オフィスの電話回線のご相談はお気軽にお問い合わせください。
防犯カメラ導入のご相談はお気軽にお問い合わせください。
テレワーク導入のご相談はお気軽にお問い合わせください
ホームページ制作のご相談はお気軽にお問い合わせください。
企業向けパソコン導入のご相談はお気軽にお問い合わせください。
ウォーターサーバー導入のご相談はお気軽にお問い合わせください。
全メーカー対応!新品・中古ビジネスフォンを激安で販売
新品・中古複合機が業界最安値!リースや保守も安心価格
社用携帯の新規契約・乗り換え・機種変更が圧倒的な安さ
もうビジネスフォン不要!社員のスマホで電話業務が完結
サイバー攻撃を遮断!企業を守るセキュリティ商品を完備
ビジネスフォンの各種工事を格安&スピーディに一括対応
オフィスのネットワーク環境構築から配線工事までお任せ
有資格のプロが対応!オフィスの電気工事をフルサポート
オフィス・事務所移転を低コスト&スピーディに徹底支援
IT専門家による経営革新&業務改善コンサルで課題を解決
SEO集客で成功へ導く!丸投げOK&本格運用の”FUKUJIN”
高寿命・省エネのLED蛍光灯でオフィスの電気代を削減
店舗やオフィスの集客力UPに効果的な電光掲示板を販売
パソコンやインターネットが普及した現代、業務にIT機器やIT環境が欠かせなくなりました。
そんな中で問題視されているのが、「情報セキュリティインシデント」。 サイバー攻撃などの多種多様な情報セキュリティ脅威が存在しており、企業の存亡に関わる被害をもたらす恐れがあります。
そこで今回は、「情報セキュリティインシデント」の概要や、中小企業のインシデント・事故事例、具体的なセキュリティ対策について網羅的に解説します。 セキュリティに不安をお持ちの中小企業経営者や、システム責任者はぜひ参考にしてください。
この記事の目次
情報セキュリティインシデントとは、わかりやすくいうと「重大事故につながりかねない事象」のことです。
例えば「外部から届いた変なメールやファイルを開けてしまった」「重要情報を保存しているPCを紛失してしまった」というように、まだ事故には発展していないものの異常な事象を検知するなど、事故に起因しそうな事案が発生することを“インシデントが発生した”といいます。 いわゆる『事故の前兆』のようなものです。
では、情報セキュリティインシデントを完全に防ぐ方法はあるのでしょうか?
残念ながら、情報セキュリティインシデントを完全に防ぐことは不可能といわれています。 なぜならサイバーウイルスは世界中で日々無数に生成され、かつ巧妙化が進んでいるからです。
このようなことから、企業が甚大な情報セキュリティ事故を起こさないためには、インシデントの発生要因をしっかり理解し、インシデントが発生したら速やかに対処できる体制をつくることが重要なのです。
情報セキュリティインシデントが発生する要因は、大きく「外的要因」と「内的要因」に分けることができます。 それぞれ詳しくみていきましょう。
外的要因には、主に以下のものがあります。
サイバー攻撃は、インシデントや事故につながる一番大きな要因です。 具体的には、以下のような攻撃を起点にサイバーウイルスを仕掛け、一気に拡散させるといった影響度が大きいものです。
社外の人間に、会社の機密情報や個人パスワードなどの重要情報を見られたり盗み取られることを指します。 ショルダーハッキングやなりすまし(例:ショートメールやLINEを利用したなりすまし)、関係者を装った電話などが該当します。
地震や洪水、落雷・停電などの自然災害により社内システムが棄損・破損したことによって、重要情報を失ったりアクセスできなくなったりすることです。
内的要因には、主に以下のものがあります。
従業員の不注意で機密データを削除してしまう、うっかりミスで重要データを関係社外に誤送してしまう、といったヒューマンエラーによってもたらせる要因です。
会社への恨みや嫌がらせ目的から、従業員が社内の重要情報や個人データを盗みとることです。 個人情報漏えい事故の主要な要因でもあります。
情報セキュリティインシデントや事故は、決して大企業だけに起きるものではありません。 会社の規模を問わず、中小企業であっても常に危険がつきまといます。
ここでは、最近起きた中小企業の特徴的な事故事例を3つ挙げたいと思います。
【事象】 2021年末、徳島県つるぎ町の「半田病院」がサイバー攻撃を受け、患者顧客情報8.5万件の漏出および院内システムおよび情報が暗号化された事故
【原因】 脆弱したVPN(仮想ネットワーク)を攻撃された可能性が高い
