企業・組織における情報セキュリティの問題と対処方法
2021年12月20日公開 (最終更新日:2021年12月20日)
企業や組織には社内機密や個人情報など多くの情報があるので、セキュリティ問題は重要課題になります。そこで、注意しなければならない情報セキュリティ問題をはじめ、トラブル回避のための方法や対処方法についてご紹介します。
目次
情報セキュリティ対策を行うべき理由
IT機器の普及で情報の共有がしやすくなった一方で、第三者によるサイバー攻撃は巧妙化しており「セキュリティの脅威」が以前より身近になってきています。
IPA(独立行政法人情報処理推進機構)では、毎年「情報セキュリティ10大脅威」を発表しています。2021年の組織にとっての脅威トップ5は以下のように発表されました。
- 1位 ランサムウェアによる被害
- 2位 標的型攻撃による機密情報の窃取
- 3位 テレワーク等のニューノーマルを狙った攻撃
- 4位 サプライチェーンの弱点を悪用した攻撃
- 5位 ビジネスメール詐欺による金銭被害
このランキングで注目したいのが、3位の「テレワーク等のニューノーマルを狙った攻撃」です。この項目は今年初めてランクインしました。
感染症の影響から緊急的にテレワークが始まり、プライベートで使っていたPCや自宅のネットワークで仕事をするなど、セキュリティ環境が整わないまま業務を行うことになった従業員もいるでしょう。個人向けセキュリティ機能で業務を進めている人のセキュリティの脆弱性を悪用し、社内システムに不正アクセスしたりWeb会議をのぞき見したりするようなトラブルも起きています。
もちろん、それ以外のものも組織にとっては大きな損失につながるものです。情報セキュリティ対策を早急に行い、損失を出さない工夫をすることが重要になるでしょう。
情報セキュリティにおける問題点
情報セキュリティでは、大きく「外部要因」と「内部要因」に分けて問題点を洗い出し、解決方法を見つけていく必要があります。それぞれの具体的な問題点を紹介します。
外部要因
情報セキュリティの問題で外部要因によるものは以下のようなものです。
- ハッキング
- ウイルスの感染
- 不正アクセス
1つずつ詳しく見ていきましょう。
ハッキング
ハッキングとは、コンピュータースキルの高い技術者がハードウェアやソフトウェアを解析し、改変することを指します。もともとはコンピューターをより良くする工夫という意味で使われることが多い言葉でした。現在は不正にコンピューターを利用する行為全般のことをハッキングと呼ぶことが増えています。
ハッキングによるサイバー攻撃の代表的なものを紹介します。
- Webサイトの改ざん
- サーバー停止
- データの盗難
サーバーの停止には2つの方法があり、サーバー内部に侵入する方法と、サーバーに高い負荷をかけて機能停止に追い込む方法があります。
企業にとって損失が大きいのがデータの盗難です。顧客情報や機密情報などが盗まれれば企業の信用やイメージを大きく損ないます。
ウイルスの感染
コンピューターにおけるウイルスとは、特殊なプログラムのことを指します。近年は悪意のあるソフトウェアの略称である「マルウェア」という呼び方もあります。
ウイルス感染には次のような問題があります。
- ハードディスクに保管しているファイルを消去する
- パスワードやデータを自動で外部に送信する
ウイルス感染の方法はインターネットを使い、メールを開いたりサイトを閲覧したりして感染する方法が増えています。また、業務メールを装ってウイルス入りファイルを添付する方法も問題視されています。
前述した「情報セキュリティ10大脅威」の1位のランサムウェアによる被害もウイルス感染が関わるものです。ランサムウェアとはコンピューターやサーバーに保存されたデータを暗号化するなどして利用できなくし、犯行グループは復旧と引き換えに金銭を要求します。
不正アクセス
不正アクセスとは、本来はアクセスする権限がない人が不正にサーバーやシステムに侵入することです。不正アクセスでは以下のような被害があります。
- Webサイトの改ざん
- システムダウン
- 情報の流出
2000年に不正アクセス禁止法が施行されましたが、不正アクセスによる被害が出続けています。
内部要因
情報セキュリティにおいては、組織内部の人がリスクの要因となる場合もあります。
情報漏洩
内部要因の情報漏洩には、意図的な情報の持ち出しもありますが、人的ミスが原因となることも多いです。
後で紹介する誤送信やデータの紛失のほか、誤操作や設定ミスで誰でも機密情報にアクセスできる状態になってしまうこともあります。
誤送信
誤送信にはいくつかのパターンがあります。
- メールの宛先を間違える
- 送付内容を間違える
- 公開すべきでない他者のメールアドレスを公開して送信する
一度、誤送信をすると、間違えた情報を取り戻す方法がない点も問題です。
データの紛失・損失
データは目に見えるものではないため、紛失や損失しやすいです。
紛失の例としては、USBメモリーなどを失くしてしまうことが考えられます。データを持ち運びやすくするために小型化しているため、紛失しても気づきにくいです。
