ITコラム
企業のサイバーセキュリティ対策で重要視されるポイント
IT技術の進化によって、インターネットは私たちの生活に欠かせないものになりました。世の中に情報が溢れるなか、個人情報や機密情報を狙ったサイバー攻撃、金銭の搾取を目的とする詐欺行為などが世界中で多発し、セキュリティリスクはかつてないほど高まっています。IT技術を活用している企業は、被害を受けることのないよう、全社をあげてサイバーセキュリティ対策を行うことが大切です。この記事では、企業におけるサイバーセキュリティ対策で重視すべきポイントについてご説明します。
目次
◎高まるサイバーセキュリティリスク
ITインフラが整備されたことにより、サービスも情報もお金さえも、今では瞬時にやり取りができます。一方で、国境を越えてつながるIT技術を悪用したサイバー攻撃が世界中で蔓延するようにもなりました。今や世の中の多くの施設や技術はコンピュータで制御され、ネットワークにつながっているため、ITを使うことで技術を容易く盗み出し、運用や業務を止めることさえ可能になったのです。
1日に生まれるコンピュータウイルスの数は数十万から百万件にのぼるといわれている一方で、企業のなかにはセキュリティに対する認識や関心が薄く、適切な対策を検討したり必要な予算を割かない組織もあります。企業がセキュリティへの対策を怠れば、個人情報や機密情報が漏洩し、社会的信用を大きく失墜させることにもつながります。ビジネスとしてIT技術を活用している企業は、このような悪意ある攻撃やリスクから自らを守り、対策を強化する必要があります。
さらに近年では、企業単体だけではなく、取引先などを含むサプライチェーン全体を攻撃する被害も増えています。2022年のトヨタ自動車サプライチェーンを狙ったサイバー攻撃では、部品製造を行っている主要サプライヤー企業がマルウェアに感染し、その結果国内の全14工場すべてを停止する事態にまで発展しました。工場停止は1日に留まりましたが、約1万3,000台もの車両生産に遅れが出るなど、その後の運営に多大な影響を及ぼしました。
サイバーセキュリティは、企業や組織単一だけでなく、サプライチェーンや社会、国全体として真剣に取り組んでいかなければいけない問題です。企業や組織は、サイバー攻撃の手法や悪意ある攻撃者について正しく理解し、適切に情報を共有したうえで、複数の対応策による多層防御を進めていく必要があります。
◎サイバーセキュリティ対策の重要性
企業や国を狙った巧妙なサイバー攻撃は、被害にあっていても気づくまでに数ヶ月を要し、その間に被害は拡大していきます。仮に早期の段階で被害に気づけたとしても、攻撃者がどのような存在かを特定できるとも限らなく、特定できたとしても犯人が海外にいる場合には逮捕が難しいケースもあります。さらに、サイバー攻撃による被害が可視化されずメディアに報じられなければ、リスクがあるにもかかわらず放置され、対策が一向に進まないという悪循環にも陥ります。
サイバーセキュリティ対策は、企業はもちろん、関係者やサプライチェーン、さらに国や自治体として対策を立てる必要があります。万が一、攻撃の標的となっても被害を最小限に留めるための体制を整えておくことが大切です。そして、企業としてサイバーセキュリティ対策を検討する際には、「サイバーセキュリティ経営ガイドライン」が役立ちます。「サイバーセキュリティ経営ガイドライン」は、経済産業省と独立行政法人情報処理推進機構(IPA)が策定・公開しているものです。ビジネスにITの利活用が欠かせない現代だからこそ、個人情報や機密情報をどのようにして守るかを具体的に整理し、サイバーセキュリティを企業戦略の一角として推進する必要があります。
ガイドラインにおいて柱となっているのが、経営者の認識するべき「3原則」と、経営者がセキュリティ対策責任者へ指示すべき「重要10項目」です。「3原則」とは「経営者のリーダーシップ」「サプライチェーン全体にわたる対策への目配り」「社内外関係者との積極的なコミュニケーション」の3つです。サイバーセキュリティを考えるうえで経営者に必要な原則が示されています。サイバーセキュリティ対策における責任の所在を明らかにし、自社企業のみならずサプライチェーン全体の包括的な対策を考え、緊密に連携を取って進めることの重要性が明記されています。
「重要10項目」では、対応方針の策定やリスク管理体制の構築、予算・人材などの資源の確保、サイバー攻撃が発生した場合の体制や計画の整備に関する10個の指針が示されています。ランサムウェア被害などによるサプライチェーンを狙ったサイバー攻撃の増加を踏まえ、それぞれの企業の組織幹部が自らの役割を正しく認識し、リーダーシップを発揮していく必要性が記さています。企業として対策を進める際には、サイバーセキュリティを組織の経営課題として捉え、ガイドラインの「3原則」「重要10項目」をベースに綿密な計画を立てることが大切です。
◎企業におけるサイバーセキュリティ対策のポイント
実際に企業としてサイバーセキュリティ対策を行っていくうえで、重要視すべきポイントがあります。とくに重要なのは、サイバーセキュリティに関する管理体制の構築と従業員教育、そして正しい情報収集と共有です。
○サイバーセキュリティに関する管理体制を構築・強化する
サイバー攻撃は国内のみならず世界中で展開されていますが、組織において備えるべきサイバーセキュリティ機能は世界共通です。米国国立標準技術研究所(NIST)の定めるサイバーセキュリティフレームワークによると、「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つに分類されます。
すなわち、サイバー攻撃やリスクの種類、優先度や管理プロセスを正しく識別すること、情報やシステムの保護、意識向上やトレーニングなどを含めた防御策を進めることが表されています。ほかにも、継続的にモニタリングを行うことで異常を早期に検知できる仕組みを導入すること、重大インシデントが発生した場合に適切に対応できるような手順・計画を策定すること、そしてシステムが何らかの理由で停止した際でも早期に復旧できる計画・準備を進めることとしています。
