サイバーセキュリティ対策とは?企業がやるべき防衛策
- ツイート
-
- 2019/02/02
サイバーセキュリティ対策の必要性はこれまでも問題視されてきましたが、2020年の東京オリンピック開催に向けてより緊急の課題となっています。しかし、多くの企業では不十分なセキュリティ投資やセキュリティ人材不足により、対策に課題をかかえているのが現状です。
そこで、サイバーセキュリティを取り巻く現状を踏まえ、企業で今後力を入れていくべきサイバーセキュリティ対策をご紹介します。
今すぐ研修を実施したい、IT戦略を成功させたいなどのご要望をお持ちの方は、こちらのページをチェック♪↓
IT研修を、もっと自由に。御社に合わせた内容・期間・費用でご提案します。
https://www.internetacademy.jp/品質の高さはもちろん、一社一社のご要望に合わせた研修が実施できるからこそ、次代を見据えた企業の人事担当者やトップリーダーに選ばれ続けてきました。サイトリニューアル研修から英語研修、ITコンサルティングまで幅広く対応・ご提案致します。
目次
日本企業はサイバーセキュリティ対策が不十分?
サイバーセキュリティとは、コンピューターへの不正侵入やウイルス感染、情報漏洩、データの改ざんや破壊といったサイバー攻撃から、情報データを防御する行為です。
2019-2020年にラグビーワールドカップや東京オリンピックを控え、標的型サイバー攻撃の多発が予測されることもあり、サイバーセキュリティ対策の推進が国単位で行われています。
IDC Japanの調査「国内情報セキュリティ市場規模予測」によると、セキュリティ製品市場は2017年の2,973億円から2022年には3,602億円、セキュリティサービス市場規模では2017年の7,581億円から2022年には9,870億円まで増加すると予測しています。セキュリティ市場では全体的に増加の傾向が続いています。サイバー攻撃によって純利益の半分以上を失う企業も出る中で国内でのサイバーセキュリティ対策に対する危機感が高まっていることが分かります。
国内でサイバーセキュリティに対する危機感が高まる一方、日本企業のサイバーセキュリティ体制はいまだ不十分です。JETRO(ジェトロ)のレポートには以下のような指摘もあります。
2016年に日本市場へ参入したイスラエルのサイバーリーズン・ジャパンのシャイ・ホロヴィッツ氏は、日本企業が「米国企業などと比べサイバー攻撃を防ぐ体制は5年から10年遅れている」と指摘する。
また、経済産業省の「サイバーセキュリティ経営ガイドライン」によると、約4割の企業がサイバー攻撃を経験しているものの、その半数近くは外部からの指摘を受けて初めて発覚したそうです。これはセキュリティ侵害を受けたことに気がつかない企業もいまだ多いことを示しています。 他にも、問題点として経営者のセキュリティへの関心の低さが指摘されています。セキュリティ投資を成長投資とみる企業は2割弱に留まり、「セキュリティ投資=コスト」と捉えるために適切な投資が行われにくいのです。
世界でも高まるサイバーセキュリティへの危機意識
国外でも、EU 一般データ保護規則(GDPR)のような法規制をはじめとした、個人情報の保護対策やコンプライアンスの強化が拡大しています。ドイツのオンライン統計Statistaの「世界のサイバーセキュリティ市場予測」は、2018年に1,530億ドルの市場規模が2022年には約2,300億ドルまで拡大するとしています。
引用元:拡大するサイバーセキュリティー市場 | 地域・分析レポート - 海外ビジネス情報 - ジェトロ
こうした国内外の法規制やセキュリティ対策の強化に伴う企業側の対策は、海外に拠点を持つか持たないかにかかわらず十分に行う必要があります。 GDPRの例でいうと、国内外のユーザー向けにWebサービスを提供し、IPアドレスやクッキー(過去のユーザーの行動に合わせてブラウザからサーバーに送られてくるデータ)を扱う全ての日本企業は、例え海外に支社をもっていなかったとしても、GDPRに則った対応を行っていなければ、処分や賠償金の対象となる可能性があるのです。
【2018年】セキュリティに影響した10大脅威とは?
