーション)推進に伴い、サイバー攻撃の脅威も高まっています。事例を通してサイバー攻撃の現状や種類を知り、情報セキュリティ対策の必要性を認識しましょう。
昨今のサイバー攻撃の事例
国内事例 | |
| 2015年6月 | 日本年金機構の職員が利用する端末がマルウェアに感染し、年金加入者の情報約125万件が流出(①標的型攻撃) |
| 2015年11月 | 東京オリンピック・パラリンピック競技大会組織委員会のホームページにサイバー攻撃、約12時間閲覧不能(②DDoS攻撃) |
| 2016年6月 | i.JTB(JTBのグループ会社)の職員が利用する端末が、マルウェアに感染し、パスポート番号を含む個人情報が流出した可能性(①標的型攻撃) |
| 2017年5月 | 国内(行政、民間企業、病院等)において、WannaCryによる被害が確認。企業内のシステム停止などの障害が発生(③ランサムウェア) |
| 2018年1月 | コインチェック社が保有していた暗号資産(仮想通貨)が外部に送信され、顧客資産が流出(④不正アクセス) |
| 2020年 | 三菱電機、NECやNTTコミュニケーションズにおいて防衛関連情報を含む情報が外部へ流出した可能性が判明(④不正アクセス) |
サイバー攻撃のおもな種類
上記の事例が示すように、サイバー攻撃は年々多様化していますが代表的な「標的型攻撃」「DDoS攻撃」「ランサムウェア」「不正アクセス」について解説します。
①標的型攻撃
標的型攻撃とは、特定の組織を狙って情報を窃取しようとするサイバー攻撃です。標的の企業に業務を装ったメールを送りつけ、添付ファイルやリンクをクリックさせ、マルウェア配布サイトに誘導する手口がよく使われます。
マルウェアとは、OSやソフトウェアの脆弱性(プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥)を利用して攻撃する、悪意のあるソフトウェアの総称です。
②DDoS攻撃
DDoS攻撃とは「分散型サービス拒否攻撃」の略称で、企業のサーバーやネットワークに過大な負荷をかけて使用不能にする攻撃です。複数のコンピューターから大量のサービス要求のパケット(ネットワークを通して送信される分割されたデータ)を送りつけることでサーバーに負荷をかけます。
第三者のコンピューターをボット(コンピューターを外部から遠隔操作するためのウイルスの一種)に感染させておくなどして、攻撃者の指示によって複数のコンピューター(ボット)が一斉に攻撃を仕掛けてきます。
③ランサムウェア
ランサムウェアとは、暗号化などによって標的のファイルを利用不可能にした上で、元に戻すことと引き換えに金銭(身代金)を要求するマルウェア。身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア」を組み合わせた造語です。おもな感染経路としてメールやWebサイト、ファイルのダウンロードなどがあります。最近ではネットワークを介して攻撃パケットを送出することで、感染拡大を図る新たなタイプが猛威をふるっています。
④不正アクセス
不正アクセスとは、本来アクセス権限をもたない者が、サーバーや情報システムの内部へ侵入することです。不正アクセスを許すとサーバーや情報システムの停止、ホームページの改ざん、重要情報の漏えいにつながり、企業の業務やブランドイメージに多大な被害をもたらします。インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。
情報セキュリティの10の脅威
IPA(独立行政法人情報処理推進機構)は、2021年に発生した社会的に影響が大きかった事案から「情報セキュリティ10大脅威 2022」を発表しました。
| 順位 | 情報セキュリティにおける10の脅威 | 前年順位 |
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
| 5位 | 内部不正による情報漏えい | 6位 |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW! |
| 8位 | ビジネスメール詐欺による金銭被害 | 5位 |
| 9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
| 10位 | 不注意による情報漏えい等の被害 | 9位 |
前述した1位のランサムウェアや2位の標的型攻撃以外にも注意が必要な脅威があります。3位に上昇した「サプライチェーンの弱点を悪用した攻撃」、6位に上昇した「脆弱性対策情報の公開に伴う悪用増加」、さらに新たにランクインした7位「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」は特に注意が必要です。また、10位「不注意による情報漏えい等の被害」は働き方の変化によりリスクが高まっています。
