情報システムやインターネットは、企業や組織の運営に欠かせません。一方で現在の企業や組織は、情報システムへの依存による利便性の向上と引き換えに、大きな危険性を抱え持つことになってしまいました。情報システムの停止による損失、顧客情報の漏洩(ろうえい)による企業や組織のブランドイメージの失墜など、情報セキュリティ上のリスクは、企業や組織に大きな被害や影響をもたらします。また、多くの場合、被害や影響は取引先や顧客などの関係者へも波及します。 今回は数多くの機密情報を扱う企業が直面するセキュリティリスクとその対策についてまとめてみました。
主なセキュリティリスクとその影響
機密情報の漏えい
企業がセキュリティ対策によって守るべき機密情報とは一般的には、個人情報とインサイダー情報に大きく二分できます。個人情報とは、顧客の個人情報に限定されず、従業員や退職者、関係取引先の個人データも含まれます。個人情報に該当するものとしては、次のようなものが具体的に挙げられます。
・本人の氏名
・生年月日
・連絡先(住所、電話番号、FAX番号、携帯電話番号)
・クレジットカード番号 など
つまり、特定の個人を識別できる情報が該当します。個人情報にマイナンバー情報が付加された場合は特定個人情報となり、漏えいさせた場合は罰則の対象となります。一方インサイダー情報とは、契約先・取引先企業との関連情報や経理系の社内情報などの、経営ならびに業務などに関する、重要な未公表の事実となる情報が該当します。
情報漏えいは一度でも発生してしまうと、取引先・顧客からの信用低下や損害賠償の請求、慰謝料や補償金の支払いなどが発生してしまいます。知らなかったではすまされませんので、リスクを把握し適切に対策して、情報の漏えいを防止しましょう。
オンラインでの不正アクセス
不正アクセスとは、アクセス権限を持たない第三者がサーバやPC、社内ネットワーク等に侵入したり、攻撃したりする行為です。権限のある人しか閲覧できない機密情報などにアクセスして情報を盗むことや、ホームページ等の情報・システムの改ざんや破壊をして業務を妨害すること、迷惑メール配布をはじめとするサイバー攻撃の踏み台にするなどの目的で行われます。不正アクセスは「不正アクセス行為の禁止などに関する法律(不正アクセス禁止法)」において禁止されており、処罰の対象になります。しかし、インターネットは全世界とつながっているため、世界中どこからでも不正アクセスされる可能性あり、犯人の特定が困難である場合もしばしば。一方で、外部による犯行だけでなく、内部の人間による犯行のケースも少なくありません。
総務省のまとめた『不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況』によると、2017年に警察庁へ報告のあった不正アクセス行為の認知件数は1202件です。過去の認知件数は2015年が1998件、2016年が1823件となっており、減少傾向にあることがうかがえます。2017年に不正アクセスを受けた管理者別の件数では一般企業が圧倒的に多く、およそ98%の1177件です。この数字は2015年の約97%、2016年の約99%と大きく変わっていないので、不正アクセスを行う犯罪者のほとんどが、一般企業をターゲットにしていると考えられます。不正アクセス後の行為別認知件数によると、「インターネットバンキングでの不正送金等(442件、約37%)」が第1位となっています。また、「仮想通貨業者などの不正送信(149件、約12%)」が第2位となっていて、お金を狙った不正アクセスが非常に多いことが分かります。
オンラインでの不正アクセスが起こるとホームページが改ざんされるリスクも生じます。インターネットでの企業の顔とも言えるホームページが改ざんされるということは、企業イメージの損失につながります。さらに、ウイルスを埋め込まれてしまった場合には、ホームページの訪問者のコンピュータを感染させてしまうこともあります。
ウイルスへの感染
最近は、組織内のネットワークを介して、ファイルサーバやWebサーバに感染するタイプのウイルスが増えてきています。ネットワークに接続しているたった1台のパソコンがウイルスに感染しただけで、組織内のパソコンに被害が拡大する可能性があります。ウイルスに感染した場合、OSやアプリケーション、データなどのファイルを改変したり、ファイルやフォルダを削除されたりするリスクがあります。悪質なものだとシステムの起動に必要なMBRなどのブートセクタを破壊するウイルスもあり、企業のシステムが破壊されシステムの停止を引き起こせば、最悪の場合、業務自体が停止してしまうこともあります。その間に顧客が競合会社のサービスに移動してしまい、販売機会を失うことになるかもしれません。 損害が生じます。正常に業務が行えなくなり生産性の低下を招いたり、最悪の場合には業務が停止したりしてしまうといった事業継続にかかわります。
