助成金・補助金等、経営力UPの経営情報が満載!

専門家コラム

専門家コラム
会員登録すると、
新規会員登録はこちら
お気に入りに追加 シェアツイートLINEはてぶ

企業の情報を守れ!「情報セキュリティ 10大脅威」

皆様は情報セキュリティに取り組んでいますか? 年々、情報セキュリティへの要請は強まるばかりです。ここでは、どのようにセキュリティ対策に取り組めば良いか指針となる制度をご紹介します。

(掲載日 2019/02/20)

「情報セキュリティ 10大脅威 2018」のご紹介

ますます重要視される情報セキュリティ

 近年、様々なモノがインターネットに接続され、非常に便利な世の中になりました。一方、それに応じて情報セキュリティの重要度もますます大きくなっています。本年度(2018年度)はIT導入補助金の申請要件に情報セキュリティへの取り組みが含まれていました。このように今後は、様々な場面で情報セキュリティへの取り組みを評価されることが増えていくと考えられます。


「情報セキュリティ5箇条」

 それでは何から取り組めば良いのでしょうか。実は取り組むべき内容について、行政機関が指針となる制度を既に創設しています。IT導入補助金の申請要件となった「SECURITY ACTION」がまさにその制度で、「中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する(下記URLより抜粋)」ことを目的として独立行政法人 情報処理推進機構(以下、IPA)が発表しています。(https://www.ipa.go.jp/security/security-action/index.html) 

 取り組みのレベルによって、「一つ星」「二つ星」と段階があるのですが、最初のステップ「一つ星」に該当する「情報セキュリティ5箇条」(https://www.ipa.go.jp/files/000055516.pdf)を最初に取り組む内容として取り上げたいと思います。

「情報セキュリティ5箇条」

1.OSやソフトウェアは常に最新の状態にしよう!
『OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。』

2 ウイルス対策ソフトを導入しよう!
『ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。』

3 パスワードを強化しよう!
『パスワードが推測や解析されたり、ウェブサービスから窃取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。』

4 共有設定を見直そう!
『データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。』

5 脅威や攻撃の手口を知ろう!
『取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。』


 上記の5つにまず取り組むことを最初のステップとして定義しています。当たり前じゃないか、という感想をお持ちの方もいれば、全く実施してないなぁ、という方もいらっしゃるかもしれません。
 5項目にもありますが、脅威や攻撃の手口には一体どんなものがあるのかわからないと、なかなか有効性にピンと来ないかも知れません。

「情報セキュリティ10大脅威 2018」

 IPAはこの脅威や攻撃の手口についても、毎年調査した結果を「情報セキュリティ10大脅威」というランキングにして発表しています。(https://www.ipa.go.jp/security/vuln/10threats2018.html)
 Webページ上は事案の説明のみが記載されていますが、ダウンロードできるPDFには傾向や対策も記載されています。

 どのようなものがあるか、ランキングの上位3事案(組織編:上記URLの掲載内容より抜粋)をご紹介します。

第1位 標的型攻撃による被害
『企業や民間団体や官公庁等、特定の組織を狙う、標的型攻撃が引き続き発生している。メールの添付ファイルを開かせたり、悪意あるウェブサイトにアクセスさせて、PCをウイルスに感染させる。その後、組織内の別のPCやサーバーに感染を拡大され、最終的に業務上の重要情報や個人情報が窃取される。さらに、金銭目的な場合は、入手した情報を転売等されるおそれもある。』

第2位 ランサムウェアによる被害
『ランサムウェアとは、PC やスマートフォンに保存されているファイルの暗号化や画面ロック等を行い、金銭を支払えば復旧させると脅迫する犯罪行為の手口に使われるウイルスである。そのランサムウェアに感染する被害が引き続き発生している。さらに、ランサムウェアに感染した端末だけではなく、その端末からアクセスできる共有サーバーや外付けHDDに保存されているファイルも暗号化されるおそれがある。組織内のファイルが広範囲で暗号化された場合、事業継続にも大きな支障が生じる。また、2017年は、OSの脆弱性を悪用し、ランサムウェアに感染した端末が接続しているネットワークを介して感染台数を増やすランサムウェアも登場した。』

