ニュースを見ていると、情報漏洩やデータ改ざんなどの話題が出ることがあります。これらの話題となった被害者とも言える企業のその後を見ると、信用失墜により顧客が離れたり株価が暴落したりしています。
ここで企業が非難されることが多い要因は「セキュリティ対策の甘さ」によるものなのです。
今回は、大切な資産情報を保護するセキュリティ対策を行い、さらには強化するということは一体何を行えば良いのかをご紹介していきます。
中小企業だからセキュリティ対策が甘かったと言われてしまわないよう、まずは重要性や対策について理解していきましょう。
□■□■IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。お問い合わせはこちらから□■□■
Contents
セキュリティ対策とは
セキュリティ対策とは、「資産を様々なリスクから守るための対策」ということです。
考えてみると、一昔前であればセキュリティ対策と言われて思いつくのは鍵を変えたり金庫を用意したり、セキュリティ会社に守ってもらうという物理的な方法が浮かんでいたかもしれません。
これらの対策は現在でも立派な物理的なセキュリティ対策ですが、インターネット上の情報資産のセキュリティ対策はこれだけでは守れません。
いくら物理的に資産情報を守ろうとしても、インターネットでパソコンに侵入できてしまえば情報は見放題です。
そのため、現在は物理的な対策とインターネット上の対策の両方をひとまとめにしてセキュリティ対策と理解されていることが多いようです。
すべての企業がセキュリティ対策をすべき理由
中小企業によっては、「うちの会社の情報を狙う人なんていないだろう」とセキュリティ対策を怠る企業も存在します。
しかし、情報資源に関しては企業規模の大小に限らず、どんな企業の情報であれ狙われる可能性があります。
取引先の顧客情報や従業員の個人情報、会社の経営状況などのあらゆる情報が闇市場で売れる時代です。
セキュリティを甘く考えていたり、セキュリティ対策の理解が弱い中小企業が逆に狙われるケースもあるので、会社の規模によってセキュリティ対策が不要であるとは言えないのです。
さらに、情報漏洩が起こると周囲からの信用が失墜しますので、経営が苦しくなることは間違いありません。
ライバル企業に対して故意に攻撃を仕掛けるケースも散見されるため、会社を継続させる上ではセキュリティ対策は必須となります。
インターネットのセキュリティリスク
セキュリティ対策を行う上で重要なのは、まずはどのようなリスクがあるのかを知ることです。
リスクを知ることで、行うべきセキュリティ対策が明確になってきます。
そこで、よくある具体策なリスクについてご紹介していきます。
不正アクセス
許可されていない人物がシステムなどにログインすることを不正アクセスと言います。
最も身近な不正アクセスといえば、通販サイトにユーザになりすまし不正にログインして登録されているクレジットカード情報などを利用し勝手に買い物をされていたという事件は発生するケースも多いです。
これらの多くは、IDとパスワードを第三者に知られてしまい、勝手にアクセスされてしまうケースです。
それ以外にも、退職した社員が外部からまだ残っていたアカウントを使用して社内のシステムにアクセスしたり、ネットに落ちている不正アクセスツールを使用してアクセスするケースもあります。
システムに侵入されるとパソコンで行える行為全てが不正に操作されてしまうので、発注や契約、さらにはデータ消去など多大なる被害が起こる可能性があります。
情報漏えい
近年、企業で最も多い問題が情報漏洩です。
会社には経営情報の他に、プロジェクトの内容や発表前の情報、取引先の情報や個人情報など、様々な機密情報が保存されています。
それらが何らかの理由により外部に公開されてしまうことを情報漏洩と言います。
社内に関係のある情報が漏れてしまえば、その先の経営に支障をきたすことはもちろんですが、取引先との契約違反で訴訟が起こったり、今後の取引ができなくなったりすることもあります。
また、顧客情報が流出してしまうとその先の顧客獲得は絶望的となってしまうので、情報漏洩が起こると企業の存続が危ぶまれることは間違いありません。
何より問題なのは、情報漏洩してしまう要因が社外だけではなく、社内内部から漏洩してしまうケースも多いとう事実です。社外からのセキュリティ対策に注力してしまうのではなく、社内のセキュリティ教育などにも力を入れる必要があります。
データ改ざん
企業では様々な社内情報が保管されていますが、そのデータを不正に変更することをデータ改ざんと言います。
インターネットが普及し始めた頃に多かった、ホームページのデータを書き換えるという悪戯のような行為も流行していましたが、現在では明確な悪意を持ったホームページの改ざんも多発しており、この不正データ改ざんにより企業が受ける悪影響ははかりしれません。
