コラム

第5回 対岸の火事だと思っていませんか? 実は他人事ではない「情報セキュリティのリスク」

  • 2019年6月28日
  • ドコモ・システムズ株式会社

「情報セキュリティ事故は大企業のもの」という思い込み

もしもあなたが情報システム部門の担当者や社内のIT関係を任される立場だったとして、上司や経営層から「うちの情報セキュリティ対策は大丈夫なんだろうね」と問われたとき、どのように答えるだろうか。

ウイルス対策ソフトの導入や定期的な更新、ファイアウォールの設定、添付ファイルの暗号化など、様々な対策を施しているなら「きちんとやっている」自負はあるはずだ。 しかし、それで万全か?と問われて「完璧です」と胸を張って言える人は実際のところ少ないのではないだろうか。

なぜなら現在の情報セキュリティの対策は多方面にわたり、対応すべき脅威も続々と増えているからだ。 数年前の対策で今のリスクに対応できるのか、今は何に最も注目しなければいけないのか。それを追うだけでも精一杯だ。

標的型攻撃メールや内部不正による情報漏えい、ランサムウエアによるシステム停止などの被害、ビジネスメール詐欺(BEC)などによる金銭的な被害のように、情報セキュリティリスクは間違いなく存在し、形を変えて増えている。


ビジネスメール詐欺の例

例えばNPO法人の日本ネットワークセキュリティ協会の調査では、2016年の個人情報漏えいのインシデント件数は前年比320件減の468件だった(2016年情報セキュリティインシデントに関する調査報告書)。 それがニュースの沈静化につながり、あたかも安全になったかのような印象を与えているが、必ずしも実態を示しているとは言えない。

特に中小企業レベルの、規模が少ない情報漏えい事故についての公表が減少していることが要因の1つとして考えられ、より大規模な情報漏えい事故だけが目につくようになったと見ることができる。 そうした状況のもとで報道を見ているだけだと「情報セキュリティ事故は大企業のものだ」と感じてしまいがちだ。

しかし、企業規模にかかわらず脅威は襲ってくる。決して対岸の火事ではない。

事実、独立行政法人情報処理推進機構(IPA)では、中小企業における情報セキュリティ対策に関する実態調査を実施しており、この2016年度の報告書を見ると「中小企業だから安全」とは言えない実態が浮かび上がる。

中小企業3万社がサイバー攻撃の被害に

IPAの調査では、中小企業を対象にサイバー攻撃などの被害の有無を尋ねている。回答全体では、「サイバー攻撃をまったく受けなかった」が72.6%と最も多い。 「ほーら、大丈夫なんだよ」という声も聞こえてきそうだ。しかし「サイバー攻撃を受けたが、被害には至らなかった」が5.4%、「サイバー攻撃で被害にあった」が0.8%と、少数派ながら確実にサイバー攻撃の魔の手は伸びてきている。 「わからない」という15.9%の回答の中にも、攻撃を受けているリスクはある。


中小企業におけるサイバー攻撃被害の割合
出典(IPA「2016年度 中小企業における情報セキュリティ対策に関する実態調査」)

サイバー攻撃で被害にあった中小企業は、回答の0.8%と数字だけ見ると少ないように感じる。しかし、中小企業の100社に1社近くはすでにサイバー攻撃で被害にあっていると見るべきだろう。 日本の中小企業は約380万社(中小企業庁による2014年の集計)で、その0.8%は3万を超える。これを対岸の火事と言っていられるだろうか。

実際、IPAの実態調査の事例集では、中小企業を襲うサイバー攻撃の生々しい例が見られる。 ウイルス感染はもちろん、ランサムウエア、標的型攻撃メール、不正アクセス、内部不正、そしてパソコン紛失と、そのバリエーションは大企業を襲う脅威と何ら変わりはない。 サイバー攻撃によるセキュリティ事故で業務が一定期間にわたり停止したり、情報漏えいを引き起こして取引先からの信頼を失ったりといった直接の被害も生じている。

事故が起きてからでは遅い。あなたの会社だけが狙われないという根拠がないならば、情報セキュリティ対策を見直して安全性を一刻も早く高めたい。

だが実際に新しい施策に手をつけるとなると、課題がいくつも見つかる。

必要なのは"多重防御"のセキュリティ対策

まず、社内の体制や意識の問題がある。中小企業の場合、セキュリティ対策の課題があることがわかっていても目先の売上や利益を重視するあまり、費用や人材のリソースを割いてもらえないケースが多い。

