セキュリティ対策の必要性と企業が必ずやるべき対策を徹底解説
「うちのような小さな企業も、セキュリティ対策が必要なのかな?」
「セキュリティ対策って、どこまでやればいいの?」
情報漏洩・ウイルス感染などのセキュリティに関するニュースを目にし、そんな疑問を抱いている企業の方もいらっしゃいますよね。
「うちは中小企業だし狙われるはずがない」
「セキュリティ対策にそんなに力を入れなくても、きっと大丈夫だろう」
そんな思いもあり、セキュリティ問題から目をそらしている方が多いのが現状です。
そこで今回は、なぜ企業にセキュリティ対策が必要なのか、目的に合わせたセキュリティ対策の種類、被害事例などをお伝えしていきます。
社内のセキュリティを強化したい方、何から始めたら良いのか分からない方は必見です。
企業のセキュリティ対策はどこまでするべき?
- 最近、社内でセキュリティ対策について話題になることも多いようですが、対策をしないと何か問題がありますか?
- 顧客情報が流出し、情報漏洩から賠償問題に発展することもありますので、企業のセキュリティ対策は必須です。
企業の中には、
「狙われるような重要機密を扱っているわけじゃないから」
「変なサイトに繋がないよう徹底しているから」
と、セキュリティ対策は必要ないと考えている方もいらっしゃいます。
しかしセキュリティ対策不足により「金銭的な損失」や「情報漏洩」といったトラブルを引き起こし、企業の存続に大きな影響が出る可能性もあります。
【セキュリティ対策を行わなかった場合に想定される被害】
- 金銭的被害
- 顧客の信用を失う
- 機密情報の盗難
- 従業員のモチベーション低下
企業が行うべきセキュリティ対策は、経済産業省の「サイバーセキュリティ経営ガイドライン」に記載されています。
項目は10個と多く、それぞれ理解して実行に移すのはなかなか大変です。
ただでさえ日々の業務に追われていると全て実行するのは、かなりハードルが高いですよね。
そこでまずは、自社の扱う商材や業務体系から「自社で必要なセキュリティ対策」を考えてみてください。
詳しくは後述しますが、例えばウイルス感染を防ぐなら「ウイルス感染対策ソフト」を、情報漏洩を避けるなら「ファイアウォール」などを、それぞれ導入する必要があります。
しかし、
「自社の業務上、何に対処すれば良いのかわからない」
「どのセキュリティソフトが自社に適しているのかわからない」
「セキュリティ上どこが弱いのかもわからない」
など、悩んでしまう方も多いはずです。
そういったときは『セキュリティ調査』をお願いすることをおすすめします。
弊社「OFFICE110」もセキュリティ調査を実施しております。
現地でセキュリティ調査を行ない、貴社にはどのようなセキュリティ対策が必要なのかアドバイス・サポートいたします。
料金はかかりませんので、自社のセキュリティを見直したい方はぜひお気軽にご相談ください。
企業でのセキュリティ対策の実情と被害事例
- なるほど、セキュリティ対策は大事なんですね。もう少し、セキュリティ対策をしなかった場合に起こりうる被害が知りたいです。
- セキュリティ対策を行わなかった場合の被害には、さまざまな性質のものがあります。例えば金銭的な被害や、会社の信用問題に関わるものなど。企業にとって大きなダメージになります。
経営者様のなかには、「セキュリティ対策をしなければ、大きな被害が出る」と聞いても、具体的なイメージが浮かばない方も多いでしょう。
実際、具体的な被害イメージが浮かばない経営者様は、全体のおよそ3割を占めるという統計が出されています。
また、およそ半数もの中小企業様が「サイバー攻撃の対象になることを想定していない」と回答しました。
しかし実際には、中小企業のうち5社に1社がサイバー被害を経験しています。
- どの規模の企業様でも、早急なセキュリティ対策が必要なのです。
ここからは、実際にどんな被害が出ているのか、実際に起きた被害例を交えながらご紹介します。
※参照:一般社団法人 日本損害保険協会「中小企業の経営者825人に聞いたサイバーリスクへの意識調査」
【被害事例1】社内PCがウイルス感染、数千万の被害に。
●情報通信業を営む企業のケース
社内のパソコン・サーバともにウイルスに感染し、数日間にわたり業務が行えなくなった。
