インターネット上で情報が飛び交う現代では、情報セキュリティ対策は必須事項です。どのような対策をすべきか、対策していないことでどのような問題が起きるのかを知っておくことは、とても大切です。
この記事では、特に企業や組織の情報セキュリティ対策にフォーカスして詳しく紹介します。総務省が公開している情報セキュリティサイト および IPA(情報処理推進機構)が公開している情報を基にしてまとめました。
総務省「国民のための情報セキュリティサイト」:https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html
IPA(情報処理推進機構):https://www.ipa.go.jp/index.html
この記事で得られる情報は以下の通りです。
- 情報セキュリティ対策とはどのような対策なのか
- そもそも情報セキュリティとは何か
- 脅威の種類
- 脅威の被害にあった具体的事例
- 情報セキュリティの具体的な対策方法
- 情報セキュリティ対策を行う際のポイント
この記事がお役に立ちましたら幸いです。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
情報セキュリティ対策とは?
情報セキュリティ対策とは、どのような対策を指すのでしょうか。総務省が公開している「国民のための情報セキュリティサイト」では、このようにまとめられています。
私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それが情報セキュリティ対策です。
___引用:総務省「国民のための情報セキュリティサイト」
簡潔に言い換えるのであれば、「安全に情報を使い続けられるように、情報をさまざまなリスクから守る対策をすること」であるといえます。
情報セキュリティとは、情報の「機密性」「安全性」「可用性」の3つを確保すること、とISMSで定義されています。
※ISMS……情報セキュリティマネジメントシステム。情報セキュリティを管理するための国際規格。
機密性:ある情報へのアクセスが認められた人だけがアクセスできる状態(=認められた人以外は情報を見られない状態)のこと。アクセス権限を持つ人以外に情報が漏えいしないようにすること。
完全性:情報が完全な状態(=正確かつ最新の状態)であること。情報が不正に改ざん・破壊されたり、消去されないようにすること。
可用性:情報へのアクセスが認められた人が、その情報が必要な時に中断することなくアクセスできる状態を確保すること。アクセス権限を持つ人が、情報を使いたいときにすぐ使える状態にしておくこと。
個人や企業・組織で保有している情報の特質をよく理解したうえで、「機密性」「安全性」「可用性」の3つをバランスよく対策することが大切です。
情報セキュリティ対策は、世界的にも重要な経営課題であると認識されています。情報セキュリティ対策の重要度が高まるにつれて、日本国内においても国際規格を採用する企業が増えています。
国際規格には、ISMSの認証基準(ISO/IEC27001)や、情報セキュリティ製品・システム評価基準であるCC(ISO/IEC15408)があります。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
脅威の種類
インターネットやコンピュータを利用していると、さまざまな被害や損失を受けることがあります。
- 情報漏えい
- 情報の盗難、盗聴
- 情報の破壊、改ざん、削除
- 不正アクセス
- 乗っ取り(サイバー攻撃の加害者になることも)
- システムの停止……など
上記のようなインターネットやコンピュータの安心・安全を脅かす存在のことを、「脅威」と呼びます。この脅威の根本的な要因は、3つに分けられます。
- 技術的脅威
- 人的脅威
- 物理的脅威
それぞれ詳しく見ていきましょう。
技術的脅威
技術的脅威とは、不正プログラムによって被害を受ける脅威のことを指します。マルウェア感染、サイバー攻撃、インターネット詐欺などが当てはまります。具体的には以下のような手口が多いです。
標準型攻撃
業務関連のメールを装った、ウイルス付きのメールを送付してくる手口です。このような悪意のあるメールの添付ファイルを開いたり、URLをクリックしたりすると、コンピュータがウイルスに感染します。
ウイルスに感染させて不正アクセスを行い、機密情報を窃取することなどを目的とした攻撃です。
DoS攻撃、DDoS攻撃
ドス攻撃、ディードス攻撃と読みます。Webサイトやサーバーに対して、大量のアクセスやデータを送付してくるサイバー攻撃です。過剰な負荷をかけることによりWebサイトのサービスを停止させ、大きな損害を与えることが主な目的です。
他のサイバー攻撃を行うための目くらましとしても利用されます。攻撃されたサイトの管理者がDDoS攻撃の対応をしている間に、他のサイバー攻撃を仕掛けて情報窃取を行う……といった具合です。
ランサムウェア
