こんにちは！イー・ガーディアンです。

近年のIoT技術やAIの発達により、インターネットを活用した企業活動がビジネスの基本となりつつあります。しかし、インターネットという通信手段によって企業の情報資産にアクセスできるということは、第三者による攻撃も発生しやすくなるということになります。インターネットを活用したビジネスを安全に展開するためには、情報セキュリティ対策にも注意を払わなければなりません。

そこで、今回は企業の情報セキュリティにおけるトラブルの要因や対策について解説していきます。

■情報セキュリティ対策とは

情報セキュリティ対策とは、PCやインターネットを安全に使用できるよう、また企業や個人に関する重要なデータをサイバー攻撃から守るための取り組み・対策のことです。

昨今、顧客情報や機密情報は全てデータ化され、PCやインターネットを使って管理している企業がほとんどでしょう。クラウドサービスによる情報の利活用も急速に進んでいます。私たちは、いつでもどこでも様々な情報資産にアクセスできる一方で、重要データの管理が疎かになっていると、社内外からの攻撃・不正によって情報漏えいやWebサイトの改ざん等セキュリティ事故が発生する恐れがあるため、各社適切な情報セキュリティ対策が求められています。

■企業が情報セキュリティ対策を行う重要性

情報セキュリティ対策に取り組むことで、対外的に企業の信頼性が高まり業績向上にも繋がります。一方で、情報セキュリティ対策を疎かにしたためにシステム障害や情報漏えいが発生すると、情報漏えい有無の確認や対策、各種サービスの復旧対応に追われることとなり通常業務に支障をきたすだけでなく、社会的信用の失墜や業績悪化など甚大な被害を被ることになります。

形のない情報資産を守り有効に活用するためには、電子化されたデータの取り扱いに関する知識やインターネットを安全に利用するための対策が必要不可欠ですが、情報セキュリティ対策が徹底されている大手企業に比べて、中小企業は対策が進んでいないという実情があります。

最近では、企業規模に関係なくサイバー攻撃が多発しているため、インターネットを用いた事業展開を行う上では、企業規模や業種に関係なく取り組まなければならないものと認識し、適切なセキュリティ対策を行うことが重要です。

■情報セキュリティ対策マップを作成し、分析と対策を

適切な情報セキュリティ対策を行うためには、情報資産や自社のシステム構成などを把握することが重要です。まず第一歩として「情報セキュリティ対策マップ」を用いて、起因別に想定されるセキュリティ事故から解決までの道筋を考えてみましょう。

情報セキュリティ上のトラブルの原因は、主に「内部要因」と「外部要因」の2つに分けられます。ここでは、情報セキュリティ対策マップを作成するにあたって理解しておきたい「内部要因」「外部要因」について解説していきます。

情報セキュリティ上の内部要因

情報セキュリティ上の内部要因とは、企業内でセキュリティ事故が生じることを指します。情報漏えいは、従業員のミスや不正などの内部要因によるものも多く発生しています。

例えば、従業員による情報紛失や端末の置き忘れなどはよくあるケースです。機密情報が入ったUSBメモリを社外で紛失してしまったり、業務に使用しているPCなどの端末が盗難に遭ったりすることで、本来社外に漏れないはずの情報資産が、第三者の手に渡ってしまうのです。

また、社外にデータを持ち出していないにも関わらず情報漏えいが起きるケースとしては、各種デバイスの設定ミスや操作ミスが考えられます。設定ミスにより誰でも企業データにアクセスできる状態になっていたり、データの送付先を誤った場合、第三者に自ら情報を提供しているのと同じ状態となってしまいます。

他にも意図的なデータの持ち出しによる内部犯罪が問題になることもあります。情報漏えいであるからといって、外部要因と決めつけず、内部要因でないかを検証することも大切です。

情報セキュリティ上の外部要因

外部要因とは、第三者からの攻撃が原因となるセキュリティ事故のことで、その中でも特に注意したいのが、ウイルス感染と不正アクセスです。

2022年に発生した上場企業における情報漏えい・紛失事故のうち、「ウイルス感染・不正アクセス」によるものが半数以上を占めるなど被害が増加しています。(※東京商工リサーチ調べ)

