情報セキュリティ対策を一覧で紹介!中堅・中小こそ必要な重要ポイント
「情報セキュリティ対策」は大企業に限らず、予算・担当者が手薄な中堅・中小企業こそ狙われやすい傾向があります。ウィルス感染・不正アクセスなど年々高度化するサイバー攻撃に対して、中堅・中小企業が取るべき「情報セキュリティ対策」について紹介します。
- 目次
情報セキュリティ対策とは
情報セキュリティ対策とは、「マルウェア感染、システムへの不正アクセス、災害など多様なリスクから企業を守る」ことです。各リスクについてしっかりと対策方法を定め、教育を通じて社員一丸となって取り組む必要があります。
一口に「情報セキュリティ対策」と言っても、企業に必要とされる対策は多岐にわたります。
代表的なものに限定しても、次のようなことが必要となります。
- 業務用PCをウィルス感染から守るための対策
- サイバー攻撃によるサービス停止を防ぐための対策
- サーバーや業務システムへの不正アクセスを防ぐための対策
- 個人情報や機密データを漏えいさせないための対策
- ハードウェアを物理的破壊や盗難から守るための対策
PCだけでなくスマホの被害も増えている
モバイル機器への被害が増えていることも最近の傾向のひとつです。
スマートフォンへの攻撃は企業全体をターゲットにしたような大規模なものよりも、個人を標的としたものが多い傾向にあります。とは言え、業務に使用するモバイル端末には少なくとも、これらの対策を行い、情報セキュリティを向上しておく必要があるでしょう。
- OSやソフトウェアを常に最新の状態に保つ
- スマートフォン用のセキュリティ対策ソフトウェアを導入する
- 無料の公衆無線LANの使用は避ける
2020年に発生した情報セキュリティ被害と対策一覧表
年々高度化しているセキュリティ攻撃ですが、具体的にどのような被害が発生し、それらに対してはどのような対策を取れば良いのでしょうか。
情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2021」によると、2020年に発生した同機構が「社会的に影響が大きい」と判断した上位10位は次の通りです。
1位の「ランサムウェア」は昨年5位から上昇、また昨年は10位までに入っていなかった「テレワーク」「不正ログイン」「脆弱性」がランクインするなど、1年間で順位が大幅に変動していることが分かります。
| 順位 | 攻撃の種類 | 主な被害 | 主な対策 |
|---|---|---|---|
| 1位 | ランサムウェア | インターネット経由でウィルスに感染させてデータを暗号化し、身代金を要求 |
|
| 2位 | 標的型攻撃 | メールやフィッシングサイトを通じてウィルスに感染させ機密情報を窃取 |
|
| 3位 | テレワーク攻撃 | 社外のネットワークやWeb会議システムなどの脆弱性を利用し侵入 |
|
| 4位 | サプライチェーン攻撃 | セキュリティ対策に隙のある取引先や委託先を狙い機密情報を窃取 |
|
| 5位 | ビジネスメール詐欺 | ビジネスメールを装い、口座へ送金させるなどの手口で金銭をかすめ取る |
|
| 6位 | 内部不正 | USBメモリ、スマートフォンのカメラ機能などを悪用しデータを持ち出し |
|
| 7位 | IT基盤の障害 | データセンターやクラウドなどの停止により業務中断 |
|
| 8位 | 不正ログイン | ID、パスワードなどのログイン情報を悪用し社内システムに不正ログイン |
|
| 9位 | 情報漏えい | テレワークなど、業務環境の変化により意図せず情報を漏えい |
|
| 10位 | 脆弱性 | 公開された脆弱性情報を悪用し、利用者が対策を完了する前に攻撃 |
|
セキュリティ攻撃の被害額(企業規模別)
最近では、企業規模に関係なくセキュリティ攻撃の被害に合う傾向が増えてきています。
特に中堅・中小企業では、大企業ほど充実した情報セキュリティ対策を行っていないため、狙われやすくなっています。「情報セキュリティ対策は潤沢な予算が組める大企業だけの話」ではなく中堅・中小企業でも脅威についてきちんと理解し、対策を取っていく必要があります。
