重要度が高まる情報セキュリティ対策｜過去の事例や基本的な進め方を紹介！

顧客情報、ノウハウ、営業データなどの情報資産を守ることが、企業価値や社会的信用の向上に繋がることは常識になりつつあります。 

さらに、近年のサイバー攻撃は巧妙化、複雑化しておりそのセキュリティ対策に当てられる予算は世界的に見ても増加する一方です。 

なぜ情報セキュリティ対策はこんなに注目されているのでしょうか。ここでは、情報セキュリティ対策がなぜ重視されるのかを過去の被害事例を見ながら解説し、その手順も紹介していきます。 

情報セキュリティ対策とは、企業の情報資産（無形財産）を外部から守ることです。悪意ある人間の不正アクセスや地震などの災害によるダメージから情報を守ることも含まれます。 

一昔前までは情報セキュリティにお金をかけるのは一部の大企業だけでした。しかし、相次ぐサイバー攻撃被害によって大企業も対策に乗り出し、セキュリティレベルが高度になっていきました。そのため攻撃者は標的を中小企業に切り替えてきたのです。具体的には大企業と取引のあるサプライチェーンや関連企業を狙い、そこから大企業へダメージを与えるという手法が増えてきました。 

つい最近では大手自動車メーカーの取引企業が攻撃されて、生産ラインがストップするという事件も起きています。情報セキュリティ被害を受ければ企業は少なくないダメージを負うことになります。 

情報セキュリティについては、「情報セキュリティとは？押さえておきたい基礎知識を紹介！」をご覧ください。 

情報セキュリティの大切さを知るためにサイバー攻撃を受けるとどのような被害を受けるのかを知っておきましょう。ここでは攻撃パターンごとの事例をご紹介していきます。 

標準型攻撃メールとは、業務連絡メールに偽装してリンクや添付ファイルからウィルスや不正プログラムを侵入させる手法です。過去にこの手法で政府機関が攻撃され膨大な個人情報が流出しました。この事件では偽装メールが職員アドレスに一斉送信されました。しかもメールのタイトルや本文が巧妙に偽装されていたため、一部の職員が気づかずに添付ファイルをダウンロードしてしまいました。 

このようにわずかな人の油断や隙きを突いてくるのが標準型攻撃メールの特徴です。 

過去にテレビ局で大量の顧客情報が紛失する事件が発生しました。申込書類の廃棄処分を依頼した外注業者が、顧客情報を紛失したのです。これはテレビ局側の直接の過失ではありませんが、業務委託をしている関係者であっても自社の顧客情報を任せていいのか、その取り扱い方法を確認する必要があることを示しています。 

ランサムウェアとはマルウェアの一種です。データを利用不可能な状態に改ざんして身代金を要求します。お金を払わなければデータを復旧しないと脅しをかけてきます。大手ゲーム会社がランサムウェアに感染し、約10億円の身代金を要求されました。この支払いを拒否した報復に個人情報を流出される自体にまで発展しました。企業はデータの復旧に2週間を要したとされます。 

Webサイト改ざん事件で有名なのは大手自動車メーカーの事件でしょう。Webサイトの改ざんは愉快犯のいたずらということが多いですが、この事件は単なるいたずらではありませんでした。サイトに訪れた一般ユーザーを別の不正サイトに誘導し、マルウェアを仕込もうとしていたのです。実際の被害は報告されませんでしたが、もし被害が大きくなれば企業の社会的信用は相当傷つけられたことでしょう。 

このように、情報セキュリティ対策を怠ると企業だけでなく顧客にまで被害が拡大するのが怖いところです。各企業の担当者は、これらの例からセキュリティ対策がいかに重要かを学び取る必要があります。 

セキュリティソフト大手が世界16カ国のインターネットユーザーを対象に行なった調査結果では、日本は参加国のなかでマレーシアと並んで最低スコアという結果になっています。これは、日本人が日常レベルでセキュリティに対する感度が低い証明といえるでしょう。 

