JP
ご提案事例も収録!
まずは資料をご請求ください!
企業・組織に必須の情報セキュリティ対策|脅威ランキングもご紹介
情報セキュリティ対策として企業や組織がどのようなことを行えばよいのか、ご紹介します。また脅威ランキングも記載しておくので、最新の脅威に合わせた対策を行うとよいでしょう。
目次
情報セキュリティ対策とは
企業では顧客の個人情報や機密情報など、多くの情報が保存されています。これらの情報は社内のPCなど電子機器で保存され、必要に応じてインターネットを使ってやりとりや活用をします。
このような電子機器での情報のやりとりは、便利になった反面、誤った操作による情報の流出や、情報を不正に得るためのインターネットを通じた攻撃を受けやすくなってしまいました。情報セキュリティ対策をし、自社の持つ情報や資産を守るための行動が必要になったのです。
情報セキュリティマネジメントシステム
情報セキュリティ対策と似た言葉に、情報セキュリティマネジメントシステム(ISMS)があります。
情報セキュリティ対策は、1つの問題に対し1つの対策をするという考え方です。ISMSは、企業や組織全体での情報セキュリティ確保のため、情報セキュリティポリシーの策定から、運用・改善まですべてを行うことを指します。
ISMSでは、情報の機密性、安全性、可用性の3要素のバランスを維持しながらリスクを適切に管理し、利害関係者に信頼を与えることが目標です。
情報セキュリティの重要性
情報セキュリティ対策をする重要性は、2つの観点から考えることが大切です。
- 情報を資産と考え守る
- 顧客との信頼関係を守る
近年、企業は多くの情報を蓄積しており、分析・活用する機会が増えています。蓄積された情報は資産と考えられ、高い価値があります。この資産を守るために情報セキュリティ対策は重要です。
また、企業の持つ情報の中には顧客の個人情報も含まれます。情報を守ることは顧客との信頼関係を維持することにもつながります。
企業の持つ情報への脅威としては次のようなものがあります。
- 情報漏洩
- データの破壊
- なりすまし
- データの改ざん
詳しくは次の項でご紹介します。
IPA「情報セキュリティ10大脅威 2022」
IPA(独立行政法人 情報処理推進機構)では、毎年「情報セキュリティ10大脅威」を公開しています。IPAが候補を選定し、情報セキュリティ分野の研究者や、企業の実務担当者など150名からなる「10大脅威選考会」メンバーが審議、投票の上で決定します。脅威は個人向けと組織向けそれぞれで発表されています。
| 組織向け | 個人向け | |
|---|---|---|
| 1位 | ランサムウェアによる被害 | フィッシングによる個人情報の詐取 |
| 2位 | 標的型攻撃による機密情報の窃取 | ネット上の誹謗・中傷・デマ |
| 3位 | サプライチェーンの弱点を悪用した攻撃 | メールやSMSなどを使った脅迫・詐欺の手口による金銭要求 |
| 4位 | テレワークなどのニューノーマルな働き方を狙った攻撃 | クレジットカード情報の不正利用 |
| 5位 | 内部不正による情報漏洩 | スマホ決済の不正利用 |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 偽警告によるインターネット詐欺 |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 不正アプリによるスマートフォン利用者への被害 |
| 8位 | ビジネスメール詐欺による金銭被害 | インターネット上のサービスからの個人情報の窃取 |
| 9位 | 予期せぬIT基盤の障害にともなう業務停止 | インターネットバンキングの不正利用 |
| 10位 | 不注意による情報漏洩などの被害 | インターネット上のサービスへの不正ログイン |
IPA「情報セキュリティ10大脅威 2022」を基に作成
https://www.ipa.go.jp/security/vuln/10threats2022.html
組織と個人では、注意すべき脅威が異なります。個人では、不正利用の被害が多いのに対し、組織では悪意のある攻撃が脅威となっています。
組織向け1位の「ランサムウェアによる被害」は、去年も1位でした。ランサムウェアとは、ある企業が持つPCなどに不正アクセスし、PC内の情報を暗号化して企業が使えないようにして、情報の暗号化を解くために金銭を要求するソフトウェアです。
