企業における情報セキュリティ対策の必要性と取り組み例
IT化にともなって私たちが気を付けなければならないことのひとつに、「情報セキュリティ対策」が挙げられます。
重要なデータが従業員の不注意で外部に漏れてしまったり、第三者からのサイバー攻撃によって不正アクセスされてしまったりさまざまな場所に危険が存在するでしょう。
そこで、今回はセキュリティ対策の必要性や具体的な対策を述べたいと思います。
INDEX
中小企業だから…担当者じゃないから…ホントに関係ない?
サイバー攻撃でも企業の「過失」に!?
セキュリティ対策の中でもいちばん懸念すべき点は、顧客の個人情報です。
メールアドレスが流出してしまえば、迷惑メールが届いてしまったり、IDやパスワードが流出してしまえば、なりすましによる不正ログインを許してしまったりするのです。
また、クレジットカード情報が流出してしまえば、第三者に勝手に決済されてしまう可能性もあります。
もしも、個人情報が漏えいしてしまった場合、損害賠償責任が問われます。そのお金は一体誰が支払うのでしょうか?サイバー攻撃の犯人?それとも、脆弱性のあるWebサイトをつくった人?ウイルスにかかってしまった従業員本人?
今までの判例を追うと、企業側に損害賠償が求められることが多いです。
法的な観点からみても、IT社会において、セキュリティ対策は企業において必須ということです。
大企業だけが狙われるわけではない!
情報漏えい事件で、大きくニュースで取り上げられるのは大企業ですね。被害の規模と企業規模は比例しますが、実はサイバー攻撃の対象は、大企業に限った話ではありません。
webサイトへの攻撃の大半は、自動化されています。企業の大小よりも、システムの脆弱性に着目して判断しているといえるでしょう。むしろ、自分の会社は小さいから…とセキュリティ対策を行っていない中小企業のほうが危ないといえるのです。
従業員誰しもが加害者になる可能性…!
情報漏えいの原因は、サイバー攻撃によるものだけではありません。実は、情報漏えいのほとんどは従業員の人為的ミスです。
日本ネットワークセキュリティ協会によると、情報漏えいの原因(図1)は、誤操作と紛失・置き忘れで半分近くに上ります。近頃のニュースでも、従業員による外部へのメールの誤送信やPC・USB等の置き忘れ、書類の紛失が目立ちます。
つまり、従業員の誰しもが、情報漏えいの犯人になってしまう可能性があるということです。
図1 情報漏えい原因:2017年単年データ
(引用元:日本ネットワークセキュリティ協会 https://www.jnsa.org/result/incident/)
また、不審なメールや添付ファイルを開いてしまったり、OSやウイルス対策ソフトのアップデートし忘れてしまったりして、ウイルスに感染するケースが多々あります。過去に話題となった例としては、Gumblar(ガンブラー)と呼ばれるウイルスにより、FTPサーバのアカウント情報を盗んだり、webサイトを改ざんされたりするケースがありました。
こちらも、不正なwebサイトにアクセスするだけで感染してしまうので、従業員全員が気を付けなければなりません。
サイバー攻撃による個人情報の漏えい事例
情報漏えいの原因の半数は人為的ミスということが分かりましたが、それらに次いで悪意を持った第三者による不正アクセスによる被害があります。
そこで、今年(2018年)に起こったサイバー攻撃による情報漏えい事件をまとめみました。
2018年個人情報漏えいの事例
| 日付(発覚時) | 会社概要 | 被害 | 原因 |
|---|---|---|---|
| 2018年4月 | 医療機構 | 29,678件のメールアドレスとパスワードの流出 | システムの脆弱性。(SQLインジェクションによる不正アクセス) →データベースと連携したWebアプリケーション(入力フォームなどのこと)などに攻撃する。 |
| 2018年6月 | 看護学校 | 330件の個人情報(学校関係者のメールアドレスや個人の電話番号)の流出 | フィッシング攻撃。 教職員がクラウドサービスを装った、フィッシングメールにIDとPWを入力してしまった。 |
| 2018年6月 | ショッピングサイト (甘味の通販) |
2,457件のIDとPWの流出 | Webアプリケーションの脆弱性と思われる。 (アクセスログが削除済みで特定できていない) |
| 2018年11月 | 求人サイト | 35,775人分の登録情報(メールアドレス、生年月日等)が流出した可能性 | システムの脆弱性。(SQLインジェクションによる不正アクセス) |
| 2018年12月 | ショッピングサイト (ゲームグッズ) |
14,679件のクレジットカード情報の漏えい | セキュリティ向上を目的に、Webサイトのアップデートを実施したが、委託先のミスで外部から容易にアクセスできる仕様になってしまった。 |
webシステム(アプリケーション)からの情報流失を防ぐ方法(例)
webシステム(アプリケーション)からの情報流失を防ぐ方法の1つに、WAF(ウェブアプリケーションファイアウォール)の導入が挙げられます。
WAF(ウェブアプリケーションファイアウォール)の導入
WAF(Web Application Firewall)とは文字通り、webアプリケーションのファイアウォールです。webアプリケーション、ファイアウォールという言葉は聞いたことがある人が多いと思いますが、よくわからないという人のために簡単に説明します。
| webアプリケーション | webの技術を利用して構築されたアプリケーションソフトのこと。 例:フォームメールやオンラインショップなど。 |
|---|---|
| ファイアウォール | 外部ネットワークと内部ネットワークの通信を監視・保護するもの。 直訳すると「防火壁」。外部の攻撃(火)をソフトやシステム(壁)により保護するという意味。 |
WAFは一般的なファイアウォールと違い、データの中身をアプリケーションレベルで解析できます。
今年の不正アクセス被害で目立っていた「SQLインジェクション」を説明すると、例えば、オンラインショップ等利用の際に入力する情報(名前・住所やクレジットカード番号など)は、ショップ側のデータベースに保管されます。
つまり、入力フォームなどに脆弱性があるとそのデータベースの情報が盗み見られるということです。WAFならば入力フォーム(webアプリケーション)から盗み見られるという行為も監視してくれるので、防げるということですね。
パソコンやサーバのウイルス感染による情報流出を防ぐ方法(例)
パソコンやサーバのセキュリティアップデート、ウイルス対策ソフトの更新
汎用的なセキュリティ対策として、パソコンやサーバのセキュリティアップデートや、OS・ウイルス対策ソフトの更新が挙げられます。ウイルスと対策ソフトの関係は「いたちごっこ」とよく言われます。
つまり、攻撃者は既存のセキュリティを回避できるウイルスをつくり、また、そのウイルスに対応するセキュリティをつくる。そしてまた…と終ることがない攻防が日々行われているのです。
そのいたちごっこに対し私たちは「アップデート」を行わなければなりません。セキュリティソフト開発者の苦労が無駄にならないためにも、更新を忘れないようにしましょう。
まとめ
- サイバー攻撃の損害賠償は、企業負担になるケースが多い!
- 大企業だけが狙われるわけではない!
- 従業員一人ひとりがセキュリティ対策の重要性を理解しなければならない!
- ホームページ(特にオンラインショップ)利用している企業は、WAFの導入を!
この記事を書いた人
- 創造性を最大限に発揮するとともに、インターネットに代表されるITを活用し、みんなの生活が便利で、豊かで、楽しいものになるようなサービスやコンテンツを考え、創り出し提供しています。
この執筆者の最新記事
関連記事
最新記事
FOLLOW US
最新の情報をお届けします
- facebookでフォロー
- Twitterでフォロー
- Feedlyでフォロー