近年発生しているサイバー攻撃などのセキュリティ脅威にはどのようなものがあるのでしょうか。セキュリティ脅威とは、情報データの安全を脅かし損害や影響を与えうる要因のことを指します。情報処理推進機構(通称IPA)が発表した「情報セキュリティ10大脅威 2018」では、家庭などで起きる「個人」と、企業や政府機関などの「組織」に対する脅威を調査し発表しています。
引用元:情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構
ランキングによると、「組織」に対する脅威の上位には「標的型攻撃」「ランサムウェア」「セキュリティ人材の不足」などが挙がっています。8位にランクした「IoT機器の脆弱性」は、IoT機器製品と利用者の増加に伴って狙われるようになりましたが、2017年の同調査で初めて10位以内にランクインした分野で今年は順位が1つ上がりました。 ここでは上位2つの「標的型攻撃」「ランサムウェア」について、例をご紹介します。
標的型攻撃とは
標的型攻撃は、サイバー攻撃手法の1つです。企業など特定の組織内の情報を狙って行われるもので、手段を選ばず様々な情報の窃取を行います。例としては、所属社員の情報を収集したうえで関連会社の社員などになりすまして、継続的にウイルス感染をさせるためのメールを送付することがあります。 最近の大きな被害としては、2015年に行われた日本年金機構に対する標的型攻撃で125万件の個人情報が流出しました。
ランサムウェアとは
悪意のあるソフトウェアの総称をマルウェアと呼び、ランサムウェアはその一種です。ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」が組み合わさってできた言葉です。その名の通り、感染したパソコンは利用者のシステムへのアクセスが制限され、解除するための身代金を請求する画面が表示されます。 感染経路は、犯罪者が送付したメールの添付ファイルを開いたり、メール本文のリンクをクリックしたりするだけでなく、改ざんされたWebサイトにアクセスするだけで感染してしまう例もあります。組織のパソコンやサーバーに感染した場合、顧客情報が流出したり業務運営上の重要な情報にアクセスできなかったりと、大きな被害を受ける可能性があります。
直近の例では、「WannaCry」というランサムウェアが2017年に流行しました。150カ国23万台以上のパソコンが「WannaCry」に感染し、日本でも感染例が確認されました。現在はセキュリティソフトで対策することができますが、対策を実施していない端末が近年も狙われています。
サイバーセキュリティ対策のポイント
巧妙化するサイバー攻撃に向けて、サイバーセキュリティ対策を強化するためのポイントをご紹介します。
事前にウイルスの侵入を防ぐ
サイバーセキュリティの基本対策としては、ウイルス侵入経路の防御や、ウイルス検知を行うセキュリティサービスの利用があります。 IDC Japanのセキュリティサービス利用動向では、ランサムウェアへの対策として、侵入を防止することに加えて感染被害を最小限に抑えるために、AI(人工知能)を組み合わせたサービスが今後は増加すると予測しています。 セキュリティ分野では、大手企業の多くがAI(人工知能)の技術を応用したサービスの開発を進めています。AI(人工知能)を活用すると、これまでセキュリティ技術者がサイバー攻撃を1件1件分析し対処していたものを、AIが迅速に行うため、セキュリティ脅威の探知・対処をいち早く行うことができます。
経営者層が意識すべきサイバーセキュリティ3原則とは
経産省の「サイバーセキュリティ経営のガイドライン」では、サイバーセキュリティが経営問題だと定義しています。なぜなら、企業におけるITの利活用が必須条件な中で、適切なセキュリティ投資を行わずに社会や顧客に損害を与えた場合、経営責任や法的責任が問われる可能性があるためです。 本ガイドラインでは、経営者側にはセキュリティ投資が将来の事業活動や成長に不可欠だと位置付けて、社内はもちろんビジネスパートナーとの連携を強化する責任があると強調しています。また、経営者が認識すべき三原則として以下のように定めています。
- サイバーセキュリティリスクを認識し、適切な経営資源配分などの対策を、リーダーシップを発揮して行うこと
- 自社のみならずサプライチェーンのビジネスパートナーやシステム管理等の委託先を含めたセキュリティ対策を徹底する
- サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーション
こうした、サイバーセキュリティ対策の強化は組織全体で取り組むことが欠かせません。そして、実施のためには、セキュリティ人材の確保が重要項目の1つとなります。 セキュリティ人材の不足と人材育成は、サイバーセキュリティ対策における大きな課題となっています。外部人材の採用だけでなく、社内での人材育成を対策として行うことがサイバーセキュリティ対策の第一歩です。
社員のセキュリティ教育は十分?意識向上のためにやっておくべきこと
サイバーセキュリティ対策というと、システムや電子機器のセキュリティ強化が先行しがちです。一方で、セキュリティ被害の多くは人的要因がきっかけのため、社員のリテラシーの有無がセキュリティの脆弱性につながりうることを意識しなければなりません。 逆に言うと、セキュリティへの危機意識を高め、社員全員が適切に対応できるようにすれば、効果的に企業のサイバーセキュリティを強化することができます。 IPA(情報処理推進機構)のレポートでも、従業員・職員が行うべき対策として、OS・ソフトウェアの更新、セキュリティソフトの導入・更新、取引先のセキュリティ対策実施状況の確認のほか、前提としてITリテラシーを向上させるセキュリティ教育の受講が必要だとしています。
社員のセキュリティリテラシーを向上させる方法
社員のセキュリティリテラシーを向上させるためには、ITリテラシーを高めることや、定期的に最新のサイバー攻撃手法や対策の知識に関する講習を実施することが必要です。 重要なのは、社員一人一人がセキュリティ対策において積極的な役割を果たすようになることです。デジタル化の進展とともに、サイバーセキュリティ対策は実施して当たり前とされています。事前の対策はもちろん、情報漏洩といったインシデントが発生した際に、当事者である社員が確実な判断をすぐに行い、被害を深刻化させない体制を作っていかなければならないのです。
一方で、IT・セキュリティ分野は非常に多岐にわたるため、どこまでのリテラシーを身に付ければ良いか区切りの判断は難しく、適切に学ぶ研修体制が必要となります。そういった場合には専門のスクールにサイバーセキュリティ研修を委託する方法がオススメです。専門の研修期間に依頼することで、体系化されたIT・セキュリティに関するカリキュラムを使用して効率よくセキュリティスキルを向上させることが出来ます。 さらに、外部に研修依頼をすることで、先輩社員の業務時間を割くことなく教育研修を実施できるというメリットもあります。
おわりに
サイバーセキュリティ対策の現状と対策についてご紹介しました。企業の不十分なサイバーセキュリティ対策は、企業の存続を揺るがす大きな問題につながりかねません。 経営者やシステム担当者のセキュリティ知識向上はもちろんですが、社員全体でのセキュリティ・ITリテラシーの向上を図り、会社全体のセキュリティスキルを向上させていくようにしましょう。
Web・IT専門スクールのインターネット・アカデミーは、システム開発案件も扱う制作会社を母体としています。そのため、現場のセキュリティ対策ノウハウを還元した体系的な研修カリキュラムにより、サイバーセキュリティの即戦力人材を育成することが出来ます。 大手企業に向けたIT研修の実績が豊富にあり、安心してご依頼頂くことができます。また、セキュリティ研修のご依頼も承っております。また、研修内容はニーズに合わせて柔軟にカスタマイズすることができますので、教育研修にご興味をお持ちの方はお気軽にお問い合わせください。
関連講座
セキュリティ研修母体制作会社のセキュリティ対策を体系化関連記事
IoT時代に、個人や企業で行うべきセキュリティ対策とは サイバーセキュリティ月間がスタート!10秒に1回のサイバー攻撃に備えよう サイバー脅威から企業を守る!覚えておくべき情報セキュリティの三要素 サイバー攻撃を未然に防ぐウイルスセキュリティ対策とは? 新社会人として覚えておくべきセキュリティマナー~パスワードの管理と設定~ セキュリティエンジニアとは?セキュリティエンジニアの仕事内容と年収 セキュリティエンジニアになるには資格は必要?情報セキュリティの資格一覧 https://www.internetacademy.jp/it/management/security/ransomware-fear-requires-money.html