近年複雑化しているセキュリティ上の脅威への対策は、企業にとって重要な経営課題のひとつです。この記事では、企業の情報セキュリティを担うバックオフィス担当者に向けて、セキュリティ関連のニュースを基に、セキュリティ対策のポイントや、対策の基本について解説します。自社や取引先、顧客を守るための情報を掲載していますので、ぜひ参考にしてください。
目次
最新のセキュリティニュース「情報セキュリティ10大脅威 2024」
近年、インターネットや情報システムの発展が著しく、今やITは企業の運営において欠かせません。しかし、同時に情報セキュリティ上のリスクを抱え込んでいるともいえます。
独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2024」によると、近年見られる脅威は複雑化し、多様な攻撃が目立つようになっています。情報セキュリティ事故が起こってしまうと、大きなダメージは避けられません。そのため企業には、脅威に対応したセキュリティ対策を講じ、リスクを最小限に抑える取り組みが求められています。
参照元: IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2024」
「情報セキュリティ10大脅威 2024」から見るセキュリティ対策のポイント
複雑化・多様化した情報セキュリティの脅威には、従来の対策だけでは対応しきれないケースが増えています。ランサムウェアやサプライチェーンの弱点を悪用した攻撃など、新しい手法が次々と出現しています。そのような中では、セキュリティ対策は単なる技術的な問題ではなく、全社的に取り組むべき重要な経営課題のひとつと考えなければなりません。セキュリティ対策は「コスト」ではなく、将来的なリスクを回避し、企業を守るための「投資」として考える視点が重要です。
さらに注意すべきは、「人」によるトラブルです。内部の不正や不注意による情報漏えいも増加しています。教育や運用ルールの整備を通して、組織全体のセキュリティ意識を高めることが求められています。
企業にとって情報セキュリティ対策が重要な理由
企業の持つ情報は、人や物、金銭と並ぶ大切な経営資源です。しかし、ひとたび漏えいや紛失などの情報セキュリティ事故が起こると、信頼の失墜や損害賠償、情報システムの停止による損失など、多大な影響をもたらします。また、取引先や顧客などへ被害を広めてしまうと、意図せず加害者となってしまうリスクもあります。
失った信頼を回復するのは難しく、企業にとって長期的なダメージとなりかねません。こうした問題の発生を防ぐために、複雑化・多様化した脅威に対し、早期に対策を講じることが不可欠です。情報セキュリティ対策は、企業の業績や信用だけではなく、取引先や顧客をも守る重要な取り組みです。
情報セキュリティの3要素とは
情報セキュリティで重要なのは、情報資産の「機密性」「完全性」「可用性」を確保することです。この3つを、情報セキュリティの3要素といいます。
機密性とは、特定の人だけが情報にアクセスできるようにしておくことです。機密情報を外部から守り、内部の不正利用も防止します。
完全性とは、情報が正確かつ完全に保たれていることです。データの改ざんを防止したり、破損・消失に備えてバックアップを行ったりして、情報の信頼性を確保します。
可用性とは、必要なときにいつでも安全に情報を利用できる状態にしておくことです。予備設備を準備したり、複数のサーバーに処理を分散したりして、システム障害時や自然災害時などでも業務が停滞しない体制を作ります。
この3要素が偏ると、利便性や生産性が低下し、情報漏えいのリスクが高くなります。全ての要素をバランスよく維持することが大切です。
具体的なセキュリティ対策の基本
「情報セキュリティ10大脅威」以外にも多くの脅威が存在しますが、これらの攻撃の糸口は似た部分にあります。狙われがちな点に対して適切に対策することで、被害を受けるリスクの低減が可能です。以下、具体的なセキュリティ対策の基本について解説します。
【セキュリティ対策の基本①】パスワード管理の徹底
基本的な対策として挙げられるのは、IDやパスワードなどのアカウント管理です。不適切な管理方法の例として、パソコンやスマートフォンにパスワードを書いたメモを貼る、複数人で使用するパソコンでブラウザにパスワードを記憶させる、などがあります。こういった管理方法は、不正アクセスのリスクにつながるため避けましょう。
単純なパスワードは危険!日本企業でよく使われているパスワードとは?