また、組織内では、内部不正や不注意による情報漏洩も多いことがわかります。
情報セキュリティ対策の基本
前述したような脅威による被害を受けないようにするためには、どのような情報セキュリティ対策をしたら良いのかご紹介します。
従業員への教育の徹底
情報セキュリティ対策の第一歩として進めたいことは、従業員に対して情報セキュリティ教育を徹底することです。主に次のようなことを周知、教育します。
- 情報管理に関するルールの周知
- 最新の脅威や手口に関する情報共有、注意喚起
- セキュリティ意識向上のための研修実施
情報管理に関する以下のようなルールを設け、周知徹底します。
- パスワード設定のルール……電話番号など推測されやすいものや「0123」など単純なものは避ける
- パスワードは厳重に管理し人に教えない、見える場所に置かない
脅威や手口は入れ替わるので、定期的に研修を行うなどして最新のものを常に伝えるように心がけます。研修ではほかにも次のようなことを伝えます。
- 怪しいメールの見分け方
- メールの添付ファイルやURLはクリックしない
従業員ごとにインターネットに対するリテラシーが違うので、研修を行い均一になるよう努めます。
セキュリティ自体の強化
従業員に教育しても、メールに添付されたファイルをうっかり開いてしまうこともあります。ファイルが添付されたメールを受け取れないようにするなど、組織のセキュリティ自体を強化して、攻撃などを受けにくい体制づくりを心がけると良いでしょう。
- OSやソフトウェアを常に最新の状態にアップデートする
- セキュリティ対策のためのソフトやサービスの導入
OSやセキュリティソフトを最新の状態にアップデートすることで、脆弱性を悪用した攻撃から組織を守れます。また、組織内で使用が許可されていないソフトの使用を制限することも大切です。特に無料配布されているソフトの中にはマルウェアが仕込まれていたり、セキュリティ対策がされていないものがあります。事前に安全に使用できるソフトウェアを検討し、それ以外のものはインストール禁止にします。
また、ウイルス対策ソフトなどの導入や、高いセキュリティ対策がされたサービスを導入して、安全性を確保するのもおすすめです。外部サービスを利用することで、アップデートなどの保守を自社でする必要はありません。
架空請求や不正請求が起きにくい「BConnectionデジタルトレード」
セキュリティ対策を行っていても、メールでやりとりをしていると見覚えのない請求書が届くことがあります。中には対策に慣れている人でも、偽物とは見分けられないようなものがあり、架空請求や不正請求の被害にあう例もあります。
NTTコミュニケーションズが提供するBConnectionデジタルトレードでは、国際的なセキュリティ基準に準拠した「Tradeshift」をプラットフォームとして採用しています。「Tradeshift」は、ISO 27001、ISAE3402 / SOC1、SOC 2といった第三者によるセキュリティ認証を取得しています。また、事前に双方の合意が必要な「つながり申請」という仕組みで、つながりがある企業からの請求書のみを受信できます。架空請求による被害のリスクを低減します。
詳しくはこちらのページをご確認ください。
まとめ
情報セキュリティ対策とは、自社の持つ情報や資産を守るための行動です。テレワークなどの普及に伴いDXが推進し、情報の取り扱い方法は以前よりも重視されるようになっています。
対策の基本は従業員への教育を徹底した上で、組織全体でセキュリティ自体の強化を行うことがおすすめです。また、セキュリティ強化をしたらアップデートをして、常に最新の脅威に備えられるようにすることも大切です。
BConnectionデジタルトレードは、国際的なセキュリティ基準に準拠した「Tradeshift」というプラットフォームでサービスをご提供しています。「Tradeshift」では、事前に双方の合意が得られた場合のみ請求書のやりとりができる「つながり申請」という仕組みで、架空請求のリスクを下げられるのがメリットです。
セキュリティ対策がされたサービスを利用することで、自社でセキュリティのアップデートなどをする必要がなくなるのも良い点といえるでしょう。