身代金の要求を目的としたマルウェアの一種です。感染するとそのコンピュータ内のデータが暗号化され利用できなくなる、画面にロックがかかり端末が利用できなくなる、などの事態が発生します。それを復旧することと引き換えに金銭を要求されます。金銭を支払っても復旧されるとは限りません。
ランサムウェアによる被害報告は非常に多く、近年ではカプコンが大きな被害に遭う事例が発生しています。
脆弱性を突いた攻撃
脆弱性(ぜいじゃくせい)とは、OSやソフトウェアのセキュリティに弱点がある状態のことを指します。セキュリティホールとも呼ばれることもあります。
ソフトウェアに脆弱性が発見された場合、ソフトウェアの開発者が脆弱性情報と脆弱性を修正したプログラム(パッチ)を公開し、パッチを適用した最新版にアップデートするようソフトウェア利用者に促す流れが一般的です。
この公開された脆弱性情報を悪用し、修正パッチを適用していないソフトウェアを狙った攻撃が行われることがあります。2017年には「Apache Struts 2」に深刻な脆弱性が発見され、アップデートしていない企業が攻撃を受け情報漏えいが相次ぐ事件がありました。
また、ソフトウェアの開発者が気づく前に脆弱性を発見し、パッチが提供される前に攻撃をしてくる場合もあります。この攻撃はゼロデイ攻撃と呼ばれます。これらの攻撃により、情報漏えいや改ざん、ウイルス感染などの被害が多く発生しています。
フィッシング詐欺
実在する企業や公的機関、金融機関の名前を騙ったメールやSMSなどを送り、その企業のWebサイトそっくりの偽サイトに誘導する手口の詐欺です。
偽のサイトに誘導し、ユーザーIDやパスワード、クレジットカード番号などを入力させて個人情報を窃取することが目的です。
近年では、総務省を騙って偽の給付金サイトに誘導するメールおよびフィッシングサイトが確認されたという事例があります。
人的脅威
人的脅威は、人によって被害に遭う脅威のことを指します。意図的な脅威と意図しない脅威(偶発的脅威)の2つがあります。
意図的な脅威
悪意を持って行われた操作による脅威のことを指します。
悪意を持った組織内部の者が重要情報を不正に持ち出したり、外部へ公開したり、競合他社に売却・情報漏えいするなどといった事例が報告されています。
意図的でない脅威(偶発的脅威)
ミスによって起きた操作による脅威のことを指します。
会社のPCやスマホを紛失してしまう、重要情報を記載したメールを違う宛先に誤送信してしまう、重要な情報を誤って削除してしまう、などの事例があります。
物理的脅威
物理的脅威は、物理的な機器の盗難や故障により、システムが使えなくなってしまう脅威のことを指します。
- 地震や火災などの自然災害により、サーバーなどの機器が故障してシステムが止まる
- 盗難や破壊によって機器が使えなくなる
- 機器の経年劣化によって故障して使えなくなる……など
近年では、Googleにおいて大規模障害が起こり、GmailなどGoogleの多数のサービスにアクセスできなくなる事例がありました。根本的な原因はストレージのクォータ自動管理システムの不備であったことが発表されました。
情報セキュリティ10大脅威
IPA(情報処理推進機構)は、情報セキュリティ対策の普及を目的として2006年から前年に発生した情報セキュリティ事故や攻撃の状況から脅威を選出し、上位10位を公表しています。
「情報セキュリティ10大脅威2022」によると、2021年に発生した社会的に影響が大きかったと考えられる脅威は以下のとおりです。
| 順位 | 個人 | 組織 |
|---|---|---|
| 1 | フィッシングによる個人情報等の詐取 | ランサムウェアによる被害 |
| 2 | ネット上の誹謗・中傷・デマ | 標的型攻撃による機密情報の窃取 |
| 3 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | サプライチェーンの弱点を悪用した攻撃 |
| 4 | クレジットカード情報の不正利用 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5 | スマホ決済の不正利用 | 内部不正による情報漏えい |
| 6 | 偽警告によるインターネット詐欺 | 脆弱性対策情報の公開に伴う悪用増加 |
| 7 | 不正アプリによるスマートフォン利用者への被害 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8 | インターネット上のサービスからの個人情報の窃取 | ビジネスメール詐欺による金銭被害 |
| 9 | インターネットバンキングの不正利用 | 予期せぬIT基盤の障害に伴う業務停止 |
| 10 | インターネット上のサービスへの不正ログイン | 不注意による情報漏えい等の被害 |
初めてランクインした項目として、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が組織の7位にランクインしました。プレスリリースにわかりやすい文章があったため抜粋します。