事業に直結しているデータを改ざんされてしまったり、サービスを改善されてしまい、さらには正しいデータがわからなくなってしまうと、事業継続が難しくなることはもちろんのことですが、その復旧のために最低でも数日間の営業休止を余儀なくされることもあります。
マルウェア感染
マルウェアという言葉が耳慣れない方もいらっしゃるかもしれませんが、コンピュータに被害をもたらすことを目的とした悪意のあるソフトウェアのことを指します。
一昔前に言われていた「ウイルス感染」もマルウェアに含まれますが、それ以外にも勝手に出てくるポップアップなども含まれることもあります。
内容によっては様々ですが、パソコンのデータが全て抜き取られてしまったり、乗っ取られて勝手に操作されたり、近年では操作できない状況にして身代金を要求してくるものもあります。
マルウェア感染による被害は拡大しており、誰でも感染してしまう可能性のあるセキュリティリスクです。メールに添付ファイルがあったり、URLの記載があるような場合、知っている取引先などからであっても安易にクリックせずに、警戒して対応することが大切です。
DDoS/DoS攻撃
ホームページにアクセスが集中すると「サーバーにつながりません」や「ページが読み込めません」などの表示が出たことを目にした方は多いといらっしゃいますが、この現象を意図的に起こしてアクセス集中状態を引き起こし障害を発生させるサイバー攻撃です。
通常は、ホームページにアクセスしてくるのは個人・法人ユーザーからのアクセスですが、DDoS/DoS攻撃は踏み台となったパソコンが機械的に自動で行ったりします。
世界に散らばっているマルウェア感染により踏み台化されたパソコンが、一斉に企業のパソコンにアクセスするような攻撃が一般的です。
Webサーバー以外にも、DNSサーバーやネットワークに多大な負荷をかけてサービスを停止させてきますので、このサイバー攻撃が続く限りサービスを再起動しても、サービスを継続できないため、通常業務が困難になります。
企業が対策すべき具体的なセキュリティ対策
大まかなリスクをご紹介しましたが、そのリスクに対して行うべき対策をご紹介していきます。
ご紹介したリスクを見ると、どれも通常の運用は困難になるものばかりです。
そのため、しっかりとした対策を行なって安全な経営を行う必要があります。
ID・パスワードの管理
最も基本となり、専門知識もそこまで不要なものがID・パスワードをしっかり管理することです。
現在使用されていないIDがないのか確認することは、不正アクセス防止に大きく役立ちます。
また、退職した社員のIDをすぐに削除するなども必須事項ですし、そうすることによって余計なライセンスを消費しないで済みます。
また、定期的なパスワード変更なども重要です。
慣れたパスワードから変更することで業務が行いにくくなることもありますが、知らず知らずに不正アクセスを受けていた場合などにはパスワード変更でシャットアウトが可能です。
特にITリテラシーが低い社員に多いのは、IDパスワードをメモした付箋をディスプレイに貼っていたりして漏洩してしまったり、ID・パスワードの管理を従業員に任せてしまい、同じID・パスワードは様々なSaasなどで使いまわしてしまったりすることです。非常に大きなリスクを抱えてしまっていることに注意が必要です。
デバイスの管理
パソコンやスマートフォン、USBメモリや外付けHDDなど、正しく管理していくことが大切です。
どこにあってどのように使用されているのかを把握することによって、知らないうちに紛失して情報漏洩していたということのないようにしましょう。
パスワードロックがかかっていたとしても、専門家の前では無力です。
デバイスが攻撃者の手に渡ってしまった時点で情報が漏洩してしまうので、無くさないことと万が一なくなった場合には、早期対策を行うことが重要です。
このことからも、IT資産管理を正確に行うということは、企業の資産状況を把握するだけではなく、セキュリティ対策の観点から見ても重要なことがわかります。
セキュリティ対策ソフトの導入
パソコンやスマートフォンにはセキュリティ対策ソフトを導入することを必須としてください。
問題のあるファイルがダウンロードされることを防いだり、問題のあるURLにアクセスしようとするとブロックしてくれる機能は絶対に必要です。
また、設定によって問題があるとされるアプリを実行しようとした際にブロックが起こる「ふるまい検知」という機能があるものも近年普及してきたため、セキュリティ対策には欠かせない一つとなっています。
OSやアプリケーションのアップデート
攻撃者によっては、OSやアプリケーション特有のバグを見つけ、それをきっかけにして攻撃を仕掛けてくるケースもあります。
この攻撃される可能性のあるバグや仕様を「脆弱性」と呼びますが、脆弱性が見つかった段階で各メーカーは対策した新しいバージョンをリリースします。