損失の例としては、データを保存していた媒体が壊れてデータを損失してしまうことが考えられます。USBメモリーを水の中に落としてしまったり、データを保存していたPCや記憶媒体が地震などの災害で壊れてしまったりということです。
情報セキュリティを守る方法
情報を守るためにはどのようなセキュリティ体制を取ると良いのか、方法を紹介します。
ウイルス対策・不正アクセスの検知
ウイルス対策ではウイルス対策ソフトの利用が有効です。また、不正アクセスは自動的に検知できるシステムもあり、導入することで不正アクセスと判断したら通信を遮断して情報セキュリティを高めることもできます。
注意点としては、ウイルスや不正アクセスに対応するために、検知用のデータを常に最新の状態にしておく必要があることです。
近年、ウイルス対策や不正アクセスの検知に関しては、ゼロトラストとエンドポイントセキュリティが鍵となっています。
ゼロトラストとは「何も信用しない」という意味で、従来のような「社内のネットワークは安全、社外のネットワークは危険」という考え方を捨てたセキュリティソリューションです。クラウドサービスの利用やテレワークの促進で社内と社外の境界が曖昧になりました。さらに、内部の不正による情報漏洩などもあり、社内のネットワークも安全とは言い切れません。アクセス制限などを利用して常に脅威に備えておくことが重要です。
エンドポイントセキュリティとは、ネットワークに接続されるエンドポイント(終点)の機器を意識したセキュリティ対策です。クラウドなど利用して社外のネットワークから社内の情報にアクセスする機会が増えました。そのため、エンドポイントとしてどのような機器を利用するのかを問わずにできるセキュリティ対策が必要になっています。
PPAPの廃止
PPAPとはパスワード付きZIPファイルを送信後、同じ経路でパスワードを別送するファイル送信方法です。パスワードがなければファイルを開けないので、情報セキュリティ対策になると導入されました。しかし、ファイルとパスワードを同じ経路で送ってしまうと効果がほとんどありません。また、ZIPファイルのパスワードは比較的簡単に解析できてしまうことも問題です。
さらに、ウイルス対策をしていてもZIPファイル内のウイルスは検知できないことが多く、ウイルスに感染してしまうリスクが高い点でもPPAPを廃止した方が良いでしょう。
アクセス権限
ファイルを取り扱える人を必要最低限にすることで、情報セキュリティを高めようとする方法がアクセス権限です。ユーザーごとにファイルの中身を見る権限やファイルに変更を加える権限などを設定して情報を守ります。
情報セキュリティが充実したサービスの利用
上記した3つの情報セキュリティ対策を適切に管理しながら行うのは大変です。それぞれのシステムを構築する費用や、IT人材の確保なども必要になります。
情報セキュリティに関する問題を一気に解決するためには、情報セキュリティが充実している外部サービスを利用するのがおすすめです。コストや人員削減にもつながります。
セキュリティ機能が高いオンラインストレージサービスを導入するメリット
オンラインストレージサービスとは、インターネット上に仮想のファイル格納場所を設置し、ファイルの受け渡しを可能にするサービスです。法人向けのサービスでは高いセキュリティを備えています。
情報セキュリティの観点からオンラインストレージサービスを導入するメリットは以下のようなものがあります。
- アクセス権限の設定が可能
- データの一元管理
- 自社で保守運用を行う必要がない
- ディザスタリカバリー
法人向けのオンラインストレージサービスではアクセ権限を設定できます。また、データが一元管理できるので、紛失のリスクが低減します。ウイルス対策や不正アクセス検知のために欠かせない保守運用を自社で行う必要がなく、ディザスタリカバリー対策をとってくれるのもメリットです。多くの場合、災害などのリスクヘッジのため、遠隔地でも自動バックアップをとっています。
情報セキュリティの安全性に優れたBizストレージ ファイルシェア
NTTコミュニケーションズが提供するBizストレージ ファイルシェアでは、安全性と安定性が高く、豊富なセキュリティ機能が特徴です。情報セキュリティの問題はサービスを利用すると安心できます。
不正アクセスを自動で検知し、必要であれば通信を遮断します。ウイルスチェックはファイルのアップロード時またはダウンロード時に行うことが可能で、ユーザーは安心してファイルを取り扱えます。アクセス権限は8種類に分けられていて、適切に情報を取り扱うことができます。
まとめ
情報セキュリティ問題は、近年とても身近なものとなってしまいました。しかし、適切な対策がわからず、トラブルの原因となる場合も少なくありません。また、テレワークの推進により、脆弱性を突いた攻撃を受けることも増えてしまいました。
しかし、情報セキュリティ問題を自社ですべて解決しようというのは、費用的にも人材確保の面でも課題が多くあります。情報セキュリティの充実した外部サービスを導入し、効率的に対策を進めていくのがおすすめです。
NTTコミュニケーションズが提供するBizストレージ ファイルシェアは、法人向けのサービスで安全性や安定性が高く、セキュリティ機能が豊富です。ユーザーは特に意識しなくても高い水準の情報セキュリティを保つことができます。