JP
サイバー攻撃に遭遇した75%の企業が実被害を
受けている
企業や個人が保有する機密情報を狙って、PCやスマートフォンなどの端末に不正に侵入する「サイバー攻撃」が増えています。
IPA(独立行政法人 情報処理推進機構)の調査によると、2023年のコンピュータ不正アクセスの届け出件数は243件で、前年の226件から17件増加。過去10年で最も少なかった2018年の54件と比べると、約4~5倍に増加しています。さらに、この243件のうち、実被害が発生したのは約75%に当たる186件でした。
サイバー攻撃の標的となるのは、決して資金力のある大企業だけではありません。警察庁が2024年3月に発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」という資料によると、2023年におけるランサムウェアによる被害件数197件のうち、大企業は71件(36%)、中小企業は102件(52%)、団体等が24件(12%)でした。
サイバー攻撃は、今やどの企業や団体が被害に遭ってもおかしくない状況といえるでしょう。
端末が増加=サイバー攻撃の標的も増える
このようにサイバー攻撃の被害が増えている背景には、いくつかの理由が考えられます。
そのひとつが、使用するデジタル端末のバリエーションの多さです。ひと昔前までは、職場で使用する端末といえばPCと固定電話でしたが、最近ではスマートフォンやタブレットを業務に使用することは当たり前になりつつあります。1人の従業員が、複数の端末を持つことも珍しい話ではなく、各端末に個人情報や決済情報などの機密情報が入っていることもあるでしょう。
加えて、デジタル端末を使用する機会が、従来よりも格段に増えたことも影響していると考えられます。クラウドサービスやTeams、ZoomのようなWeb会議ツールが普及したことにより、自宅や外出先などでもオフィスと同じように仕事ができるワークスタイルが一般的になりつつあります。
しかし、端末が増え、使用する機会も増えるということは、裏を返せばサイバー攻撃の「的」も増えることになります。セキュリティ対策の手薄な端末が狙われ、そこからネットワークに侵入されるといるケースも十分に起こり得ます。
別の理由としては、サイバー攻撃を以前よりも行いやすい状況にある、という点も考えられます。サイバー攻撃を行うためには、特別な知識やスキルが必要なわけではありません。ダークウェブ(※)で安価に売られている専用のツールやマニュアルを利用すれば、誰でもサイバー攻撃を始めることが可能です。サイバー攻撃を仕掛ける人間が増えることで、被害も拡大していくことが予想されます。
※ダークウェブ…一般的な検索エンジンからはアクセスできないウェブサイトのこと。サイバー攻撃のツールやマニュアル、不正に入手された個人情報など、非合法の情報が集積している。「闇サイト」とも呼ばれる。
すべての通信を信用しない「ゼロトラスト」は、
導入が難しい?
こうしたサイバー攻撃に対し、企業はどのように対抗し、どのように自社の機密情報を守れば良いのでしょうか?
