情報セキュリティーに関する脅威は、適切な対策を行わないことによって、企業の信用低下や多額の損害賠償につながる恐れもあります。なお、セキュリティーに関する被害は社内で意図せず発生するものや外部から意図的に攻撃されるもの、自然災害によるものなどさまざまな原因から発生するため、対策方法も多岐にわたります。この記事では、情報セキュリティーにおける脅威や具体的な被害事例、対策方法についてご紹介します。
情報セキュリティーとは
情報セキュリティーとは、企業の機密情報や従業員の個人情報が、外部からの脅威により被害に遭わないよう保護することを指します。企業で扱う書類やUSBメモリーなどに保存されている機密情報や個人情報は「情報資産」に含まれ、万が一情報漏えいなどのセキュリティーリスクが生じた場合、大きな損害を受ける場合もあるため適切な管理が必要です。
最近では多様な働き方の普及により、オフィスの外へ社用デバイスを持ち出す機会も増えたことから、セキュリティー対策の強化が重要視されています。適切なセキュリティー対策は、自社の機密情報や個人情報の保護だけでなく、取引先や顧客の機密情報も守るため、自社への信頼獲得のためにも不可欠となっています。
情報セキュリティーの3大要素(CIA)
情報セキュリティーは、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つの要素であるCIAを満たすことで、安全性を維持できていると言えます。ここでは、情報セキュリティーの3大要素について、具体的にご紹介します。
機密性(Confidentiality)
機密性は、情報を特定の権限を持つ人だけが閲覧したり、利用したりできる状態を指します。企業の機密情報に誰でもアクセスできる状態である場合、外部からの侵入により情報漏えいや情報窃取につながる恐れもあるため、情報の暗号化や特定されにくいID・パスワードの設定、限られた従業員にのみ権限を付与といった対策が有効です。
情報漏えいについては、下記の記事でも解説しています。
関連記事:情報漏えいとは?もし起きてしまったら?原因や対処法、事例など詳しく解説
完全性(Integrity)
完全性は、情報が改ざんされていたり、破損していたりせず、完全な状態で保てている状態を指します。情報の完全性を維持するためには、バックアップを取ることや、変更履歴を残すことが有効です。また、誰が情報に変更を加えたのかなどが把握しやすくなるよう、アクセス履歴を残すことも大切です。
可用性(Availability)
可用性は、許可された人が必要なときにいつでも情報にアクセスできることを指します。データが破損してしまったり、自然災害によりデータにアクセスできなくなってしまったりすることで、必要なデータを取り出せず業務の進行に支障が出る場合があります。定期的にバックアップを取ることやシステムの二重化、クラウドでの情報管理などを意識することで、可用性を高められます。
情報セキュリティーの4つの新要素
「完全性」「機密性」「可用性」の3大要素に加えて、より強固なセキュリティー対策が求められる昨今では、次のような4つの新要素も重要とされています。
真正性
真正性とは、情報へのアクセス権限を与えられた人物が本人であることを証明できる状態を指します。第三者によるなりすましによる不正アクセスや情報漏えいが生じるリスクを防ぐために、機密情報へのアクセス時にはID・パスワードのみの認証ではなく、生体認証や所持情報など複数の認証を組み合わせる多要素認証などを取り入れることが重要です。
多要素認証については、下記の記事でも解説しています。
関連記事:多要素認証とは?メリットやデメリット、企業で導入する際のポイントを解説
信頼性
信頼性は、システムやデバイスを操作する際に、意図通りに正常に動作し、故障やトラブルを起こさない状態を指します。ヒューマンエラーやシステムの異常によって正常な動作を行わないことで、業務に支障が出たり、外部へ情報が流出したりする恐れもあります。このような不具合が生じないよう、定期的なメンテナンスの実施や、不具合が生じた際もスムーズに通常業務を進行できるよう体制を整える必要があります。
責任追跡性
責任追跡性は、企業で管理する情報に対して、従業員がどのような操作を行い、どのように利用したかなどを追跡できる状態を指します。万が一システムへのトラブルや不正アクセスなどの被害に遭った場合も、従業員それぞれのアクセス履歴や操作履歴を残しておくことで、トラブルの原因究明や今後の対策を練る際に役立ちます。
否認防止性
否認防止は、情報の変更や改ざんを行ったことを後から否定できないようにする状態を指します。例えば、内部不正により企業の機密情報の改ざんが行われた場合、改ざんを行った本人が後から否定できないようログを取っておいたり、データの編集時に電子署名を付加しておくことで、証拠として残せます。
