第1回Windows 10対応とハードディスク暗号化
「BitLocker(ビットロッカー)」で十分!?安全性・運用からの考察
中堅・中小企業では、大企業ほど充実した情報セキュリティ対策を行っているところは多くはないかもしれません。
その理由が「狙われるのは大企業だからうちは心配ない」「盗まれるような情報を持っていない」という考えにあるとすれば、それは危険です。近年のサイバー攻撃は中堅・中小企業をターゲットとしているケースも珍しくないからです。
とはいえ、予算や人材の不足しがちな中堅・中小企業が、大企業と同じような対策を導入することは現実的ではありません。では、何から始めればいいのでしょうか。中堅・中小企業の情報セキュリティ対策を考えてみましょう。
大企業が関わるサイバーセキュリティ被害は、社名とともに大々的に報道されます。一方、中堅・中小企業に関してはあまり報道されることはありません。しかし実は、中堅・中小企業が狙われるサイバーセキュリティ被害も後を絶たないのが実情です。企業を対象とするサイバー犯罪の手口やその被害の傾向としては以下のようなものがあります。
なりすましメールからインターネットバンキングの偽サイトに誘導され、ID・パスワードを盗まれ、いつの間にか数百万円が引き出されていた。
身代金ウイルス(ランサムウェア)に感染し、データがすべて喪失。画面上には「3万円支払えば、データを返却します」との文字が……。
自社のショッピングサイトが改ざんされ、不正アクセスプログラムが仕掛けられていた。クレジットカード情報を含む顧客情報が流出し、サイトは閉鎖へ。
こういった被害の影響は、自社や自社の顧客だけに止まらないこともあります。例えば下記の図のように、攻撃者はターゲット企業への攻撃が困難な場合、まずセキュリティ対策が甘い別の企業を乗っ取り、それを踏み台にしてターゲット企業を攻撃することがあります。最初に乗っ取られた企業は、知らない間に攻撃者の一員となってしまうこともあるのです。
自社のセキュリティ対策が甘いばかりに他社にまで被害が及んでしまったら、「知らなかった」「うちのせいではない」では済まされません。取引の停止や損害賠償という事態にも発展する可能性があります。
上記の例以外にも情報セキュリティに関する脅威は多様化・複雑化の一途を辿っています。下記は、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の2017年版です。企業ではこれらの脅威についてきちんと理解し、対策を取っていく必要があります。
順位 | 組織 | 昨年順位 |
---|---|---|
1位 | 標的型攻撃による情報流出 | 1位 |
2位 | ランサムウェアによる被害 | 7位 |
3位 | ウェブサービスからの個人情報の窃取 | 3位 |
4位 | サービス妨害攻撃によるサービスの停止 | 4位 |
5位 | 内部不正による情報漏えいとそれに伴う業務停止 | 2位 |
6位 | ウェブサイトの改ざん | 5位 |
7位 | ウェブサービスへの不正ログイン | 9位 |
8位 | IoT機器の脆弱性の顕在化 | ランク外 |
9位 | 攻撃のビジネス化(アンダーグラウンドサービス) | ランク外 |
10位 | インターネットバンキングやクレジットカード情報の不正利用 | 8位 |
注目は9位の「攻撃のビジネス化(アンダーグラウンドサービス)」です。昨今では、サイバー攻撃を目的としたツールやサービスが、アンダーグランドの市場において安価で取り引きされるようになっています。
攻撃ツールが容易に手に入るようになったことで、攻撃に必要な手間も専門知識もコストもおさえられるようになりました。1社あたりのリターンは低くても、十分に利益を出すことができるため、多くの攻撃者は攻撃範囲を広げることで数を確保し、利益拡大を狙う戦略に転じています。
その代表的な手法がランサムウェアです。ランサムウェアに感染してしまうと、PCやサーバ上の全てのファイルが自動的に暗号化され、業務の継続が困難になります。そして暗号化の解除のための身代金が要求されてしまうことになります。ランサムウェアによる攻撃は、
といったかたちで、結果としてセキュリティレベルの低い日本企業が感染する事例が増えています。
情報セキュリティ対策の重要性はわかっていても、なかなか実行できないという企業は多いようです。中堅・中小企業の情報セキュリティ対策の課題を整理してみます。
中堅・中小企業であっても、取引先の要件で対策を実施しなければならないケースもあります。しかし、そのような強制力が働かない場合には、 「問題が発生してから五月雨式に対策を取っている」という企業も多いと考えられます。