【被害状況】 漏出した顧客情報8.5万件への対応、院内システムセキュリティ強化のための設備投資資金2億円以上
【事象】 2021年、建設コンサルタント業の「オリエンタルコンサルタンツ」がランサムウェア(身代金要求型ウイルス)に感染したことが発覚
【原因】 外部から同社サーバーに対しランサムウェアによる攻撃がなされたことが原因と判明
【被害状況】 東京都や市川市など、同社に委託していた都市計画・設計、機密情報等が漏出。サーバー攻撃に関する調査、対応、再設計費用として7.5億円の特別損失を計上した
【事象】 2020年、「三菱電機」がネットワークに外部より不正アクセスを受け、企業機密情報および個人顧客情報の漏出を発表
【原因】 不正アクセスの発端となったのは、中国に所在する同社関連子会社からのサプライチェーン攻撃であったとのこと。攻撃者はまずセキュリティ対策が脆弱な関連子会社に入り込み、そこを踏み台として親会社である三菱電機を狙ったもの
【被害状況】 三菱電機本体の機密情報、個人情報漏出の恐れ
前段で示した事例は、中小企業を起点として起きた事例のほんの一例。 特徴的なのは、「病院」「建設」「製造業」といった一見サイバー攻撃と縁遠そうな業種においてもインシデントや事故は起こりうるということです。
ここで参考サイトとして、「Security NEXT」をご案内します。
本サイトでは、国内で日々発生する情報セキュリティインシデントや事故事例についてまとめています。 大企業で起きた事故事例はもちろんのこと、中小企業や自治体などでも起きた事例が毎日アップされているので、社内教育などにご利用いただくことをおすすめします。
情報セキュリティインシデントや事故は今や一般的なリスクです。 しかしながら中小企業経営者や担当者の多くは、情報セキュリティインシデントや事故をまだまだ縁遠いものと感じているのが実態です。
この章では、多くの中小企業経営者が感じている誤った認識の代表例を5つ挙げ解説します。
サイバー攻撃を防ぐためのウイルスソフトの導入は主要な対策の一つですが、完璧に防げるものではありません。 なぜなら、新たなサイバーウイルスは日々無数に生み出されているからです。
例えば、新たに脅威となるサイバーウイルスが発生しそのウイルスソフトを開発するとしても、少なくとも半年から1年はかかります。 また無数に存在するサイバーウイルスに対応できるソフトを作るのは、現実的に不可能です。
専門家の意見では、最新のウイルスソフトを入れたとしても、世の中の40%~45%程度のサイバーウイルスしか検知できないだろう、といわれています。 よって、ウイルスソフトだけではセキュリティ対策は不十分なのです。
規模の小さい中小企業だからといって、インシデントが起きない、サイバー攻撃を受けないということは全くありません。 なぜなら、「サプライチェーン攻撃」という事故が主流になりつつあるからです。
「サプライチェーン攻撃」とは、まだセキュリティ対策が脆弱な中小企業を狙い、そこを踏み台として大企業を襲うという攻撃です。 仮に大企業がサプライチェーン攻撃によって被害を受けた場合、事故の発端となる元請企業や関連会社に対し、多額の賠償請求や調査請求を行います。
よって、たとえ中小企業であってもサイバー攻撃の対象に十分なり得るのです。
個人情報を持たないのであれば、情報漏えいリスクは低いといえるかもしれません。
しかし取引先に大企業や大口客先がある場合、前段で説明した「サプライチェーン攻撃」を受けて、知らぬ間に取引先に被害を与える可能性があります。 身に覚えがなくとも、自社が加害者となって取引先にサイバー攻撃をしかける可能性があるのです。
たとえ個人情報を扱っていない企業でも、セキュリティ対策を行う必要があるのです。
身近では、「最近サイバー攻撃を受けた」と公表する企業は少ないかもしれません。
しかし、よく考えてみてください。
「情報漏えい事故が発生した」「社内システムが暗号化されて攻撃者に数百万円支払った」などと自ら周囲に伝える企業が果たしてあるでしょうか? そのような事実の公表は、ビジネスリスクとなり信用問題に繋がるのでとにかく隠したいというのが一般的です。
先ほど、情報セキュリティインシデントをまとめたサイト「Security NEXT」を案内しました。 こちらには、中小企業のインシデント・事故事例も含めて多くの事例が掲載されています。
こういった客観的な情報を踏まえて、事実を冷静に判断し対策することが重要です。
「怪しいサイトや不要なサイトに訪問しないこと」を、社内に徹底することは大切なことです。