従業員の意識向上と運用で情報セキュリティリスクを抑えられると考える経営陣もいる。従業員側も大企業のような丁寧な研修を受けることなく、リスクに対する意識が乏しい場合が多い。 「怪しい添付ファイルは開かない」といった決まりがあっても、実際には業務優先で気にせずファイルを開いていたりする。

これらの「穴」を空けたままにしておくのは危険度が高い。IPAの事例集を見ても、セキュリティに対策がなかったり、不十分だったりしたことが要因でサイバー攻撃の被害にあっている。 「きちんとしたセキュリティ対策を施していれば確実にリスクを減少させられる」にもかかわらず、である。

IPAの調査では、中小企業がセキュリティ意識を向上させるために必要な対策を尋ねている。 その結果は「従業員の情報セキュリティ意識向上」が49.5%、次いで「経営者への情報セキュリティ意識向上」が 37.7%と、意識向上に課題があることがわかる。

また、情報システム部門の担当者や社内のIT関係のお守り役といった人も、多くは日常の業務に追われている。 セキュリティ対策の情報を収集し、最新の状況を分析し、必要な対策を施すための時間がなかなか生み出せない。 IPAの調査で、中小企業がIT投資に情報セキュリティ対策を含めていない理由を尋ねたところ、「費用対効果が見えない」「どこからどう始めたらよいかわからない」がいずれも20%以上の回答となったことからも、中小企業の現状が見えてくる。

一方、最近ではIoTの広がりにより、コンピューターのような情報機器以外もネットワークに接続されるようになり、踏み台となって攻撃を仕掛けてくるケースも急増してきた。 ボットネットの攻撃が、2016年には前年の1960万件から6.4倍の1億2600万件に拡大したように、急激な環境の変化への対応も求められる。


多重防御のイメージ

エンドポイント、内部ネットワーク、アプリケーション、データ、セキュリテポリシー、ネットワーク境界部など、どこが入口や出口となってマルウエアの侵入や情報漏えいが起きるかわからない時代。 すなわち、今必要とされるのは何層にもわたって保護可能な"多重防御"によるセキュリティ対策なのだ。

解決は専門家に任せる

このような状況を考えると、特に中小企業では社内のリソースだけで万全なセキュリティ対策を構築するのは、かなり難しい。 サイバー攻撃の最新情報とリスクの評価、そして自社に空いている「穴」を確認し、優先順位を付けて低コストで安全性を確保する。 情報セキュリティ対策の一連の流れを実行するためには、社内で悩むよりも専門家の手を借りるほうが確実である。

なぜなら中小企業の担当者が一生懸命に調べても、サイバー攻撃の手口の拡大に情報が追いつくのは難しいからだ。 実績のある専門家に、最新の情報を踏まえた上で適材適所のソリューションを適用してもらうことで、結果として早く安価に安全なセキュリティ対策を施すことにつながる。

中でも大企業が採用しているソリューションは、危機の解決策として有効だ。 例えばドコモ・システムズが提供するs-WorkProtectorは、 NTTグループの業務を支える社内システムとして採用され、高い信頼性と安全性を誇る。

導入のポイントは柔軟性

s-WorkProtectorでは、必要なツールを予算に合わせて段階的にカスタマイズして導入していくことが可能だ。 従業員の意識向上に対して、セキュリティ教育を行うコンサルティングも用意。どうしても後手に回りがちな導入後の運用もサポートする。 さらに自社のセキュリティ対策の状況を確認、課題を洗い出す無料診断も用意している。


『s-WorkProtector』が提供する支援範囲

こうしたツールは、「どこからどのように始めたら」という不安を拭い去るための第一歩にふさわしいと言えるだろう。 ぜひ、NTTグループと同じ多重防御セキュリティ対策を自社のスケールに合わせて体験してみてほしい。

※この記事は、日経xTECH Activeで2018年3月に掲載された記事を再構成したものです。

ドコモ・システムズ株式会社

鍛えあげたIT力で、あらゆる企業の「改革」を。

btn-pagetop