上記のような課題があることで発生する問題として、下の例のようなものがあります。局所的な対策に終始して全体的な視点が抜けてしまう、いわば「木を見て森を見ず」の、ちぐはぐな対策になってしまっているのです。
最新のウイルス対策ソフトを導入しているが、アップデートされていない。
外部の訪問者の管理は厳重にしているが、USBメモリの利用には制限がない。
強固なID管理を導入しているが、パスワードをPCに貼り付けている人がいる。
中堅・中小企業の経営者にとって、情報セキュリティへの投資は利益につながらない、無駄な費用と考えられがちです。しかし、対策を怠ることで被る損失は、次のように多方面に及びます。
対策を怠ったことで、場合によっては企業の存続が危ぶまれるようなダメージを負うこともあります。そう考えると、情報セキュリティへの先行投資は決して無駄なものではありません。今後さまざまな企業と取引をする上でも、必要最低限のセキュリティ対策投資は必須となってくると考えられます。
さて、「情報セキュリティ対策を何から始めればいいのか分からない」という企業はどうすればいいでしょうか。まずは、「自社の状況を知ること」です。
自社の状況を把握するために便利な方法があります。独立行政法人情報処理推進機構(IPA)のホームページで公開されている、「5分でできる!情報セキュリティ自社診断シート」を使って診断してみてください。簡単な設問に回答していくだけで、自社の情報セキュリティ対策のレベルを知り、問題点を見つけることができます。診断結果について詳しく知るための解説パンフレットも用意されています。
自社の状況を把握したら、次に対策を考えていきます。問題点が多すぎて何から手を着ければいいかわからないということでしたら、優先順位の高いものから始めるとよいでしょう。具体的な取り組み方については、同じくIPAが公開している下記の情報が参考になります。
本ガイドラインでは、中堅・中小企業にとって重要な情報セキュリティ対策の考え方や実践方法について、具体的かつ網羅的に説明しています。
取り組むべき対策を決定したとしても、担当者が忙しくて手を着けられない、ということもあるでしょう。あるいは情報セキュリティやITの知識がある人材がそもそもいないため、自社の状況を正確に把握することができないという場合も。
そのような時は、業務委託や外部のサービスを利用するのも一つの手です。情報セキュリティに関するサービスを提供する会社はたくさんありますが、どのような基準で選べばよいのか、ポイントを挙げてみました。
「製品ありき」ではなく、企業の状態を把握したうえで、優先順位の高い対策から提案してくれるかどうか。
財務状況に合わせた、身の丈に合った投資を提案してくれるかどうか。
製品やサービスを導入するだけでなく、その後の管理・運用についても任せられるかどうか。
といったように、企業に寄り添い、全体的な視点でアドバイスできるパートナーを選ぶべきでしょう。
NECソリューションイノベータでは、お客様の対策状況を一緒に確認させていただき、今すぐに必要な対策、将来的に強化すべき対策を、最適な運用・管理の方法まで含めてご提案いたします。大企業・官公庁へのソリューション提供で生かした経験とノウハウを、中堅・中小企業のお客様へのご提案にも生かしています。ぜひお気軽にご相談ください。
企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。
サイバー脅威からお客様の資産・ビジネスを守る
NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。
(A4・全2ページ)情報セキュリティ対策の特集/業界トレンド情報をご提供
IT部門 意思決定者を対象
とした調査結果レポート
「終わりなきITセキュリティ対策」
に必要な2つの視点とは
21世紀のセキュリティに
AIが果たす役割
情報漏えい対策ソリューション
本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。
NonCopy2(A4・全2ページ)
4thEye Professional(A4・全2ページ)
Tripwire Enterprise(A4・全2ページ)
CylancePROTECT(A4・全2ページ)
Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)
サイバー脅威からお客様の資産・ビジネスを守る
サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。
情報漏えい対策をお考えの企業様へ
お問い合わせ・ご相談フォーム
「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。