企業が抱えるセキュリティリスク

サイバー攻撃と聞くと「自分達には関係が無い」と思われる方が多いかもしれません。

しかし、実際には世界中で、今現在もサイバー攻撃が起こっています。

日々進化し続けるサイバー攻撃から守るため、規模や業種を問わず、全ての企業はセキュリティ対策に積極的に取り組むべきだと私は思います。

サイバー攻撃に対する大きな誤解

「うちみたいな小さな会社狙われないでしょう！」

「狙われるようなデータや情報はないから大丈夫！」

このようにセキュリティ対策に対して、楽観的な考え方でセキュリティ対策を怠ると、踏み台攻撃の被害にあってしまいます。

サイバー攻撃者は何もあなたのデータは情報が欲しいとは限りません。

他の組織のネットワークに侵入する際の踏み台にされ、攻撃の糸口となるのです。

攻撃者は何もあなたのネットワークに入ることやデータが欲しいとは限りません。誤解しないで下さい。

踏み台攻撃の被害を被ると？

このような状況になると被害者感情として受け入れる事はできません。なぜなら取引先や知り合いに迷惑をかけてしまっているからです。

取引先をはじめ社会的信用を失い、場合によっては、取引停止となる事もあります。

自分達だけが被害者であった方がよっぽどマジでしょう。。。

セキュリティリスクはすべての企業に平等に存在する

どのような事業であってもインターネットが必要不可欠な現在、セキュリティリスクは全ての企業に存在するといっても過言ではありません。

そこで今回は、企業が抱えるセキュリティリスクとその対応策について考えていきます。

日常に潜むセキュリティリスクの数々

企業が抱えるセキュリティリスクは、外部からのサイバー攻撃だけだと思っていませんか？

決してそのような事はありません。社内にもセキュリティリスクは隠れているのです。

内部不正による情報漏洩

企業が抱えるセキュリティリスクとして最も警戒するべきことは、内部不正による情報漏洩です。

2014年に教育商材を中心に扱う企業が3,504万件もの個人情報が流出したことを発表しました。

この原因となったのが会員情報管理を委託している企業のデータベースシステム管理を担当していたシステムエンジニアの不正です。

このシステムエンジニアには顧客情報にアクセスする権限がありました。権限を持っている人間が悪意を持つと、それを防ぐのは非常に難しくなってしまいます。

うっかりミスによる情報漏洩

大事な顧客情報や機密情報を間違って送信してしまったなどのうっかりミスも情報漏洩の原因として多くあります。

ビジネスのコミュニケーションツールとして、メールやインスタントメッセージはとても便利で、どんな情報でも簡単に送信できてしまうため、うっかりミスが起きてしまうリスクも高いと言えるでしょう。

情報の持ち出し

従業員によっては、社外で仕事を遂行するために本来持ち出し禁止の情報を持ち出す場合もありますが、置き忘れや盗難などのリスクがあります。 また、退職した従業員による顧客情報の不正利用なども考えられます。

2014年には、国内で美容サロンを経営する企業が元従業員により43名の顧客情報を不正に利用される事件もありました。

標的型攻撃

特定のターゲットを決めてメールなどでサイバー攻撃を仕掛ける標的型攻撃。その多くがメールを利用して行われるため標的型メール攻撃と呼ばれることもあります。

攻撃者は、取引先などを装ってメールを送信し、そのメールに添付されているファイルを実行してしまうとマルウェアに感染し、機密情報漏洩などの事件に発展します。

最近では多くの情報漏洩事件の原因にもなっています。

2018年1月30日、IPAが発表した“情報セキュリティ10大脅威”では、組織の10大脅威の部門で１位になっており、組織に属する方は確実に意識しておくべき攻撃手法です。

脆弱性を狙った攻撃

脆弱性(ぜいじゃくせい)とは、パソコンのOSやソフトウェアのプログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。

定期的にOSやソフトウェアのアップデートすることは必須ですが、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されているのが現状です。

企業がセキュリティリスクに対してできること

企業や組織は様々なセキュリティリスクに対してどのような事をすればよいのでしょうか？日々の中で何ができるのかを考えてみたいと思います。

組織全体のセキュリティ意識を高める

情報漏洩の事件などは、組織全体と従業員１人１人のセキュリティ意識を高めることによってリスクを下げることができます。

システムは常に最新の状態を保つ

パソコンのOSやソフトウェアのアップデート通知が来ているにも関わらず、「再起動が嫌だから」「何か不具合が起きたら嫌だから」と放置してしまうことはありませんか？

しかし、アップデートを行わないでいるのは非常に危険です。

前述した通り、攻撃者はOSやソフトウェアなどの脆弱性を狙ってくる可能性もあります。

過去に流行したマルウェアの大半はその時点で最新の更新が適応されていれば感染しないと言われています。

ですので、OSやソフトウェア、システムは常に最新の状態を心がけることが重要です。

セキュリティの可視化

セキュリティ意識を高めること、OSやソフトウェア、システムを最新の状態に保つことは特別なツールがなくても行えます。

しかし、その状況を徹底するためには自社のセキュリティレベルや対策の状況、ウイルスの活動状況を可視化することも重要です。

目に見えないサイバー攻撃に対して、自社のセキュリティ対策を可視化することによって組織内の端末を脅威から未然に防ぎ、侵入経路を特定することで再発防止策を考えることができます。

以上になります。

全てがインターネットで繋がっていて、世の中とても便利になった反面、セキュリティに対する意識の向上はそれに追いついていないのが実情です。

私たち一人ひとりが被害者にも加害者にもならないために、身近に出来ることをきちんと見直し、対策を実行していくことが非常に重要だと思います。

dot-plus