情報セキュリティーに関する脅威
情報セキュリティーに関する脅威は、本人が意図せず生じるヒューマンエラーや、外部からの悪意ある攻撃、自然災害などさまざまなきっかけで発生します。ここでは、それぞれの脅威を具体的にご紹介します。
偶発的脅威
偶発的脅威は、ヒューマンエラーによって生じるリスクを指します。例えば、機密情報が保存されているデバイスを社外に持ち出した際の紛失・盗難、社外で業務について話す会話内容を第三者に聞かれるなどの情報漏えいリスクが挙げられます。
意図的脅威
意図的脅威は、悪意ある第三者による攻撃によって生じるリスクを指します。例えば、社内システムへの不正アクセスや機密情報の持ち出し、関係者を装うなりすまし、ウイルス感染などが挙げられます。偶発的脅威に比べ発生頻度は低いものの、意図的脅威によるセキュリティーリスクに遭うことで、多額の損失を受けたり、企業の機密情報や個人情報が大量に流出し、対処に膨大な時間や労力を費やしたりしなければならないケースがあります。
環境的脅威
環境的脅威は、地震や台風、火災といった自然災害によって生じるリスクを指します。例えば、地震による停電で社内のシステムが利用できなくなってしまったり、作業中のデータが破損し、アクセスできなくなってしまったりすることで、業務を停止せざるを得ない状況に陥る場合があります。
企業における情報セキュリティ10大脅威2024
独立行政法人 情報処理推進機構(IPA)による「情報セキュリティ10大脅威 2024」は、2023年に発生した情報セキュリティーリスクの中から、「10大脅威選考会」が審議と投票を行い、決定した10の脅威をまとめたものです。順位にかかわらず、挙げられた脅威の中で自社に関わるものは、すべて対策を行うことが大切です。
企業における情報セキュリティ10大脅威は、次のとおりです。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
引用:独立行政法人 情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024 [組織]」
情報セキュリティー対策が必要な理由
ここまで、情報セキュリティーにおける脅威や脆弱性についてご紹介しました。このような脅威に備えて、企業で徹底したセキュリティー対策を行うべき理由は、次のとおりです。
クラウドサービスを利用する企業が増加している
近年では、クラウドサービスを利用する企業が増え、自社システムやサーバーを社内で運用するオンプレミス環境をクラウド化しているケースも多く見られます。クラウドサービスを提供する事業者が不正アクセスやサイバー攻撃、災害を受けた場合、データ消失といったリスクも懸念されるため、自社の機密情報や個人情報、取引先の情報などを安全に守るための対策が必要とされています。
企業が損失を受ける可能性がある
情報漏えいが発生した場合、顧客への損害賠償やシステムの復旧などに多額の費用が必要になります。顧客の数や流出した情報の内容によっては、損害賠償額が億単位にのぼることも多いため、企業にとっては大きな損失になるでしょう。被害によって社内システムが停止してしまった場合、多額の損失を受けるだけでなく、通常業務が進められず営業機会を逃す可能性もあります。
従業員のセキュリティー意識が低い場合がある
近年では、従業員がプライベートで使用するスマートフォンなどのデバイスを業務でも使用する「BYOD(Bring Your Own Device)」を導入する企業も増えています。従業員が持ち運ぶデバイスの数が減ることによる業務効率化や、デバイス管理にかかる費用の削減といったメリットが得られますが、従業員のセキュリティー意識が低い場合、企業や公的機関になりすまして個人情報を盗むフィッシング詐欺や、紛失・盗難による情報漏えいに遭うリスクも高まります。
顧客からの信頼を失う可能性がある
情報漏えいなどを起こした場合、顧客から「情報の管理が適切にできていない企業」と、信頼を失う可能性があります。顧客からのイメージが悪化してしまうことにより、「信用できない企業とは取引したくない」と取引の停止に至る恐れもあります。
各団体の情報セキュリティー対策のガイドライン
各公的機関では、情報セキュリティー対策のガイドラインをインターネット上で公開していることも多いです。企業でセキュリティーガイドラインを作成したりする際は、次のような公的機関の資料も参考にすることをおすすめします。
| 団体名 | ガイドライン |
|---|---|
| 経済産業省 | サイバーセキュリティ経営ガイドライン |
| 独立行政法人 情報処理推進機構(IPA) | サイバーセキュリティ経営可視化ツール |