例えばマクロソフトのWindowsであっても脆弱性が見つかることは少なくなく、脆弱性が見つかるとセキュリティパッチという対策済みのソフトウェアが配布されますが、アップデートを行わなければいつまでも脆弱性を含んだバージョンが使用されているため、攻撃されてしまいます。
特に脆弱性が報告された際には、適切なバージョン管理を行い、すみやかにアップデートしてもらうようにしましょう。
データのバックアップ
データ改ざん対策のためにも、データのバックアップしておくことが重要です。
重要なファイルやデータをバックアップしておくことは以前から行なっていても、攻撃や機器の破損によってデータの使用ができなくなった際には、バックアップがなければ業務が遅延してしまいます。
そのためにも機密情報などを含むデータバックアップと、事業継続のために必要なシステムなどを含めたバックアップをしておくことが必要になります。
フルバックアップと差分バップアップをうまく使用して、データがなくなった際にもすみやかに復旧できるようにしておくことが大切となります。
社員の意識向上、ルールの徹底
現在セキュリティ対策がかなり普及している中で、最も多い問題が実際の人間のミスによるものや物理的な問題が多いです。
パスワードや機密情報を直接盗み見たり、データを持ち出す行為が多くなっていることも問題の一つです。
また、パソコンやデータを持ち替える際に、帰りの電車に置き忘れるという事件は数多く聞きますので、社員の意識向上やルール徹底は必須事項となります。
離席する際にパソコンをロックするなどの意識向上や、事件を起こした際にはバレやすい環境、割に合わないなどの意識づけを行う事が大切です。
テレワークへの対策
テレワークの普及により、セキュリティに問題が発生していることも事実です。
テレワーク中はどのような作業を行なっているのかがわからないので、システムによっては攻撃しようと思えば誰にでも行いやすい環境ができています。
また、個人パソコンからテレワークを行なっている場合は、マルウェアに感染したパソコンで社内ネットワークにアクセスしている可能性もあります。
その場合は攻撃者の格好の餌食となってしまいますので、今まで以上にセキュリティ対策が必要となっているのです。
そのようなセキュリティ対策の対象範囲が広く、コントロールが難しいテレワークは大手企業を含めて縮小傾向であるという事実はセキュアな環境を用意するのがどれほど難しいのかを物語っているといえます。
セキュリティ対策を行っていない中小企業は多い?
現状を見ると、セキュリティ対策を満足に行なっていない中小企業は実は多いのです。
この原因は様々ありますが、第一には専門の知識がない人間がセキュリティ対策担当とならざるを得ない状況であるということが言えます。
では、中小企業の実情を見ていきましょう。
中小企業はセキュリティ投資を行っていない?
セキュリティに対して適切な投資を行なっていない中小企業は残念ながら多く存在します。
セキュリティソフトのみ入れておけば安心と考えている方も少なくないようです。
この原因は、対策として何を行えば良いのかわからなかったり、そもそも攻撃を受けることがないと考えている場合、さらにはセキュリティ対策の費用に価値を感じない場合が多いようです。
確かにセキュリティ対策は高額なものも多く、導入に躊躇してしまうこともあります。
しかし、物理的に考えると泥棒対策を素人が行おうとしても大変であることと同様に、セキュリティも専門家が行わなければ難しいのが現状なのです。
中小企業が狙われている?
セキュリティ対策をあまり行なっていなかったり充分ではない中小企業が多いことはお伝えしましたが、それが原因で狙われやすいというリスクがあります。
金銭目的であっても愉快犯であっても、どちらにせよ大企業のほうがメリットが多い気はします。
しかし、攻撃を仕掛ける手間などを考えると知識や時間は膨大にかかるので、気軽に攻撃のかけられる中小企業が多いのです。
現在はネット上にも攻撃に必要な情報やツールが落ちていることも多いので、イタズラ目的で中小企業が狙われるというリスクが高くなっているのが現状なのです。
社内のセキュリティに不安を感じたら相談を
セキュリティ対策を自社で行おうとしても、元々知識がない人材が行うことは困難であるといえます。
充分な知識を持ち、さらには実際にセキュリティ対策を行なった人材がセキュリティ対策には必要となるのです。
実際に知識や経験を持った人材を探すとなると時間もお金もかかるだけではなく、中小企業で専任を設置するほどのセキュリティ業務があるのか、採用できたとしても管理できるノウハウがあるのかなど、現実にすることは難しいでしょう。
もしセキュリティ対策を検討されるのであれば、必要なサービスを必要なだけ利用できるような外部サービスにアウトーソースするのが中小企業にはマッチしているでしょう。
IT保守や社内ヘルプデスク、セキュリティ対策の専門家としてこれまで200社以上の企業のITサポートしてきましたITボランチに相談してみませんか。初回相談は完全無料となっていますので、お気軽にご相談ください。