徹夜で復旧作業に取り掛かったものの、結果として業務停止による被害額は推定で数千万円に上った。
原因には、被害発生当時、ウイルス対策ソフトを導入していなかったことが挙げられる。
被害に受けた後は、ウイルス対策ソフトの導入や情報セキュリティ規則の制定、プライバシーマークやISMS認証取得に取り組み、再発防止に努めている。
参照:独立行政法人 情報処理推進機構セキュリティセンター「中小企業の情報セキュリティ対策ガイドライン」
上記のケースは、ウイルス感染により業務が停止し、損失が発生したケースです。
このほかにも「取引先から預かった機密情報・個人情報などを漏洩させてしまい、損害賠償を受けた」ケースや、「不正送金やクレジットカードの不正利用により、直接的な金銭的被害を受けた」ケースなどもあります。
- 金銭的な被害といっても、さまざまなパターンがあります。情報漏洩や不正利用から起きることが多いです。
【被害事例2】社員が顧客情報が入ったPCを紛失、顧客の信用を失った
●情報通信業を営む企業のケース
従業員が顧客情報の入ったパソコンを持出し、紛失した。
顧客に紛失の報告をしたものの、企業に対する信用を失ってしまった。
事件発生の原因は、持出しに関する明確なルールや手続きを定めていなかったため、従業員が自由にパソコンを持ち出せる環境があったことが挙げられる。
事件後、この企業では情報機器の暗号化による対策・パソコンの持出しルールを含めた情報セキュリティ規定を整備するとともに、従業員へ情報セキュリティ教育を実施した。
参照:独立行政法人 情報処理推進機構セキュリティセンター「中小企業の情報セキュリティ対策ガイドライン」
この事例は、企業としての情報セキュリティに関する意識の低さ・対策の不徹底が原因で起きたとされています。
お客様からの信用は、得るのは大変ですが失うのは簡単なものです。
一度損なえば、より長い時間・労力をかけて信頼回復に努めなければなりません。
今回紹介したケースは、意識の低さや明確なルールを設定していないことが原因とされていますが、このほかに信用に関するケースとして「企業のパソコンにウイルス感染が起こり、情報漏洩が起きて信用を失う」というケースも考えられます。
- 「あそこは情報流出が起きた会社だから」とお客様が離れてしまわないよう、万全の対策を行っておきましょう。
【被害事例3】ウイルス添付ファイルを開き、基幹システムが停止
●製造業を営む企業のケース
従業員が、メールに添付されていたウイルス付きのファイルを不用意に開き、感染。
基幹システムで障害が発生した。
障害対応を行ったものの、一週間もの期間、基幹システムが使用できなくなった。
被害後、朝礼を利用し従業員への情報セキュリティ教育を実施。
さらに、迷惑メール除去ツールを導入し、セキュリティ対策を行った。
参照:独立行政法人 情報処理推進機構セキュリティセンター「中小企業の情報セキュリティ対策ガイドライン」
日々の業務のよりどころであり、企業活動に必要不可欠なシステムが使用できなくなった被害事例です。
ウイルス感染によって重要なデータへ接続できなくなると、さまざまなトラブルを引き起こします。
例えば「業務が滞り、納期に遅れる」「営業機会の損失」「連絡事項が伝えられず引継ぎができない」などが挙げられるでしょう。
- 必要最低限の社員教育を行う・迷惑メールをブロックするツールを導入するなどのセキュリティ指導を行い、ウイルス感染により業務全体の麻痺が起こらないよう努めるべきといえます。
【被害事例4】従業員への影響
企業の情報セキュリティが甘いことが社内に知られれば、従業員のモラル低下や、情報の扱い方に対する不満が起こる場合もあります。
企業の保管する情報のなかには「社員の情報」もあるわけですから、不満が起こるのも当然です。
さらに情報漏洩・ウイルス感染による業務停止など、実際にセキュリティ問題が起きた場合、転職や退職による人材の流出や著しいモチベーション低下をもたらす可能性もあります。
- 企業の信用とともに人手・モチベーションも失ってしまえば、会社運営はより厳しくなります。こうした致命的な危険を避けるためには、日ごろからセキュリティ対策をしっかり行っておく必要があります。
企業に必要なセキュリティ対策の種類は4つ
- なるほど、そういうことであれば、セキュリティ対策をしっかりしておきたいです。でも、なにから始めればよいのかわかりません…。