第3位 ビジネスメール詐欺による被害
『「ビジネスメール詐欺」(Business E-mail Compromise:BEC)は巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口である。詐欺行為の準備としてウイルス等を悪用し、企業内の従業員の情報が窃取されることもある。以前は主に海外の組織が被害に遭ってきたが、2016年以降、国内企業でも被害が確認されている。』


その後、4位から10位まで以下の内容が続きます。

第4位 脆弱性対策情報の公開に伴う悪用増加
第5位 脅威に対応するためのセキュリティ人材の不足
第6位 ウェブサービスからの個人情報の窃取
第7位 IoT 機器の脆弱性の顕在化
第8位 内部不正による情報漏えい
第9位 サービス妨害攻撃によるサービスの停止
第10位 犯罪のビジネス化(アンダーグラウンドサービス)

 いかかでしょうか。難しい言葉が並んでいるようにも見えますが、上位3つには全て「ウイルス」が関連していること、上位2つには「別のPCへ感染する」「共有サーバーのファイルをロックする」など拡散による二次被害があることが読み取れると思います。

「情報セキュリティ5箇条」を振り返る

 ここであらためて「情報セキュリティ5箇条」を振り返ります。

 すると、最初の2項「1.OSやソフトウェアは常に最新の状態にしよう!」「2 ウイルス対策ソフトを導入しよう!」はランキング上位3つに共通していたウイルスへの対策になっていますし、「3 パスワードを強化しよう!」「4 共有設定を見直そう!」は、感染後の被害拡大を予防する対策になっていることがわかります。

 このように脅威や攻撃の手口を分析し、最も有効でかつ基本となる対策が「情報セキュリティ5箇条」に採用されています。

 それでは具体的にどのように5箇条に取り組むか、よくある運用を例示します。

(1) 管理しなければならない対象機器(パソコンやタブレット)を全て洗い出し、各々に管理者を定めます。複数の担当者で共用する端末でも管理者として特定の人物を定めるのがポイントです。

(2) OSやソフトウェア、ウイルス定義ファイルのアップデートを確認する手順を文章にし、いつ実施するかも定めて管理者に配布します。チェックシートも一緒に作成し、実施した時刻を日々記録することも有効です。

(3) 定期的なウイルススキャンは邪魔に思って中断することを防ぐため、昼休みに実行されるよう設定しておくことをお勧めします。

(4) セキュリティ責任者を決め、管理者が手順を実施しているかチェックするようにしましょう。チェックシートにきちんとチェックしているか、チェックしていながらアップデートしていないことはないか、週1回から少なくとも月1回は確認するようにしましょう。

(5) パスワードや共有設定もルールを定め、(4)とあわせて定期的にチェックしていくことで習慣の形成に繋がります。パスワードは誕生日など容易に推測出来るものではないか、共有ドライブを接続したままにしていないか、などが具体的なチェック内容になります。

 一方、チェックシートだけではルーチンワークになってしまい、ついつい疎かになりがちです。どのようなことに効果があるのか、先ほどの10大脅威ランキングを実際に見てみることで取り組むモチベーションもアップすると思います。ルールを課す側も守る側も、定期的に学びの時間を作り、想定される被害や影響に立ち返る機会を持ちましょう。そのためにも、IPAなどの専門機関が定める制度や刊行物を活用することをお勧め致します。

著者プロフィール

澁谷 宗紀(澁谷経営コンサルティング)

中小企業診断士,ITストラテジスト,システム監査技術者。100名程度のシステム開発2次ベンダーにて、管理職やプロジェクトマネージャーを担当。独立開業後は、経営ニーズと現場エンジニアとの橋渡しをテーマに、システム調達仕様の策定支援やパッケージソフトウェア事業の運営支援に取り組んでいる。

< 専門家コラムTOP

pagetop