それぞれに関して情報セキュリティポリシーやルールを策定し、責任者を含めた管理体制を明確化したうえで、適切な人員を配置することが大切です。すでにサイバーセキュリティの管理体制を構築している企業も、現体制に問題がないか、改善点があれば強化する必要があります。
○サイバーセキュリティに対するリスク評価を毎年実施する
サイバー攻撃は年々巧妙化しており、サイバーセキュリティリスクも日々変化しています。そのためサイバーセキュリティ対策は、1度策定したらそれで終わりではなく、定期的に見直し、必要に応じて更新していくことが大切です。リスク評価を怠ってしまうと、未知のウイルスなどによるサイバー攻撃への対応が遅れ、結果的に重大インシデントにつながる可能性があります。
○従業員に対してサイバーセキュリティ教育を行う
経営者とセキュリティ担当者がいくらサイバーセキュリティに対するリスクを認識していても、企業でともに働く従業員が何も知らない状態では意味がありません。サイバーセキュリティ体制の構築とともに、従業員に対してサイバーセキュリティ教育を行いましょう。情報セキュリティポリシーに関する同意書にサインをしてもらう、違反規定を設けるなど、従業員1人ひとりの意識を高めて行くことが大切です。
○内部から情報を持ち出せない仕組みを構築する
サイバー攻撃を受けたわけではなくても、USBやパソコンの紛失、クラウドデータ漏洩などによって個人情報や機密情報が外部へ流出するリスクもあります。とくにUSBメモリは、持ち運びがしやすいことから情報共有のために利用されることが多く、取り扱いには注意が必要です。従業員へのサイバーセキュリティ教育において、「そもそも情報を社外へ持ち出さない」ことを明示しましょう。どうしても外部へ持ち出す必要がある場合には、パスワード保護などによってセキュリティを強化し、誰がいつ持ち出したかがわかるようにしておきます。
○外部からの攻撃に備えて多層防御の仕組みを構築する
サイバーセキュリティ対策は、家に泥棒が侵入することを想定すると考えやすくなります。たとえば玄関や窓には鍵をかけ、壊れている場合には直ちに修繕しなければならないように、サイバーセキュリティではITシステムの脆弱性を修正、使用していない不要なポートを閉めておくのです。家の周りに塀を立てたり、外から部屋のなかが見えないよう目隠しをするように、サイバーセキュリティではファイヤーウォールの導入や設定強化を行います。
不審者が敷地内に入ってきたら警告音が鳴るように、サイバーセキュリティ対策として、侵入検知システムやアンチウイルスソフト、振る舞い検知などを導入します。また玄関やベランダに設置する監視カメラのように、振る舞いのたびにログ(記録)を収集・保存する仕組みを導入したり、AIや自動化などの技術も活用すると良いでしょう。家の安全を守るためにセキュリティ対策を幾重にも施す要領で、サイバーセキュリティ対策においては多層防御の仕組みを構築することが大切です。
○万が一サイバーセキュリティリスクが発生した場合の対応を策定する
サイバー攻撃によって悪意ある攻撃者が内部へ侵入できないよう防御するのは当然のことです。万が一防御策が破られ侵入された場合の情報把握の手順、現場でどのように行動するか対応計画の策定、事業を継続しながら復旧するための計画・手順などの策定も重要です。サイバーセキュリティ被害は本来あってはならないものですが、万が一の事態に備え、あらかじめ綿密に計画を策定し、また定期的に訓練を行ってリスクに備えましょう。
○サイバーセキュリティに強いCMSを利用する
情報提供や認知の拡大、集客などを目的として、自社でホームページを運用している企業は多いことでしょう。ホームページの更新ツールとして使用されるCMS(コンテンツマネジメントシステム)が、実はサイバーセキュリティリスクに晒されているかもしれません。
世界的にも人気のCMSとして知られるワードプレスは手軽に導入できる反面、本体やテーマ、プラグインなどにさまざまな脆弱性が存在することから、サイバー攻撃の標的になりやすいのです。自社WebサイトとしてCMSを利用する際には、サイバーセキュリティ対策のしっかりできるものを選ぶ必要があります。
◎サイバーセキュリティに強い「更新プログラム+」
当社の「更新プログラム+」は、サイバーセキュリティに強いオリジナルCMSです。15年に渡り、1000以上の企業の採用実績があり、更新作業をより手軽にできるうえサイバーセキュリティ対策にもなることで定評をいただいています。「更新プログラム+」は、IPS+WAF+マネージドサーバーという組み合わせでお客さまのWebサイトを守ります。
IPS(Intrusion Prevention System)とは通信を監視して不正侵入を検知できる仕組みで、WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを保護するための仕組みです。これらに、最新のセキュリティパッチを常時適用しているサーバーを加えることで、サイバーセキュリティ性能の高いCMSを実現しているのです。サイバーセキュリティ対策が十分なCMSをお探しなら「更新プログラム+」を導入することによって、被害のリスクを軽減できます。
◎まとめ
IT技術を利活用している企業にとって、サイバーセキュリティ対策を整えることは急務といえます。悪意ある攻撃者によって個人情報や機密情報の漏洩リスクが世界中で高まるなか、サイバーセキュリティに対するルールや体制を強化し、いつ訪れるかわからない脅威に備えなければなりません。とくにWebサイトのCMSはサイバー攻撃の対象として狙われやすく、対応策のしっかりしたシステムを導入することが大切です。安全なCMSをお探しの方は、当社までお気軽にご相談ください。