企業にとってセキュリティ対策は「できればやりたくない課題」です。しかしハッカーはこの心理的油断を狙ってきています。「うちは中小だからハッカーから狙われないだろう」という認識は一度捨てたほうがいいでしょう。 

ここからは情報セキュリティ対策の進め方を3ステップで解説していきます。 

手順は以下のとおりです。 

1. 保護する情報資産の棚卸し
2. リスク値の算出
3. 情報セキュリティ対策の決定 

まず状況の整理、現状の把握を行い、対策方針の決定、実施という順で進めていきます。

最初に自社で保護する情報資産の棚卸しです。情報資産は顧客情報や技術情報はもちろん、システムログや業務履歴なども対象になります。これらのCIAを評価し、それぞれの評価値によって重要度をランク付けします。 

STEP1で洗い出した情報資産について「重要度」と「被害発生可能性」の2つの要素を数値化し、掛け算でリスク値を算出します。「重要度」はSTEP1で算出した値、「被害発生可能性」は脅威と脆弱性から評価します。 

脆弱性については、「脆弱性とは？今すぐ対策すべきことは？」をご覧ください。 

STEP2で算出したリスク値が大きい順に並べ、その対策方針を決定します。対策方針は以下のように区分します。 

ここからは情報セキュリティ対策に取り組む際の4つのポイントを見ていきましょう。 

• 不正アクセスを検知し外部からの侵入を防ぐ 
• 情報資産の管理ルールを策定し徹底する
• デバイスへのウィルス対策の徹底
• セキュリティの啓蒙を継続する 

これらのポイントを押さえることでより効果的に結果を出せるようになります。 

外部からの侵入を防ぐには不正アクセスを検知することが重要です。検知の方法はアクセスログを収集し監視がメインとなります。自社での運用が難しい場合はIDS（不正侵入検知システム）やIPS（不正侵入防御システム）などの導入を検討してください。 

情報資産の管理ルールを策定し、これを従業員に徹底させます。たとえば紙媒体に印刷した資料、CDやDVDといった記録メディア、PCや業務用スマートフォンなどのデバイスなどをどのように扱うのかを策定します。

不要になった場合の廃棄ルールも決めたうえで、従業員がルールを遵守するような社内制度を構築してください。データ資産を管理する場合はクラウドサービスを利用したほうがオンプレミスよりも運用コストは下がるでしょう。 

PCやスマートフォンがウィルス感染してしまうことは業務遂行の支障になるだけでなく、自社情報や顧客情報の漏えいにつながります。そのため、業務で利用するデバイスにはセキュリティソフトを導入し、常に最新に保つことが求められます。 

どれだけシステム側でセキュリティ対策しても、それを運用する人間のリテラシーが低いとセキュリティホール（抜け穴）になります。従業員に対して定期的にセミナーを開催するなどセキュリティの啓蒙活動を継続して実施することが重要です。 

情報セキュリティ対策は将来的な利益を確保するための投資と考えるべきでしょう。なぜならコストと捉えてしまう場合、どうしても削減する方向で話が進んでしまいがちだからです。情報セキュリティ対策コストを惜しんだ結果、企業活動が停止、損害賠償金や見舞金が発生するなど被害が大きくなるケースもあります。 

それよりも、情報セキュリティを整備することで企業の信用を向上させ、顧客や消費者に対する安心感を印象づけたほうが最終的には自社の利益につながるでしょう。 

適切な情報セキュリティ対策のためには保護する情報資産を棚卸しし、リスク算定をしたうえで対策方針を決定していきましょう。リスクレベルを把握せずに闇雲に対策すると効率が悪くなり、結果的にコストの増大につながります。もし、セキュリティ対策チームを編成するのが難しければ、セキュリティ対策をパッケージで提供している『ISM CloudOne』などのクラウド型IT資産管理ツールを利用するのもおすすめです。