ウイルス感染は個人でも起こり得るインシデントですが、業務で使用している端末がウイルスに感染してしまうと膨大な量のデータが破損しかねません。さらに、同じ企業内に感染が拡大したり、企業が運営するウェブサイトを通じて顧客にまで感染が拡大したりするケースも発生しており、多くのデバイスが危険に晒される恐れがあります。

第三者による不正アクセスは、ソフトウェアや使用しているサーバーの脆弱性をついたもので、システム内に一度侵入されると企業の機密情報を窃取される他、データの破壊や改ざんが行われてしまいます。他にもなりすましや盗み見・盗聴といった不正行為も外的要因に含まれます。

明確な悪意のある外部要因であればあるほど、一件あたりの被害が大きくなるため、十分な情報セキュリティ対策が重要となります。

■情報セキュリティ対策の具体的な方法

情報セキュリティ対策を考える際は、セキュリティ事故を防止するための「予防」、いち早く検知するための「発見」、万が一事故が発生した場合に、被害を最小限に抑えるための「事後対策」の3つの対策が重要となります。これらの対策をバランス良く行うことで、より高いセキュリティレベルを保つことができます。

ここでは、情報セキュリティを強化するために必要な対策方法を、内部要因と外部要因、それぞれについての対策を解説していきます。

情報セキュリティの内部要因への対策

内部要因に対する情報セキュリティ対策を行う際は、はじめに物理的対策を徹底しましょう。物理的対策とは、建物や設備など、従業員が日常的に使用するものへのセキュリティ対策です。不審人物の侵入や従業員の不審行動を防ぐために、ICカードや生体認証を用いた入退室管理システムの導入や防犯カメラの設置、警備システムを検討しましょう。

次に、企業機密が外部に漏れないよう記憶装置などのデバイス制御やアクセス権限の設定、パスワード管理を見直しましょう。また、メールによるウイルス感染、標的型攻撃を防ぐためにも、企業や従業員個人宛に送られてきたメールはメールそのものや添付ファイルなどが安全であるかどうか見極め、開封するよう徹底しましょう。定期的な訓練を実施するのも効果的です。

情報の紛失や操作ミスによる情報漏えいを防止するためには、企業情報の外部持ち出しを禁止し、社員教育の徹底によるセキュリティリテラシーの向上に努めることも重要です。最近では、スマートフォンやタブレットを業務に活用する機会も増えています。働き方に変化がある中で、このようなモバイル端末の取り扱い管理、対策も徹底する必要があります。

意図的な情報の持ち出しを防ぐためには、秘密保持に関する誓約による抑止を図ることも大切です。情報セキュリティへの取り組みを社内に示し、教育することで、セキュリティ意識の向上だけでなく、抑止効果にもつながるのです。一丸となって、組織としてのセキュリティ意識を高めることができるかがポイントです。

情報セキュリティの外部要因への対策

外部からの攻撃に対する情報セキュリティ対策として、ウイルス対策と不正アクセス対策はとても重要です。

ウイルス対策ソフトを導入していても、更新を怠っていると新たなウイルスに対応できず、ウイルスの侵入を許してしまいます。ソフトウェアやOSは定期的に更新を行い、新たなウイルスや攻撃に対応できるよう常に環境を整えておくことを心がけましょう。

外部からの不正アクセスを防止するためには、ファイアウォールやウイルス対策ゲートウェイ、WAFなどのセキュリティ対策システムを導入し、外部からの侵入を検知・防御することが大切です。

外部からの攻撃は一つではなく、インターネットへ接続しているシステムは様々なサイバー攻撃を受ける可能性があります。定期的な脆弱性診断の実施とWAFの導入など複数の対策を組み合わせることでより効果的な情報セキュリティ対策を実現することができます。

「Webアプリケーション脆弱性診断」サービス詳細
「WAF製品「SiteGuard シリーズ」詳細

■まとめ：情報セキュリティ対策を徹底し安心安全な企業活動を

インターネットを活用したビジネスは、企業の在り方や従業員の働き方の多様化につながったと同時に、企業が保有している様々な情報が危険に晒されやすい環境になったともいえます。企業活動を安全に進めるためにも、情報セキュリティ対策を徹底するようにしましょう。

イー・ガーディアンの「サイバーセキュリティサービス」詳細はこちら