しかしながら、メイン銀行のネットバンキングやAmazon・楽天等のECサイトを装った悪質サイトによる被害や、フィッシング詐欺も頻発しています。
日常と同じルーチンでメインのネットバンキングから入金しようとしたところ、実は全く同様のネットバンキングを装った悪質サイトだったことに気づかず、会社のIDやパスワードが抜き取られ、多額の資金をだまし取られるという事例も発生しています。
社会問題である“オレオレ詐欺”が日々巧妙化していることと同様、サイバー攻撃やフィッシング詐欺も巧妙化しています。 「自社は大丈夫だろう」と慢心せずにインシデントや事故に備えることが重要です。
インシデントや事故を未然に防ぐためには、具体的にどのような対策をとればいいのでしょうか? ここでは、最低限備えるべきセキュリティ対策について説明します。
以下の図は、下層から上層にかけて、行うべきセキュリティ対策の重要度を示したものです。 ぜひ参考にして、重要度の高いものから対策を始めましょう。
一番の基本となる対策は、OSとウイルスソフトの最新化です。
OSのアップデートには、セキュリティ強化に関するバージョンアップも多く含まれているからです。 WindowsやMacOSなど、定期的なバージョンアップは必ず実施してください。
注意点としては、バージョンアップのためには必ず再起動する必要があるということです。 PCをシャットダウンする習慣がない人は、必ず作業終了時にシャットダウンすることを意識してください。
ネット上で検索作業するときは、必ず安全性高いブラウザを利用してください。
安全性の高いおすすめブラウザは、「Google Chrome」もしくは「Edge」です。 もし社内で利用ブラウザを統一していない場合は、これらに統一するようにしましょう。
UTMとは「統合脅威管理(Unified Threat Management)」の略で、コンピューターネットワークを包括的に保護する管理手法。 インターネットと社内ネットワークの間に設置するセキュリティ機器のことです。
UTMが果たすセキュリティ効果は高く、以下のような機能をもっています。 分散するセキュリティ対策を1つの機器で実現できるため、「何から対策を始めたら良いのか分からない」「低コストで対策をしたい」という方にもおすすめです。
UTMの基本的な機能
データのバックアップは必ず定期的に取るようにしてください。 データさえしっかり残っていれば、万が一の際にも自社の業務はすぐ復旧させることができるからです。 最悪なのは、“何もできない”ということなのです。
ですので、自社内データのバックアップは可能な限りこまめにとるようにしましょう。
定期的に社内向け勉強会や標的型メールを実践し、従業員教育を行いましょう。 情報セキュリティインシデントや事故は、ほとんどのケースが人間を起点として発生するものだからです。
といった教育をし続け、常に従業員の意識向上を促すことを心がけてください。
インシデントや事故は自社内で気づきにくく、外部からの通告で発覚するケースが多いのが実情です。 事故後、被害を受けた経営者に話を聞くと、「まさか自社でこんなことが起こるとは思ってもみなかった・・・」と口を揃えて言います。
セキュリティの欠陥は、専門性が高く目に見えないので発見することが極めて困難です。 また、サイバーウイルスに長い間感染し未だ気づかず、現在もウイルスに感染したPCで日々業務を続けている企業も数多く存在します。 「自社は大丈夫」と過信せず、平時の今だからこそできることからセキュリティ対策を始めましょう。
現在、「OFFICE110」では、通常10万円以上かかるセキュリティ調査を無料で実施しています。 本調査では、貴社内すべてのセキュリティ機器やネットワークを専門家が詳しく調べ、懸念される脆弱性を総合的に分析いたします。 また分析結果から、最も適する対策もご提案いたします。
自社のためにも、取引先を守るためにも、まずはセキュリティ調査で現状確認することをおすすめします。
従来、攻撃者は資金や情報をもつ大企業を狙い撃ちしていましたが、主流となりつつある「サプライチェーン攻撃」や各種事例からも分かるとおり、今や多くの中小企業がサイバー攻撃の標的となっています。
また近年のサイバー攻撃の頻度の高まりから、大企業や自治体が取引条件の一つとして、中小企業に対し情報セキュリティ対策有無を確認するようになりつつあります。
今後、情報セキュリティやインシデントへの対策強化は必須となるでしょう。 本記事で解説した事例をもとに、平時から少しずつできる対策を行っていきましょう。
お役立ち情報カテゴリ