| 組織における内部不正防止ガイドライン | |
| 脆弱性対策関連ガイド | |
| IPA対策のしおりシリーズ(情報漏えい対策のしおり、初めての情報セキュリティ対策のしおり、中小企業のためのセキュリティインシデント対応手引き) | |
| 中小企業の情報セキュリティ対策ガイドライン | |
| 総務省 | 電気通信事業における個人情報等の保護に関するガイドライン |
| テレワークセキュリティガイドライン | |
| 内閣サイバーセキュリティセンター | スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書 |
偶発的脅威による被害と対策方法
偶発的脅威では、ビジネスメールを用いた詐欺被害や誤送信、内部不正などでの情報漏えい被害が挙げられます。ここでは、偶発的脅威による被害と対策方法をご紹介します。
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(Business E-mail Compromise、BEC)は、自社の取引先や経営者になりすまして偽のメールを送り、偽の口座へ送金させる手法です。ビジネスメール詐欺を防ぐためには、送金を求められた際にメール以外の手段で確認をすることや、なりすましを避けるためにウイルス対策ソフトの導入やメールアカウントのパスワードを定期的に変更するといった対策が必要です。
紛失や誤送信による情報漏えい
オフィス外で作業する際に持ち出した記憶媒体を紛失したり、社内に向けて送るはずだったメールを誤って外部にも送信してしまうことにより情報漏えいが発生することがあります。従業員に対し研修やテストを行うことで、セキュリティー意識を高めたり、機密情報は従業員の個人管理ではなく社内で一元管理する体制を整えたりするなどの対策が必要です。
偶発的脅威による被害と対策方法を表にまとめると、次のとおりです。
| 被害 | 対策方法 |
|---|---|
| ビジネスメール詐欺(BEC) | ・メール以外の手段で確認をする ・ウイルス対策ソフトの導入 ・メールアカウントのパスワードを定期的に変更する |
| 紛失や誤送信による情報漏えい | ・研修やテストで従業員のセキュリティー意識を高める ・機密情報は社内で一元管理する |
意図的脅威による被害と対策方法
意図的脅威では、ランサムウェアによる被害や標的型攻撃による被害などが挙げられます。ここでは、意図的脅威による被害と対策方法をご紹介します。
内部不正による情報漏えい
内部不正による情報漏えいは、社内の関係者や元従業員が不正に機密情報や個人情報を持ち出し、誰でも閲覧できる場所に公開したり、競合他社に提供することで発生します。対策としては、システムの操作履歴の記録や、従業員と秘密保持に関する誓約書を交わすといった方法が挙げられます。他にも、社内の機密情報へアクセス権限の設定や、情報を持ち出せる従業員を一部に絞るなどの制限も効果的です。
ランサムウェア
ランサムウェアとはマルウェアの一種で、感染とともにファイルを暗号化したり、PCをロックし使用できない状態にしたりしたうえで、元の状態に戻すことと引き換えに金銭を要求します。社内で使用しているVPN機器やPCのOSなどの脆弱性を狙われないよう、定期的に更新やパッチの適用や、ウイルス対策ソフトを導入などの対策が必要です。
テレワーク環境の脆弱性を狙った攻撃
働き方の多様化を受けて、テレワークを認めている企業も多くあります。一方で、従業員が使用するWi-FiやVPNサービス、Web会議ツールといったネットワークやシステムの脆弱性を狙ったサイバー攻撃も増加しています。また、従業員が業務に関係ないWebサイトを閲覧したりアプリケーションをインストールしたりすることによってウイルスに感染する恐れもあります。このようなリスクを防ぐために、従業員がテレワークで勤務する際のルールの整備や、データの暗号化といった対策が必要です。
標的型攻撃
標的型攻撃とは、特定の企業を狙うサイバー攻撃です。標的型攻撃では、メールや社内システムの脆弱性などを悪用してPCやサーバーをウイルス感染させます。特定の企業を狙うため、攻撃に使われるメールの文面などが巧妙に作られており、だまされやすい点が特徴です。対策としては、メールにフィルタリングを適用したり、ウイルス対策ソフトを導入したりするなどの方法があります。
ゼロデイ攻撃
ベンダーがOSやソフトウェアに脆弱性を見つけた場合、パッチや対応策を公開します。しかし、悪意ある第三者がベンダーよりも先に脆弱性を発見した際に、パッチの公開前に攻撃することがあり、これをゼロデイ攻撃と呼びます。ゼロデイ攻撃を防ぐために、ベンダーは速やかに脆弱性を発見し対処する体制を整えることが大切です。また、ソフトウェアを利用する際は、万が一ゼロデイ被害に遭った場合にもすぐに対応できるようサポートが充実したサービスを選ぶこともよいでしょう。