- セキュリティ対策を始めるときは、まず「守りたい情報がなにか」と「それに適切なセキュリティ」を把握することから始めてみましょう。
情報セキュリティに関するトラブルは幅広いため、どのような対策をすればよいのか、戸惑ってしまう方も多いでしょう。
まずは適切なセキュリティ対策ソフトを見つけるため、「自社で必ず守りたい情報は何か」を把握することから始めましょう。
企業にとって重要なのは、主に顧客情報・業務に関わる機密情報・取引先の情報です。
上記の情報を守るなら、「ウイルス感染」「不正侵入」「情報漏洩」「機器障害」の4つに対して対策を行う必要があります。
そこで、導入するセキュリティソフトは、それぞれ以下に絞られます。
| 対処するもの | 導入するソフト・押さえておくべきポイント |
|---|---|
| ウイルス感染 | ウイルス対策ソフトを導入する |
| 不正侵入 | ファイアウォールの導入 侵入防止システムの導入 ログの取得・管理 |
| 情報漏洩 | ファイアウォールの導入 顧客データの管理 ユーザー権限の管理 |
| 機器障害対策 | バックアップ 無停電電源装置の設置 |
それぞれどんなソフトかイメージできない方も、ご安心ください。
ここから、それぞれ詳しくご紹介します。
①ウイルス感染対策
ウイルス感染対策には、「ウイルス対策ソフトの導入」が有効です。
近年のウイルスは、「電子メールのプレビュー」「ホームページの閲覧」だけで感染するものもあるため、ソフトを常に最新の状態にし、ウイルスの検知・警告をして守ってもらうことが主な対策となります。
それに加え、うっかりメールやホームページを開いたり外部機器を使ったりしてウイルスに感染しないよう、機器を扱う社員には以下のことを周知しておくと安心です。
【社員に周知させておくべき情報】
- ウイルス感染対策ソフトのウイルス検知用データを更新する
- 定期的なウイルススキャンを実施する
- 接続を許可されていない記憶媒体(USB・DVDディスクなど)や持ち主のわからない記憶媒体を使用しない
- 記憶媒体を使用する際ははじめにウイルスチェックを行う
- 社員へ情報セキュリティ教育を行い、ウイルス対策ソフトに常時チェックしてもらうことで、感染リスクをぐっと下げられるでしょう。
②不正侵入対策
不正侵入への対策手段には、以下の3つが挙げられます。
- ファイアウォールを導入する
- 不正侵入防止・検知システムを導入する
- ログの取得・管理を行う
それぞれ、順に確認していきましょう。
はじめに、「ファイアウォール」について簡単に解説します。
ファイアウォールとは、外部ネットワークからの攻撃や不正アクセスからコンピューターを守るためのシステムのことで、以下2種類のタイプがあります。
【ファイアウォールの種類】
- 「ファイアウォール」…企業や家庭のネットワーク全体を防御するシステム
- 「パーソナルファイアウォール」…1台のコンピューターを防御するシステム
上記の機能に加えて、近年ではフィルタリング機能による不正なアクセスの遮断機能や、遠隔操作・監視機能などを備えるハイスペックなファイアウォールも登場しています。
次に2つめの対策方法、「不正侵入防止・検知システム」についてご紹介します。
「不正侵入防止・検知システム」はその名の通り、対象のネットワークやサーバーを監視し、不正アクセスを感知・ブロックするシステムです。
不正侵入を検知して通知する「IDS」、防御措置を行う「IPS」に分かれているため、目的に応じて使い分けましょう。
最後に、「ログの管理・取得」がどう不正侵入に対して役立つのか、について。
ログの取得が不正侵入に対して役立つタイミングは、「トラブルが起こった際の原因究明」のときです。
ウイルスに感染したパソコンのログを取得することで、マルウェア感染の原因調査や社内不正行為の調査などが可能になります。
利用する際は、操作ログ解析ツールの導入やフォレンジックサービスの利用が必要です。
- このように「ファイアウォール」「不正侵入防止・検知システム」でウイルス感染を防ぎ、「ログ取得・解析ツール」で原因究明の糸口を作っておくことで、企業としてのセキュリティ体制を整えることができます。
③情報漏洩対策
会社として情報漏洩は、絶対に防ぎたい被害です。