他にもウイルスにはOutlookなどのメールクライアントの機能を利用したり、SMTPサーバを直接利用したりしてメールを送信する機能を持つものがあります。さらに近年ではインターネットバンキングの不正送金被害が注目されています。ウイルスやフィッシングサイトで暗証番号等の盗み出し、企業の口座から現金を盗み取るもの。企業の口座を狙う専用のウイルスなども発見されています。2017年のインターネットバンキング不正送金による法人の被害額は5億8,400万円に上ります。
ウイルス感染経路の多くは受け取ったメールからですが、自社がウイルスの発信者となってしまい、顧客や関係先に迷惑をかけてしまうことになります。ほとんどすべてのウイルスが何らかの形でほかのコンピュータなどに2次感染させようとする機能を持ちます。一旦ウイルスに感染してしまうと、ウイルスの2次感染を助長することになってしまいます。外部に対してウイルスを発信してしまった場合の信頼失墜や、ビジネスチャンスの喪失といったリスクにさらされます。
情報漏えいの原因と対策
情報漏えいの原因となるもの
1.マルウェアや標的型メールの攻撃など、社内の情報資産を狙った外部からの攻撃
2.外部からのサイバー攻撃などにより、公開サーバから情報を搾取される
3.社内の人間による故意あるいは過失による情報漏えい
『不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況』では、不正アクセスが行われる方法については、ほとんどがログインするためのIDやパスワードをなんらかの形で入手したうえで行う「識別符号窃用型」です。2017年では検挙件数599件のうちおよそ91%にあたる545件が識別符号窃用型で行われていました。一方、システムの脆弱性を狙って不正アクセスを行うセキュリティホール攻撃型(いわゆるハッキングやウイルスによるもの)は54件、約9%しかありません。また、不正アクセス行為の手口については、「利用権者のパスワード管理の甘さにつけ込んだもの(230件、約42%)」が最も多くなっています。また、NPO法人の日本ネットワークセキュリティ協会による『2018年 情報セキュリティインシデントに関する調査報告書』では、情報漏えいの原因は「紛失・置忘れ」が116件(26.2%)、「誤操作」が109件(24.6%)、「不正アクセス」が90件(20.3%)で内的要因によるものが実に7割近くを占めています。
マルウェアや不正アクセス等のサイバー攻撃対策として最も一般的なのは、セキュリティソフトによる対策です。他に「ファイヤーウォール」や「SSL認証」を利用するという方法があります。しかし、上の調査結果を見れば分かるように、不正アクセスの最も大きな原因はパスワード管理の甘さをついたもので、人的な甘さをついたものです。また情報漏えいについても「紛失・置忘れ」、「誤操作」といった過失や誤動作によるものです。このことから、いくらウイルスソフトやファイヤーウォールだけでリスクを軽減しようとしても、完全に防ぎきれないことが分かります。
必要な対策
内的要因によるセキュリティ事故を防ぐには、社内のセキュリティ運用ルールの整備や、社員のセキュリティ意識を高める教育の実施が必要です。セキュリティ対策委員会の設置や実行計画書の作成なども有効な手段です。またシステムのログイン履歴や操作ログを取得する仕組みを導入することで、内部による犯行を抑止し、仮に問題が発生した際にも原因追求の手助けになります。
これらのインシデントレスポンスは各サイトのセキュリティポリシーに応じた適切なセキュリティ技術や製品を導入して、それらを適切に運用するとともに、近い将来発生し得るインシデントに備えて、事前に対応手順を明確にし、その手順に従った運用を行うことが重要です。インシデントレスポンスをあらかじめきっちり制定して必要なツールの導入、暗号化やバクアップといった対策をとっておくことで、インシデントによる被害を受けても、より短い時間でシステムを復旧することが可能となります。また、同様のインシデントの再発を防ぐことにもつながります。
さいごに
セキュリティ対策の重要性が分かっても、何に取り組むべきかまで日頃からきちんと準備ができている企業は多くはありません。ここでご紹介した内容をもとに、まずは現在のセキュリティ体制を確認し、最適なインシデントレスポンスを策定してみましょう。自社がどのような漏えいリスクを抱えているのか、現状どれだけ対策できているのかを把握するのが難しい場合は、専門的なセキュリティベンダーにぜひ相談してみてください。
無償SSL・DDoS対策を提供「クラウドブリック(Cloudbric)」