ウイルス対策だけでは不十分!?法人のセキュリティ対策とは?
企業や組織にとって、情報ネットワークのウイルス対策は、重要な経営課題のひとつです。個人情報や顧客情報などを保護し、商品・サービスを安全に運用するリスクマネジメントは、その法人にとっての社会的な責務でもあります。特にネットワークのクラウド化によって、セキュリティ対策の重要度はますます高まっています。
しかし、情報ネットワークが複雑化する一方で、セキュリティのための投資は高くつくと思われているため、専任の担当者を置けない法人も少なくありません。そこで、法人が行うべきウイルス対策・セキュリティ対策を整理するとともに、その解決策についてご紹介します。
さまざまなウイルス
企業ネットワークのクラウド化が進み、これまで以上にインターネットの活用が進む中で、ネットワーク関連のセキュリティ対策はますます重要なものとなっています。一口に「コンピューターウイルス」や「サイバー攻撃」といっても多種多様であり、手口も高度化・巧妙化しているのが現状です。まずは代表的なセキュリティの脅威についてまとめました。
・スパイウェア
スパイウェアは、PCやスマホ、情報ネットワークの利用者の意図に反してインストールされるウイルスです。個人情報やアクセス履歴などの情報を収集するプログラムで、フリーウェアをダウンロードしたり、不正なコードを埋め込まれたWebサイトを閲覧したりすることで侵入されるケースが多くあります。パスワードなどのキー入力を記録して、外部に送信する「キーロガー」もスパイウェアの一種です。
・ボット
感染したPCやスマホを操ることを目的として作成されたプログラムがボットです。ネットワークを通じて外部から指示を受け、スパムメールを送信したり、後に述べるDos攻撃を行ったりします。これらの動作は遠隔操作によってバックグラウンドで実行され、利用者はほとんど気付くことができません。
・DoS攻撃/DDoS攻撃
Dos攻撃(ドスこうげき)とはDenial of Service attackの略で、「サービス妨害攻撃」ともいいます。ネットワークに接続されたサーバーに大量のリクエストや巨大なデータを送りつけたり、例外処理をさせたりして過剰な負荷をかけ、Webサービスを提供できない状態に陥れるものです。
攻撃に使用されるのは、ボットに感染し遠隔操作されたPCやスマホであることも多く、デバイスの所持者が知らないあいだに犯罪行為に加担してしまう形もあります。また、そうしたボットに感染した複数のデバイスからひとつの標的に集中してDos攻撃の行われるものが、DDos攻撃(ディードスこうげき:Distributed Denial of Service attack)で、「分散型サービス妨害攻撃」ともいいます。
・標的型攻撃メール
メールを用い、標的とする特定の組織や個人を狙う手法が標的型攻撃メールです。仕事を装った偽のメールを標的へ送信し、「詳細を添付します」などと添付ファイルのクリックを促します。添付ファイルにはウイルスが仕込まれており、開封するとウイルスに感染してしまいます。
・不正アクセス
システムの脆弱性やID/パスワードの漏えいにより、外部から悪意を持ったユーザーが不正にシステムへ接続することを指します。操作に必要な権限を手に入れて、機密情報を持ち出したり、サービスを停止させたり、ほかの標的を攻撃するための踏み台に利用するなど、さまざまな被害が考えられます。
取りうるべきセキュリティ対策
こうしたセキュリティの脅威に対して、セキュリティソフトの導入やOS/ソフトウェアの更新のほか、不正なWebサイトを検出する「Webフィルタリング」、不正侵入を検知・防御する「IDS(不正侵入検知システム)」や「IPS(不正侵入防御システム)」、ネットワーク攻撃をブロックする「ファイアウォール」などの対策が必要不可欠です
■サイバー攻撃と法人のウイルス対策
セキュリティ対策が不完全となる理由
日々高度化・巧妙化するセキュリティの脅威に対して、セキュリティ対策を講ずることは必須です。経済産業省も「サイバーセキュリティ経営ガイドライン」を設け、企業へのセキュリティ対策を要請しています。
しかし、セキュリティ対策の必要性を認識していながら、さまざまな理由によって取り組めていない法人も少なくありません。法人のセキュリティ対策が不完全となってしまう理由はどこにあるのでしょうか?
何をどこまでやれば十分なのかよくわからない
スパイウェアや不正アクセス、情報漏えいなど、企業を取り巻くセキュリティの脅威は多岐にわたります。「何を」「どのレベルまで」対策すればいいのかわからず、対策自体が進まないケースも存在します。
セキュリティ専門の人材が社内に存在しない
特に中小企業では、人手が足りないため情報システム部門にリソースを割くことができず、ほかの業務と兼任しているケースも珍しくありません。セキュリティ専門の人材が存在しないため、セキュリティ対策もその担当社員の裁量に任され、日々巧妙化するセキュリティの脅威に対して対応できないケースも発生します。
サイバー攻撃があっても自分たちで気付くことができない
サイバー攻撃は常に高度化・複雑化しており、ウイルス感染を悟られることなく攻撃をするものもあります。そのため、外部からの指摘によって被害が発覚するなど、自分たちで気付けていないケースも少なくありません。
「セキュリティへの投資は高い」と考えてしまう
「何をどこまでやれば十分なのかわからない」ことは、セキュリティへ投資する判断を鈍らせることにもつながります。また、費用対効果が見えづらいため、期待される結果に対してコスト高に感じる傾向もあります。そのため、ウイルス対策・セキュリティ対策として、個人向けウイルス対策ソフトを導入するだけの法人も多く見られます。
■企業における情報セキュリティ対策の実施状況
※出典:総務省「通信利用動向調査」http://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
法人のセキュリティ対策の解決策「UTM(統合脅威管理)」とは
セキュリティの脅威への対策として、近年注目されているのがUTM(統合脅威管理)です。UTMとは、ファイアウォールをはじめ、有害サイトのブロック、不正侵入の検知・防御(IDS/IPS)といった、法人にとって必要なセキュリティ機能をパッケージ化したサービスです。
最近では、インターネット回線とクラウド型UTMがセットで提供されるサービスもあります。こういったサービスは、事業者側で推奨するセキュリティ設定を行うため、設計・設定の負担を軽減することが可能です。また、クラウド型であるため、導入が迅速かつ事業者側で運用を行うため、最新のサイバー攻撃にも対応できます。
セキュリティのための投資は必要
クラウド化により、社内ネットワークがインターネットと密接なものとなった現在、サイバー攻撃の脅威はかつてよりも重大な影響を及ぼしかねなくなっています。適切なセキュリティ対策を取らずに社会に対して損害を与えてしまった場合、その法人の経営責任や法的責任が問われる可能性も出てきます。
昨今では、ITを活用して利益を生み出すビジネスモデルも増えています。それを踏まえて、セキュリティ対策を「コスト」ととらえるのではなく、将来の事業活動を発展させるために必要な「投資」と位置付けてみてはいかがでしょうか?
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。