いまやPCやスマートフォン、インターネットは業務に欠かせないものになりました。
それとともにサイバー攻撃も普及し、多くの企業で情報漏洩などのニュースは後を絶ちません。
サイバー攻撃と聞くと大手企業のものだけだと思いがちですが、実は中小企業こそが対策を取らなければならないものだという実態をご存知でしょうか。
本記事では、情報セキュリティや脅威、対策について解説していきます。
目次
1.情報セキュリティとは?
情報セキュリティとは、情報資産を保護し、その機密性、完全性、可用性を確保するための取り組み全般を指します。
情報資産とは、個人や企業が保有している情報全般のことを指し、ITの普及とともに重要性が高まってきました。
情報セキュリティの対策には、技術的なものだけでなく、組織のポリシーやプロセス、従業員の教育などの面も含んでいます。実際に従業員による不正な情報の持ち出しなど、人的な要因による被害も年々増加しています。
情報セキュリティについてしっかりと理解し、組織的に適切に管理することで機密情報や個人情報などの重要な情報が安全に保護され企業の信頼性が向上します。逆に言えば、これからの時代は情報セキュリティについて適切に管理ができていない会社とは取引することが難しくなる時代と言えます。
多くの個人情報や機密情報を扱う大手企業だけでなく、中小企業にとっても情報セキュリティは重要なものになります。
2.情報セキュリティの3要素(CIA)
情報セキュリティの3要素(CIA)とは、情報セキュリティの基本的な要素を表すモデルで、それぞれ以下の要素を表しています。
- 機密性 (Confidentiality)
”C”は機密性 (Confidentiality)を表しています。
機密性とは、情報が不正なアクセスから保護されていることを意味します。
例えば、あるプロジェクトの重要な情報を誰もが閲覧できる状態になっている場合は機密性が保たれているとは言えません。
特定のユーザーだけがアクセスできるように制限するなどの対策が必要です。
- 完全性 (Integrity)
”I”は完全性 (Integrity)を表しています。
情報が正確であり、改ざんや不正アクセスから保護されていることを意味します。
情報の完全性を確保するためには、データの改ざんを防止、検知する技術的、組織的な対策が必要です。
情報にアクセスできるユーザーを制限する、情報を暗号化するなどの対策が有効です。 - 可用性 (Availability)
”A”は可用性 (Availability)を表しています。
可用性とは、情報が必要な時に利用できることを意味します。
情報が利用できない状態とは、例えば、障害やサーバー攻撃、災害などにより情報が利用できない状態、サービスを中断せざるを得ない状態を指します。
適切なバックアップや災害対策などをすることで可用性が確保できます。
CIAは情報セキュリティの基盤を構成し、これらの3要素に基づいて自社の情報セキュリティをチェックすることで安全を確保することが可能になります。
もしも情報セキュリティが安全に保たれていない場合、どんな脅威があるでしょうか。
3.IPA発表、情報セキュリティの10大脅威2024
IPA(独立行政法人情報処理推進機構)から『情報セキュリティ10大脅威 2024』が発表されました。
『情報セキュリティ10大脅威』とは、前年に社会的に影響が大きかったトピックから投票を経て決定したもので、毎年IPAから発表されています。
今回は組織向けの10大脅威の中から、いくつか影響の大きかったものについてご紹介します。
出典:IPA『情報セキュリティ10大脅威 2024』を基に作成
ランサムウェア
1位は『ランサムウェアによる被害』でした。
ランサムウェアとは、悪意のあるソフトウェアの一種で、コンピュータシステムやデータに侵入し、それらを暗号化または制限することによって被害者から身代金を要求するものです。
ランサムウェアによる被害は年々拡大しており、いまや一兆円を超える犯罪ビジネスとも言われています。
ニュースなどで報道されることが多いのは大手企業ですが、実はランサムウェアによる被害の多くは中小企業というデータがあります。
出典:警察庁『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』を基に作成
警察庁より公開されている『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』によると、令和5年上半期のランサムウェア被害件数は103件、そのうち中小企業の被害件数は全体の約6割にあたる60件でした。中小企業は大企業に比べてセキュリティ対策が不十分な企業が多く、脆弱性を突かれた形になります。
さらに、中小企業では被害に気付かない場合もあり実態はこれよりも多い数字であると言われています。
一度ランサムウェアによる攻撃を受けてしまうと、調査や復旧に多額の費用がかかるだけでなく、情報漏えいや業務停止などにより取引先の信用を失うことにもなりかねません。
サプライチェーン攻撃
2位はサプライチェーンの弱点を悪用した攻撃でした。
サプライチェーン攻撃は、組織や企業のサプライチェーンを通じて侵入し、そのサプライヤーやパートナーを介してターゲットを攻撃する手法です。
大手企業への足掛かりとして、中小企業へのサイバー攻撃が年々拡大しています。
サプライチェーン攻撃による手口は以下のものが挙げられています。
- 信頼関係の乱用
取引先との信頼関係を悪用しサプライヤー経由でターゲット組織に侵入します。 - サプライチェーンの複雑性
現代では多くの組織が広範囲にわたるサプライヤーやパートナーと関係を持っています。
複雑で多岐にわたるサプライチェーンの中の一部にセキュリティの脆弱性を持っている場合、そこが標的になりやすくなります。 - サードパーティーコンポーネントの脆弱性
サプライヤーやパートナーが提供するソフトウェアやハードウェアの脆弱性を悪用し攻撃されることがあります。
サードパーティーが提供するソフトウェアにセキュリティ上の欠陥がある場合、それを介して侵入する可能性があります。 - 情報共有の脆弱性
サプライチェーン攻撃は、情報の共有や連携が不適切な場合にも起こります。