Nデイ脆弱性を狙った攻撃
ゼロデイ攻撃以外にも、パッチや対応策の公開後から適用までの間の「Nデイ脆弱性」を狙った攻撃に遭う場合があります。ソフトウェアの利用者は、脆弱性に関する情報を日頃から集め、パッチや対応策が公開されたら迅速に適用し、無防備な期間が長くならないよう意識しましょう。
アンダーグラウンドサービス
近年ではサイバー攻撃がビジネス化しており、不正プログラムや不正に入手した個人情報を売買するケースも見られます。このようなビジネスをアンダーグラウンドサービスと呼び、専門的な知識を持たない人でも簡単に企業に攻撃を仕掛けられるようになりました。複雑なIDやパスワードを設定したり、多要素認証で認証方法を複雑化させたりするといった対策に加え、社内のデータが使用できなくなった際にすぐに復旧できるよう日頃からバックアップを取ることも大切です。
サプライチェーン攻撃
サプライチェーン攻撃とは、標的とする企業の取引先や委託先などの関連企業(サプライチェーン)を攻撃した後に標的の企業を狙う手法です。自社のセキュリティー対策が強固だったとしても、サプライチェーンに脆弱性が見つかり、攻撃されることで自社も被害に遭う可能性があります。そのため、委託先などと契約する際は、互いにセキュリティー対策内容を明らかにしたうえで契約を交わしたり、定期的に対策状況を共有したりすることで対策できます。
意図的脅威による被害と対策方法を表にまとめると、次のとおりです。
| 被害 | 対策方法 |
|---|---|
| 内部不正による情報漏えい | ・システムの操作履歴の記録 ・従業員と秘密保持に関する誓約書を交わす ・機密情報へのアクセス権限を絞る |
| ランサムウェア | ・VPN機器やOSの更新を怠らない ・ウイルス対策ソフトを導入する |
| テレワーク環境の脆弱性を狙った攻撃 | ・テレワーク勤務時のルールを整備する ・データを暗号化する |
| 標的型攻撃 | ・メールへのフィルタリングを適用する ・ウイルス対策ソフトを導入する |
| ゼロデイ攻撃 | ・ベンダーは速やかに脆弱性を発見し、対処できる体制を整える ・ソフトウェアを利用する際はサポート体制の充実したサービスを選ぶ |
| Nデイ脆弱性を狙った攻撃 | ・脆弱性に関する情報を常に集める ・パッチや対応策はすぐに適用させる |
| アンダーグラウンドサービス | ・IDやパスワードの複雑化 ・多要素認証の導入 ・バックアップデータを保管 |
| サプライチェーン攻撃 | ・企業間でセキュリティー対策内容を明確にしたうえで契約する ・定期的に対策状況を共有する |
環境的脅威による被害と対策方法
環境的脅威では、ネットワークの断線による被害やサーバー停止による情報の消失被害が挙げられます。ここでは、環境的脅威による被害と対策方法をご紹介します。
ネットワークの断線
自然災害や道路工事の作業ミスなどによってネットワークが断線し、社内システムが利用できなくなることがあります。ネットワークが復旧した場合も、システムの再起動や正常に動作するかの確認作業に多くの時間を要する可能性もあるため、拠点とデータセンターを結ぶネットワークにおいて、バックアップ回線を作り二重化させることで、1つの回線が断線した際にも通常通りシステムを利用できます。
サーバーの故障による情報消失
自然災害が起こり、通常業務で使用しているサーバーが故障することがあります。サーバーが復旧できない場合、企業の機密情報や個人情報が消失する恐れもあります。このようなデータ消失を防ぐためにバックアップを取ることに加え、バックアップデータは遠隔地で保管するなどの対策を行うことで、万が一の事態にも備えられます。
環境的脅威による被害と対策方法を表にまとめると、次のとおりです。
| 被害 | 対策方法 |
|---|---|
| ネットワークの断線 | ・拠点や拠点間を結ぶネットワーク回線のバックアップを取り二重化する |
| サーバーの停止による情報消失 | ・データのバックアップを取る ・バックアップデータは遠隔地で保管する |
まとめ
情報セキュリティーに関する脅威は、「偶発的脅威」「意図的脅威」「環境的脅威」の3種類に大きく分類できます。これらの脅威では、内部不正による情報漏えいや標的型攻撃による情報窃取、自然災害によるネットワークの断線など、さまざまな被害に遭うことが予想されるため、脆弱な箇所をそのままにせず、日頃から対策を実施することが重要です。デバイスのセキュリティー強化や、従業員のセキュリティー意識を向上させることはもちろん、自社の事業規模や売上、予算に合った対策方法を検討し、適切なソリューションを導入することでより高い効果が期待できます。