下のグラフは、一般社団法人 日本損害保険協会が2020年1月に公表した「中小企業の経営者のサイバーリスク意識調査2019」からの抜粋したものです。複数回被害に遭った場合には最も大きな被害額を回答するという条件が付いているものの、中小企業であっても実に37%が100万円~1000万円未満の損害を受けていることが読み取れます。
また、同調査では「サイバー攻撃に遭った際に苦労した点」に対して中小企業の42.6%が「復旧対応」、また「サイバー攻撃の被害に遭った際の影響」に対して48.5%が「原因の調査・復旧対応にかかる費用の捻出」と回答しており、万一サイバー攻撃に遭ってしまった場合には経営を直撃する恐れがあることが分かります。
つまり情報セキュリティ対策は「中堅・中小企業こそが意識すべき」ものなのです。
質問:以前に、サイバー攻撃の被害に遭ったことがある方にお伺いします。
被害として金銭的被害があった場合には、その被害総額をお答えください。
※サイバー攻撃被害者ベース(0円・わからないを除く)
実施期間:2019年11月12日(火)~11月15日(金)
有効回答数:中小企業の経営者・役員825サンプル/大企業の経営者・役員207サンプル (計1,032サンプル)
中堅・中小企業が優先して取り組むべき情報セキュリティ対策
大企業と同じように多くの情報セキュリティ対策を導入することは、予算・人材の不足しがちな中堅・中小企業では現実的ではありません。
では、どこから情報セキュリティ対策を始めれば良いのでしょうか。限られた予算でも実施可能な、優先度の高いものを以下に3点紹介します。
従業員教育の徹底
まず実施すべきは「社員教育の徹底」です。どれも言い古されているものですが、以下については定期的に社員全員に周知するべきです。
- 電話番号など推測されやすいパスワード、「0000」や「1234」など単純なパスワードは避ける
- 安易に他人に教えないなど、パスワードの管理を徹底する
- メールの添付ファイルは容易に開かない、不審なURLはクリックしない
テレワーク対策
今回紹介した攻撃の中には、テレワーク移行に関連するものも複数含まれていました。VPNなどを活用し安全なネットワーク環境を整えることが最適ですが、そうできない場合には、次のことを実施しましょう。
- テレワーク時のデータ持ち出し、使用する機器の条件などの社内ルールを定める
- 在宅勤務を実施する場合には、自宅のWi-Fiルーターの暗号化やパスワードの設定を確認する
- 無料の公衆無線LANなど、安全でないネットワークの使用は避ける
セキュリティ自体の強化
情報セキュリティ対策として、セキュリティ自体を強化する以上の対応はありません。すぐにセキュリティを強化できる方法としては、次のことが考えられます。
- 脆弱性など、セキュリティ関連の情報収集を怠らない
- OSやソフトウェアはこまめにアップデートして最新の状態に保つ
- セキュリティ対策サービスやセキュリティ製品などを導入する
セキュリティ対策できるセキュアアクセスゲートウェイ
ここで、NTTPCが提供するセキュリティ対策サービスを紹介します。
「Secure Access Gateway」(セキュアアクセスゲートウェイ)は、中堅・中小企業様に向けた、機能も価格も「ちょうどいい」ネットワークの安全対策サービスです。「自社のセキュリティをすぐに構築したいが、分からないことだらけ」という方などに迅速にご利用になれるよう、月額500円(税込 / 1ユーザーあたり)からの設定となっています。
同サービスでは、SASE(Secure Access Service Edge、サシー)のコンセプトに基づき、クラウド上でネットワーク機能とセキュリティ機能を統合し一元的に提供。テレワーク実施時など、外からのアクセスに対しても安全・安心・快適なネットワーク環境が構築できます。
ご不明な点がございましたら、まずはお気軽にお問い合わせください。
まとめ
今回は現在の主なセキュリティ上の脅威とその対策について紹介しました。
今後も攻撃手段はますます高度化し、標的とされる危険性も上昇していくことでしょう。冒頭でも申し上げたとおり、情報セキュリティ対策に終わりはありません。今回の記事を参考に、まずは中長期的な視野に立ち、実現可能なところから対策を開始してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