2021 年 12 月には Java 用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されているとの情報と同時に公開されました。「Apache Log4j」は、ウェブサイトのバックエンドにあるウェブサーバーなどで行われた操作を記録する機能をもつプログラムの部品のようなもので、世界中のプログラムで広く使われているため、大きな話題となりました。
ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要です。
___引用:情報セキュリティ10大脅威2022 プレスリリース
そして2020年から突如ランクインして注目されているのは、組織の4位にある「テレワーク等のニューノーマルな働き方を狙った攻撃」です。
急なテレワーク移行による管理体制の不備や、テレワーク用に導入しているソフトウェアやVPNの脆弱性を突いた攻撃が増えています。私物パソコンをテレワークで利用している場合は、私的なSNS利用やソフトウェアのインストールによってウイルスに感染し、社内ネットワークへウイルス感染が拡大した事例もあります。
このような経路で攻撃された結果、社内システムへの不正アクセスやオンライン会議の覗き見、ウイルス感染などの被害が報告されています。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
情報セキュリティの対策
それでは、情報セキュリティ対策の具体的な方法を紹介します。
技術的脅威への対策
まずは情報セキュリティ対策の「キホンの5つ」を抑えることで、情報セキュリティの脅威を減らすことができます。
OSやソフトウェアは常に最新の状態にしておく
古いバージョンのままにしておくと、脆弱性がそのままになってしまいとても危険です。最新バージョンにアップデートすることで、脆弱性を突いた攻撃へのセキュリティが強くなります。
アップデートはPCやスマホだけではなく、ネットワークにつながるすべての機器で行う必要があります。ルーターやネットワークカメラなども忘れずにアップデートを行いましょう。
ウイルス対策ソフトなどを利用する
ウイルスに感染しにくくするために、パソコンにはウイルス対策ソフトを入れましょう。Windows 10、Windows 11にはマイクロソフトが無償で「Windows Defender」というウイルス対策ソフトを提供しています。
他にもさまざまなウイルス対策ソフトが販売されているため、適宜検討して利用しましょう。ウイルス対策ソフトも、常に最新バージョンにアップデートするようにしましょう。
パスワードは長く複雑にして使いまわさない
単純なパスワードに設定すると、推測されやすいため使わないようにしましょう。
また、同じパスワードを複数のサービスで使いまわすことは避けましょう。あるサービスのパスワードを突破されてしまった場合、他のサービスにも不正ログインされるリスクがあります。
2段階認証を利用するなど、認証を強化することも有効です。2段階認証についてはこちらの記事で詳しく解説しています。
端末やソフトウェアは、初期設定の状態から変更する
端末や機器を新しく買ったり、新しいソフトウェアやアプリを入れたりしたときは、初期設定の状態から変更してセキュリティを高めましょう。
初期設定ではセキュリティが弱かったり、共有や連携機能がオンになっていたりします。初期パスワードを変更し画面ロックを設定することで、セキュリティを強くできます。
そして、データ共有などの機能の設定を確かめておくと、予期しない情報流出のトラブルを防げます。
複数の人と機器を共有するときは、アカウント(ログインID)を分けましょう。
最新の手口を知っておく
ネット詐欺やサイバー攻撃などは、日々巧妙に進化しています。最新の手口を前もって知り、備えておくことで、被害に遭う可能性を低くできます。
人的脅威への対策
社内のセキュリティ教育徹底や、情報の取り扱い方のルールを決めることによって、人的脅威による被害を減らすことができます。
セキュリティに関する情報共有を徹底する
マルウェアやサイバー攻撃の手段は日々進化しているため、セキュリティ対策に関して全員が意識し続けなければなりません。基本的な情報セキュリティ対策や万が一の場合の対処など、セキュリティ教育を徹底して行い社内全員に周知しましょう。
そして、ルール化したセキュリティ対策は従業員全員が把握して、全員がルールを守る必要があります。最新のセキュリティ情報を社内で共有するように心がけましょう。
不審なメールやサイトは開かない
誰から送られてきたかわからないメールやURLは開かないようにしましょう。
ウイルスが仕込まれているサイトの場合、URLをクリックするだけで感染することがあります。メールの場合、メール自体は開いても大丈夫ですが、添付ファイルにウイルスが仕込まれているパターンが多い傾向にあります。特に、添付ファイルの最後が「.exe」だった場合は用心してください。
「.exe」はエグゼファイルと呼ばれ、ファイルを開いたらプログラムを実行する仕組みになっています。知らない送り主からこのファイルが送られてきたときは、絶対に開かないようにしましょう。