情報漏洩への対策には「ファイアウォールの導入」「顧客データの管理」「ユーザー権限の管理」を徹底して行いましょう。
ファイアウォールの機能については、先ほどご紹介した通りです。
外部ネットワークからの攻撃・不正アクセスから自社のコンピューターを守り、情報流出を防ぎます。
顧客データの管理・保護に関しては、アプローチ方法がいくつかあります。
「ログ管理によるシステム強化」
「情報の暗号化」
「情報漏洩防止ツールの導入」
などが代表的です。
とくにファイル失効機能がついている情報漏洩防止ツールを活用すれば、万が一情報流出が起きても、すぐにファイル失効による閲覧権限の停止を行うという対処ができます。
ユーザー権限管理によるアプローチは、情報にアクセスできるメンバーを限定することで流出のリスクを抑える対策です。
- このように、情報漏洩対策にはさまざまなアプローチ方法があります。
今している対策と比較しつつ、導入しやすいものから取り入れてみてはいかがでしょうか。
④機器障害対策
さまざまな対策ツールを導入していても、機器そのものが障害を起こしてしまうことも。
そうなると様々なトラブルになる以前に、業務が続けられなくなるという一大事になりかねません。
そんな機器の不調にも対応できるよう、「こまめなバックアップ」と「無停電電源装置の設置」の2点を徹底しておきましょう。
バックアップを取っておけば、パソコンに故障や障害がおきても、データはほかの場所にも保存されているため安心です。
不具合で突然パソコンが使えなくなったり、火事や浸水などのトラブルや人的ミスによるデータ削除が起きたりしても、リカバリーが効きます。
また無停電電源装置(UPS)を設置しておけば、停電や電圧変動を抑制することが可能です。
停電時も突然パソコンが落ちることなく、安全にシャットダウンさせたり、バックアップを取ったりすることができるでしょう。
自社に必要な対策が知りたいならセキュリティ診断を
ここまでさまざまな対策をご紹介しましたが、中には、
「やっぱりセキュリティ対策は複雑で難しいから、これさえ入れておけば間違いないというソフトやシステムを教えてもらいたい」
と思われた方も多いのではないでしょうか。
しかしセキュリティ状況は企業により異なるため、「どの企業でも、これがベスト」といえるものはありません。
あくまでも、自社の「防ぎたい被害」を把握し、それに最適な対策をとる必要があります。
またなかには、「対策ソフトをいくつか入れておけば安心だろう!」と思う方もいらっしゃるかもしれません。
たしかにいくつもセキュリティソフトを導入しておけば安心感はあるかもしれませんが、パソコンの動作が重くなったり、互いに干渉して正常に動作しなくなったりする可能性があり、かえって危険です。
また複数のソフトを契約することで、管理が大変になるだけでなく、維持費もかさみ、企業として大変な思いをする可能性もあります。
セキュリティソフトは性能の良さや動作の軽さを重視して、信頼できる1本を入れるのがおすすめです。
「でも、どうしても自社に必要な対策がなにかわからない…」という場合は、まずは弊社OFFICE110の無料のセキュリティ診断をご活用ください。
無料診断をすれば、現状と希望を把握したうえでの最適なセキュリティ対策を講じることができます。
適切なセキュリティ対策をすることで、経費削減にもつながるでしょう。
まとめ
セキュリティ対策は現在、どんな業種の企業・どんな規模の企業でも必要不可欠なものとなっています。
対策を怠れば、
「金銭的被害」
「信用の喪失」
「データへのアクセス不能」
「社員のモチベーション低下」
といった重大な問題を引き起こしかねません。
実際に、被害に遭い巨額の損失をかかえた企業も報告されています。
しっかりとしたセキュリティ対策を始めるなら、「ウイルス感染」「不正侵入」「情報漏洩」「機器障害」の4つの対策に注目しましょう。
対策ごとに導入するべきソフト・ツールが異なるため、守りたい情報が何か、最重要で対策しておきたい項目はなにかに応じて使い分けてください。
- 「自社のセキュリティ対策で、なにを優先するべきかわからない…」そんな場合は無料のセキュリティ診断を活用し、対策すべき箇所をしっかり把握しましょう。
ぜひ納得のいくセキュリティ対策を行い、安心して業務に臨める環境を整えましょう。