サプライヤーやパートナーとの情報共有が適切に管理されていない場合、それを悪用され攻撃される恐れがあります。
大手企業はサプライチェーン全体のセキュリティの脆弱性を特定し適切な対策をとる必要があります。
これからの時代、大手企業と取引をするためには中小企業にもしっかりとしたセキュリティ対策が求められます。
従業員の教育不足、組織体制の不十分による被害
人的な要因では、3位『内部不正による情報漏えい等の被害』、6位『不注意による情報漏えい被害』、8位『ビジネスメール詐欺による金銭被害』がランクインしました。
内部不正とは、従業員が内部情報を不正に持ち出し、第三者に販売したり悪用することです。
重要なデータへのアクセス権限を見直す、外部記憶媒体の持ち込みの制限など、組織としての対策や従業員の教育が必要になります。
不注意による情報漏えいには、ダブルチェックの徹底など社内の確認体制の強化が有効です。
また、ビジネスメール詐欺の手口は、犯罪者が実際の取引先や自社の経営者層等になりすまし、メールを使って振込先口座の変更を指示するなどして、犯罪者が指定する銀行口座へお金を振り込ませようとするというものです。電話などメール以外での確認やメールアドレスや本文をよく確認する、添付ファイルやリンク先を不用意に開かないなどの対策が有効です。
そしてビジネスメール詐欺には、まずは不審点に気付くこと、そしてそれを速やかに情報共有することが大切です。
社内で周知徹底し、しっかりと対策をとっていきましょう。
参考:警察庁『ビジネスメール詐欺に注意!』
ITの普及とともにサイバー攻撃の手口も年々巧妙になり、大手企業だけでなく中小企業も標的にされています。
被害に遭ってからでは遅いということを理解し、しっかりとしたセキュリティ対策の実施と組織づくりをしていきましょう。
4.すぐに取り組める!セキュリティの基本的な対策
中小企業が行うべき情報セキュリティの基本的な対策として、IPAから『情報セキュリティ5か条』が示されています。
手軽に始めることができる内容になっていますので、是非確認していきましょう。
出典:IPA『情報セキュリティ5か条』
【情報セキュリティ5か条】
①【脆弱性対策】OSやソフトウェアは常に最新の状態にする
OSやソフトウェアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染してしまう危険性があります。
Windowsのアップデートを実行し最新の状態にする、Adobe Readerやブラウザなどソフトウェアを最新の状態にするなどの対策が有効です。
また、ソフトウェアのバージョンが最新の状態か確認できる『MyJVNバージョンチェッカ』というツールもIPAから紹介されています。
簡単にチェックできるので是非活用しましょう。
②【ウイルス対策】ウイルス対策ソフトを導入し適切に利用する
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。
ウイルス対策ソフトを導入し、ウイルス定義ファイルが最新の状態になっているか、自動更新されるように設定になっているかなど確認してみましょう。
③【パスワード管理】強固なパスワードを使用する
パスワードを推測されたり、インターネットから流出したID・パスワードを使って不正にログインされる被害が増えています。
パスワードは10文字以上で『できるだけ長く』、大文字、小文字、数字、記号含めて『複雑に』、名前、電話番号、誕生日、簡単な英単語などは使わず、推測できないように設定し、複数のサービス間で『使いまわさない』ようにすることがIPAから推奨されています。
④【機器の設定】共有設定を見直す
例えば、外出先でフリーWi-Fiを使う際に無関係な人にファイルが共有されてしまうなどのトラブルが増えています。
フリーWi-Fiを使う際にはPCのファイル共有をOFFにする、ウェブサービス、ネットワーク接続の複合機・カメラ、ハードディスク(NAS)などの共有範囲を限定するなどの対策が必要です。
⑤【情報収集】脅威や攻撃の手口を知り、対策に活かす
取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。
従業員への注意喚起や社内の教育体制を強化しましょう。
IPAの『情報セキュリティ5か条』は基本的な対策になり、これらの対策を一度実施しただけでは十分とは言えません。
情報セキュリティは現状を見直すこと、そして改善を続けることが大切です。
5.まとめ
これからの時代、情報の価値はどんどん上がっていき、情報セキュリティの重要性もますます高まっていきます。
サイバー攻撃と聞くと大手企業だけがその標的だと思いがちですが、実は中小企業こそが備えなければならないものです。
しっかりとした対策を取ってくことで企業の信頼度を上げることができます。
今一度現状を見直し、できることから始めていきましょう。
当社でご提供しているサービスに『アイコンカルテ』というオフィスのネットワークの状態を可視化し、管理・診断するサービスがあります。
『アイコンカルテ』では、ネットワーク全体の安全性や具体的な問題箇所をタイムリーに把握することが可能です。
また、GDXオフィスラボでは働く環境やセキュリティに関するご相談を受け付けています。
ぜひお気軽にお問合せくださいませ。
ライター紹介
■株式会社アベヤス 佐々木 葵
農業機械業界、移動体通信業界を経て2024年に株式会社アベヤスに入社しました!
広報歴は合計3年程になります。
ゆるキャラの中の人としてSNSを運用したり、社内報を作っておりました。
GDXオフィスラボからオフィスの空間づくりに役立つ情報をどんどん発信してまいります!
★☆GDXオフィスラボ公開中!☆★
現在岩手県の多くの中小企業が人材確保の課題を抱えている中で、
ESG経営の推進は欠かすことのできないポイントになってきております。
GDXオフィスラボは、人材課題を解決する糸口となるよう、
最先端技術や社員が働きやすい空間を体験、体感が出来る場所としてショールーム&コワーキングスペースを公開しています。
最新技術を使用した快適なオフィス空間づくりや環境への取り組み、
次世代の「働くの見える化」を追求したデジタルツールやシステムを
GDXオフィスラボへぜひ体感しにいらっしゃいませんか