また、自分が送ったメールへの返信に見えるメールも、不自然な点がある場合は添付ファイルやリンクは開かないようにしましょう。
情報の持ち出しルールを徹底する
パソコンやUSB、資料の持ち出しは、情報漏えいのリスクが高まります。持ち出す際のルールを決めて、関係者に周知徹底するようにしましょう。
ルールの一例
- 機器の中に不要なデータが保存されていないかチェックした上で持ち出す
- 情報の暗号化やパスワードを設定する
- 持ち出されている情報や機器を記録して把握する……など
社内ネットワークへの機器接続ルールの徹底
ウイルス感染したパソコンやUSBなどの外部記憶媒体を社内ネットワークに繋ぐことで、ウイルスを拡散してしまう可能性があります。
持ち込み機器を社内ネットワークに接続する際はシステム管理者に許可をとるなど、ルールを徹底するようにしましょう。
物理的対策
物理的脅威への対策としては、防犯対策や災害への備えをしておくことが重要です。
鍵の管理を徹底する
外部からの侵入を防ぐため、サーバールームやクライアントPCが設置された部屋には関係者しか立ち入れないようにしましょう。
防犯カメラの設置や入退室の管理も行うと、よりセキュリティが強化されます。
バックアップを定期的にとる
データの紛失や破損に備えて、定期的にバックアップをとりましょう。
災害に備える
災害発生時に備えて耐震設備を設置する、無停電電源装置を導入するなどの災害対策を行いましょう。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
情報セキュリティ対策に取り組む際のポイント
最後に、情報セキュリティ対策に取り組む際のポイントや心構えを紹介します。
- 情報セキュリティ対策の基本が重要
- 立場や環境を考慮して適切な対応をとる
- 被害に遭ってしまった時の対処法も準備しておく
情報セキュリティ対策の基本が重要
私たちの安心や安全を脅かす脅威には多種多様な攻撃が存在しますが、「攻撃の糸口」は似通っています。攻撃の糸口に変化がない限り、それらの攻撃に該当する対策を継続して行うことで被害に遭う可能性を低減することができます。
| 攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
|---|---|---|
| ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する |
| ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
| パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する |
| 設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする |
| 誘導(罠にはめる) | 脅威・手口を知る | 手口から重要視するべき対策を理解する |
立場や環境を考慮して適切な対応をとる
「情報セキュリティ10大脅威」を紹介しましたが、この順位が高いか低いかに関わらず適切な対策をとる必要があります。そして、ランク外の脅威は対策を行わなくて良いということではありません。継続して情報セキュリティの対策をすることが必要です。
適切な対策をするポイントは、個人または組織が置かれている立場や環境を考慮して、優先度をつけて対応することです。
例えばテレワークを実施している企業ならば「テレワーク等のニューノーマルな働き方を狙った攻撃」への対策を優先して対応すべきですが、テレワークを行っていない企業ならば対策の必要性は低くなります。
順位の高いものを優先して対策するのではなく、自身の立場や環境において重要なものを優先して対策するようにしましょう。
被害に遭ってしまった時の対処法も準備しておく
これまでに紹介した脅威は、誰でも被害に遭う可能性があります。被害に遭わないようにする対策はもちろん重要ですが、被害にあってしまったときの対策もしておきましょう。バックアップの取得や被害にあった際の相談先の確認、組織の場合は復旧計画を策定するなど、事前の準備が重要です。
IPAでは「情報セキュリティ安心相談窓口」を用意しています。また、他の公的機関の窓口もリンク集にしてまとめてくれています。このように、公的機関にも相談窓口があることも知っておくと安心です。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
情報セキュリティ対策とは?具体的な被害事例や対策・まとめ
悪意を持った人たちは、隙あらば私たちにさまざまな攻撃を仕掛けてきます。
情報セキュリティ対策は、日頃から意識して継続して行うことが大切です。最新の信頼できる情報を常にキャッチアップして、対策する習慣をつけましょう。
しかし、攻撃の手口が巧妙なため、十分な対策をおこなっていても防ぎきれない場合があります。もしも攻撃された場合はどう対処すればいいかも事前に準備しておくことで、被害を低減することができます。
この記事によって情報セキュリティ対策の知識が身につきましたら幸いです。最後までお読みいただき、ありがとうございました。