またパスワードの設定では、推測されやすい単純な文字列を避け、複数サービスでパスワードを使い回さないことも重要です。リトアニアのセキュリティ企業Nord Securityが発表した「人気パスワードランキング」2024年版によると、日本の企業でよく使われているパスワードランキングでは、「password」が1位に。2位「12345678」、3位「123456789」などのパスワードが続いており、いまだ単純なものが多く使われている現状があります。
参照元: Nord Pass「Top 200 Most Common Passwords」
その他にも、退職者のサービスアカウントは削除・無効化し、不正にアカウントやパスワードを使用されないよう対策をしましょう。
【セキュリティ対策の基本②】最新のセキュリティソフトの導入
外部からの不正アクセスやウイルス感染をブロックするためには、セキュリティソフトの導入が必須です。常に新しい脅威に対応するため、定期的に更新されます。必ず最新版を使用しましょう。ウイルスバスター ビジネスセキュリティサービス であれば、常に最新版に自動更新されるのでバージョンアップ作業の手間がかからず便利です。従業員教育やソフトウェアの更新とあわせて、複数のセキュリティを組み合わせ防御の層を厚くすることが大切です。
セキュリティ対策にお困りのお客さまにおすすめ
ウイルスバスター ビジネスセキュリティサービス
中小企業に特化したクラウド型セキュリティサービス。
クラウド型のサービスのため外出先に持ち出されているPCやスマホについても一元的に管理することができます。
コストを押さえながらセキュリティを向上しましょう!
【セキュリティ対策の基本③】メールからの情報漏えい対策
社内・社外のコミュニケーションツールとしてメールは欠かせませんが、誤送信による情報漏えいのリスクを常に伴います。宛先や添付ファイル、B㏄設定の間違いが原因で、意図せず機密情報が広がるケースがあります。人の目による確認だけでは、ヒューマンエラーは防ぎきれません。誤送信は発生する前提で、致命的な漏えいにつながらない仕組みを構築することが大切です。
脱PPAPとは?近年の企業のメールセキュリティ傾向
過去には誤送信対策として、「PPAP」という手段が普及していました。これは、パスワード付きのZIPファイルと、パスワードを別のメールで送信することで、宛先や添付ファイルの間違いがあってもセキュリティが担保されるという考え方です。PPAPについて詳しく知りたい方はこちらの記事がオススメ!しかしPPAPは、両方のメールが誤送信されたり、ネットワーク盗聴されたりすると意味を成さず、逆に暗号化が要因となりマルウェア感染を見逃すリスクを生むこともあります。そのためセキュリティ対策として有効とはいえず、2020年に政府が利用廃止を声明したことを機に、民間企業でも脱PPAPの動きが進みました。
メールによる情報漏えいの対策には、メール誤送信防止ソフトの活用が有効です。送信メールを一定時間留保して誤送信を防いだり、添付ファイルをメールとは別のダウンロード形式に変更したりして、情報漏えいのリスクを大幅に低減させられます。 中でもビズらくがメール誤送信防止におすすめしているサービスは「 Active! gate SS 」です。
メール誤送信対策・脱PPAPにお困りのお客さまにおすすめ
Active! gate SS(アクティブゲート エスエス)
7つの機能でメール・添付ファイル経由の情報漏えいを防ぐクラウド型メール誤送信防止対策サービス。
環境を選ばない使い易さで専門の管理者も必要なく、さまざまな職場でご利用いただけます。
【セキュリティ対策の基本④】アクセス権限の設定
情報セキュリティを確保する上では、適切なアクセス権限の設定も重要です。従業員や取引先、業務委託先など、複数の関係者が同じデータにアクセスする場合、全てのデータに全員がアクセスできてしまうと、情報漏えいや誤操作によるデータの変更・削除などのリスクが生じます。誰がどの情報にアクセスするかを明確にし、細かく権限を制御しましょう。
「 Dropbox 」のようなクラウドストレージサービスを活用すると、フォルダやファイル単位でアクセス権限の設定で可能です。データの共有範囲を必要最小限にし、閲覧・編集可能な人を限定できます。
【セキュリティ対策の基本⑤】定期的なセキュリティ教育の実施
情報セキュリティのリスクの多くは、人的要因に起因しています。紛失・置き忘れや誤操作、内部不正など、人的要因による情報漏えいは、全体の過半数を占めるという調査結果もあります。よって、従業員へのセキュリティ教育は欠かせません。
参照元: NPO日本ネットワークセキュリティ協会「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)」
また、近年ではテレワークが広く普及し、企業の監視やサポートが行き届かない環境で仕事をする機会が増えています。社外でのデバイスの取り扱いや、ネットワークへのアクセスには注意しなければなりません。パソコンの持ち出しや個人所有のデバイスの使用、外部のネットワーク利用などについて、運用ルールを明確にし、徹底することが重要です。 従業員に対するセキュリティ教育を通じて人的リスクを軽減できれば、組織全体の安全性が向上し、安心して業務を行う環境を整えられます。
まとめ:適切なセキュリティ対策実施へ、複数のツールを組み合わせましょう
情報セキュリティの脅威が複雑化する昨今、企業にとってセキュリティ対策は喫緊の経営課題です。中でも、人的要因によるリスクは軽視できません。セキュリティソフトやメール誤送信防止ソフト、共有ストレージを活用して適切な対策を講じ、企業全体で安全な業務環境を築きましょう。
.png)