◆サプライチェーンの弱点を悪用した攻撃
商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセスであるサプライチェーンの関係性を悪用する攻撃です。企業が構成するサプライチェーンの中でセキュリティ対策が手薄な組織や利用サービスの脆弱性等を最初の標的とし、そこから本命の企業を攻撃します。セキュリティ対策の強固な企業であっても関連組織経由で攻撃を受けたり、情報を漏えいしたりすることで被害が発生します。
◆脆弱性対策情報の公開に伴う悪用増加
ソフトウェアや機器類に脆弱性が発見されると対策情報が公開されます。この情報を悪用し、当該製品に対する脆弱性対策を講じていない利用者を狙う攻撃です。近年は脆弱性関連情報の公開後に攻撃コードが流通し、攻撃が本格化するまでの時間が短くなっています。
◆修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ソフトウェアの脆弱性が発見され、修正プログラムや回避策が公開される前に、その脆弱性を悪用する攻撃です。広く利用されているソフトウェアに対してゼロデイ攻撃が行われると、社会全体が混乱に陥るおそれがあります。
◆不注意による情報漏えい等の被害
従業員の不注意やミスによる情報漏えいのリスクもあります。例としてメールの誤送信やコンピューター・重要書類の紛失などが挙げられます。カフェで作業していて、離席時にコンピューターや書類を盗まれる、提供元不明のフリーWi-Fiにアクセスし不正アクセスを許す、他の利用者から画面を盗み見られる、などテレワークの普及により不注意による情報漏えいのリスクが高まっています。
情報セキュリティ対策の基本
企業を脅かす情報セキュリティ上のリスクは多様で、必要となる対策もさまざまです。大切なのは基本的な対策を抑えること。以下では企業が抑えておくべき基本的な対策を紹介します。
| 組織や企業で発生する可能性のあるトラブル | 情報セキュリティ対策の基本 |
| ウイルス感染 | ・ウイルス対策ソフトの導入 ・ソフトウェアの更新 ・危険なWebサイトのフィルタリング |
|
不正侵入(システムへの侵入・破壊) | ・パスワード管理 ・ファイアウォールの導入 ・侵入防止システムの導入 ・ソフトウェアの更新 ・ログの取得と管理 |
|
情報漏えい | ・ファイアウォールの導入 ・顧客データなどの管理 ・資料、メディア、機器の廃棄ルールの徹底 ・無線LANのセキュリティ設定 ・ユーザー権限の管理 ・パスワード管理 |
| 災害等による機器障害 | ・バックアップ ・無停電電源装置の設置 ・設備の安全管理 |
多様なリスクに対して、限られたリソースで最大限の効果を上げるためには、「情報セキュリティポリシー」を定めることも重要となります。情報セキュリティポリシーとは、情報の機密性・完全性・可用性を維持していくための企業の方針や行動指針をまとめたものです。
情報セキュリティポリシーをもとにすべての従業員に教育を実施し、意識の向上を促すことが必要です。また、組織の実態や社会の変化に合わせた定期的な情報セキュリティポリシーの見直しも必須となります。
このような企業(組織、部、課など)における情報セキュリティポリシーの策定から、実施の運用・改善までを含めた活動全体を「情報セキュリティマネジメント」と呼びます。情報セキュリティマネジメントは ISMS(Information Security Management System:インフォメーション・セキュリティ・マネジメント・システム)と呼ばれ、国際的な規格として ISO/IEC27001 として標準化され、情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。
中小企業で対策すべき情報セキュリティとは
情報セキュリティ対策は、現在では重要な経営課題のひとつです。たった1人の不注意によって、大きな被害につながることがあります。従業員の1人ひとりが自覚をもって取り組むべきですが、多くの中小企業にとって、いきなり精巧な対策を開始するのは難しいことでしょう。
IPAが発表した「中小企業の情報セキュリティ対策ガイドライン 第3版」では、企業の規模にかかわらず、必ず実行すべき重要な対策を5か条にまとめています。まずはこの5か条を参考に、できることから始めましょう。
| 情報セキュリティ対策 | 解説 |
| OSやソフトウェアは常に最新の状態にする
| OSやソフトウェアは古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染する危険性があります。OSやソフトウェアはできる限り更新し、常に最新の状態を保つようにしましょう。 |