その解決につながるのが「ゼロトラスト」です。ゼロトラストは、「すべての通信を信用しない」という考えに基づいたセキュリティの考え方で、社内ネットワークに対するすべてのアクセスを確認し、安全性を検証します。サイバー攻撃と思われるアクセスがあった場合は、すぐに管理者に通報、攻撃を受けた端末を隔離し、被害の拡大を防ぎます。
ゼロトラストのメリットのひとつに、テレワーク時のセキュリティリスクに対応できるという点があります。従来のような、社外からのアクセスをファイアウォールでブロックし、社内からのアクセスのみを許可する「境界型セキュリティ」の場合、テレワーク時には端末が社外に存在するため、セキュリティがどうしても手薄になってしまいます。しかしゼロトラストであれば、たとえ社外でも社内でも、すべてのアクセスを検証するため、テレワークでもオフィスワークでも同様のセキュリティ対策が行えます。
しかし、ゼロトラストにもデメリットは存在します。たとえば「コスト」もそのひとつです。ゼロトラストはあくまでもセキュリティの概念であり、「ゼロトラスト」という商品があるわけではありません。複数の商品を使用することで、はじめてゼロトラスト・セキュリティが実現できます。
ゼロトラストな環境を構築するためには、こうした複数のソリューション、およびソリューションを機能させるためのセキュリティ人材が必要です。導入する企業には、金銭面でも運用面でも、相応のコストが求められます。
実際にゼロトラストに挑戦するも、失敗に終わる企業も多いようです。世界的なITコンサル会社であるガートナー社は、2022年に「2025年までに、組織の60%は、セキュリティの出発点としてゼロトラストを採用する。しかしその半数以上がゼロトラストのメリットを得られず失敗する」という予想を発表しています。
ゼロトラストの考え方に基づいたITインフラ
「docomo business RINK」とは
ゼロトラストは、サイバー攻撃に効果的ではあるものの、金銭面や運用面で負担が大きいというマイナス面があります。しかし、このデメリットを解決する方法として、「docomo busness RINK」はスピーディーかつリーズナブルに最適なネットワークやセキュリティ対策を可能にします。
具体的には、外出先や自宅などからも安全なアクセスを可能にする機能や、ファイアウォールやアンチウイルスなど、企業のインターネットアクセス環境のセキュリティ機能があります。さらに、現在使用中のクラウドサービスやデータセンターとの通信の安全性を高めるため、それらと閉域網経由で接続することも可能です。
このほかにも、固定やモバイルといった多様なアクセスライン、オープン/クローズドといった接続方式など、「選べるネットワーク、選べるセキュリティ」をコンセプトに、スピーディーなビジネス展開、安心・安全な環境を簡単に実現することが可能です。
これらの機能を利用することで、たとえ外出先からアクセスしたとしても、端末の安全性を確保することが可能です。工事が不要なうえ、社内にセキュリティ人材を揃える必要も、新たにセキュリティ機器を購入する必要も無いため、初期費用・運用コストを抑えながら、ゼロトラストの考え方に基づく最適なネットワーク環境を構築可能です。
これ以外にも、トラフィック量の多いWeb会議の通信のみを別経路に分離するブレイクアウト機能や、固定アクセス以外にモバイル5G回線が利用できるモバイルアクセス機能も利用できます。加えて、サービスの申込/変更/廃止は、Web上の手続きだけで簡単に行えます。
ゼロトラストをはじめとするセキュリティ対策は、対策を講じれば講じるほど、システムの複雑化を招く恐れがあり、運用コストの増大やセキュリティの抜け漏れに繋がる可能性もあります。
ゼロトラストが未対策な企業はもちろん、対策済ではあるものの、運用コストが増大している企業、セキュリティ対策の抜け漏れに不安がある企業は、docomo business RINKの導入を検討してみてはいかがでしょうか。
スマホを紛失した場合のセキュリティは
どうする?
このように、通信のセキュリティは、docomo business RINKで対策が可能です。しかし、スマホなど社外で使うことが多い端末を紛失した場合、それ自体がセキュリティリスクとなります。
スマホ端末の紛失によるセキュリティリスクを防ぐためには、docomo business RINKとは別のサービス、「ビジネスマホパック」で対応が可能です。
ビジネスマホパックは、スマホの情報漏洩などのリスクに備えるためのセキュリティサービスです。もし端末を紛失したとしても、遠隔でロックや初期化ができる「MDM(モバイルデバイス管理)」機能を搭載しています。
さらに、業務外のネットのアクセスを一括で制限したり、ウイルスや不審なプログラムをチェックしたりする機能も搭載。万が一の故障・紛失時には、交換用の電話機の提供が受けられます。
ネットワークのセキュリティはdocomo business RINKで、スマホ端末のセキュリティはビジネスマホパックで守ることが可能です。こうしたセキュリティ対策を導入すれば、サイバー攻撃がはびこる世の中にあっても、自社の大事な情報を保護することができることでしょう。