| ウイルス対策ソフトを導入する | ID・パスワードを盗む、遠隔操作を行う、ファイルを勝手に暗号化するといったウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしておきましょう。 |
| パスワードを強化する | パスワードの推測や解析をされたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。 |
| 共有設定を見直す | データ保管などのウェブサービスやネットワークに接続した複合機の設定を間違ったために、無関係な人に情報をのぞき見られるトラブルが増えています。無関係な人がウェブサービスや機器を使うことができるような設定になっていないことを確認しましょう。 |
| 脅威や攻撃の手口を知る
| 取引先や関係者と偽ってウイルス付きのメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとしたりする巧妙な手口が増えています。脅威や攻撃の手口を把握し、適切な対策をとりましょう。 |
情報セキュリティ対策の事故
ここまで情報セキュリティの必要性や脅威、対策について見てきましたが、適切な対策を施さないと、どのような問題が起きるのでしょうか? 最後に、実際に起こった事故や被害の事例を紹介します。どの事例からも情報セキュリティ対策の基本を守る重要性がわかります。
事例(1):資料請求の情報が漏えいした
大手エステ会社のホームページで、資料請求のために登録された3万件以上の個人情報が漏えいする事件がありました。登録情報にはエステに関心をもっている理由や身体のサイズといった重要なプライバシー情報も含まれていたため、大きな問題となりました。
原因は、Webサーバーの初歩的な設定ミスでした。この事件に限らず、ホームページで登録された個人情報が漏えいする事件は数多く発生しています。そのほとんどは、基本的なサーバーの設定ミスや脆弱性対策の不備が原因だったとされています。
事例(2):ホームページが書き換えられた
ホームページの改ざん(書き換え)は、頻繁に発生する事件のひとつです。2000年には官庁のホームページが狙われ、相次いで改ざんされました。その後も同じような手口で、大手企業や自治体、学校などのホームページが改ざんされています。
ホームページの改ざんというと、高度な技術をもった攻撃者によるものと思うかもしれません。実はFTPサーバーの管理で安易なパスワードを設定していたり、既知の脆弱性を放置していたりといった基本的な情報セキュリティ対策を怠ったことが原因であることがほとんどなのです。
事例(3):標的型攻撃で企業の重要情報が…
ある組織が所有している機密情報が、電子メールで外部に送信されていることが判明しました。発端は、1人の職員の電子メールアドレスに知人を装ったウイルス付きのメールが送られたことでした。職員は全く疑わず、業務用のコンピューターで開封し、ウイルスに感染してしまいました。
たった1通のメールによって、たった1台のコンピューターがウイルス感染したことから重要な情報が盗まれる事態に発展することは多くあります。だからこそ、1人ひとりの情報セキュリティ対策の徹底が必要なのです。
サーブコープはITスペシャリストが常駐しています
テレワークの拡大でシェアオフィスの需要が高まり、交通インフラ・IT・不動産・ソフトウェア企業といった異業種が続々とシェアオフィス事業へ参入しています。選択肢が増えたのはいいことですが、情報セキュリティの意識が高い事業者はまだそう多くはありません。機密性の高い顧客の個人情報などを扱う企業は特に、ITセキュリティの専門スタッフがいるシェアオフィスを選ぶようにしましょう。
都内に17拠点、国内に27拠点のコワーキングスペースやレンタルオフィスを展開するサーブコープには、専門スタッフが常駐し、常にセキュリティ強化を心がけ、安心してご利用いただけるITサポートをご用意しています。
・お客さまごとにSSIDを提供
多くのシェアオフィスが、パスワードさえ入力すれば簡単に使えるシェアードWi-Fiを利用していますが、サーブコープはお客さまごとに専用のSSIDを提供し、そのSSIDに対する暗号化キーを個々にご提供しています。そのため、他のお客さまとネットワークが混合することはありません。
ITセキュリティ対策は、特にビジネス面で注意すべき課題です。自身でオフィスを構える際はできるだけ専門家にサポートを依頼し、レンタルオフィスなどを利用する際は入居時のITネットワーク環境だけでなく、セキュリティ対策やITトラブルにどう対応してくれるのかを事前に確認することをおすすめします。
レンタルオフィスをITネットワーク環境で選ぶべき理由とは?サーブコープIT担当者が解説!
文・鈴木にこ
求人メディアの編集者を経て、フリーランスとして活動中。ビジネス・ライフスタイル関連の書籍や記事のライティングをおこなう。
<参考資料>
