サイバー攻撃は世界中で急増しており、規模を問わず多くの企業・組織で被害が多発しています。特に日本はサイバーセキュリティの意識が薄く、攻撃対象になりやすいとされているようです。また、サイバー攻撃は企業や組織へのダメージだけではなく、個人にもダメージを与える可能性があります。今回は一般人にも影響を与える企業のセキュリティ対策や、情報の扱い方についてご紹介しましょう。
東京オリンピックもサイバー攻撃の対象になるリスク
2020年に東京オリンピックが開催されますが、実はハッカー集団の標的になる可能性が懸念されています。目的はオリンピックを失敗させるためで、発電所などの重要インフラをハッキングして妨害する恐れがあると言われているのです。実際、直近の平昌冬季オリンピックの開会式直前にサーバーが攻撃を受け、チケットを発券できず多くの観客が参加できない騒動がありました。
公式Webサイトがダウンしたり、スタジアム内のWi-Fiが使えなくなったり、インターネットでの放映が一時的に視聴不可になるといった影響が出ました。
また、2016年のリオデジャネイロオリンピックでも223回のDDoS攻撃が検知されています。大きな事態は出ていないものの、今後もオリンピックを狙ったサイバー攻撃は続くと予想されているのです。また、今後はAIなど新技術を搭載したサイバー攻撃の増加が見込まれます。サイバー攻撃の対象はオリンピックに限ったことではないので、防衛力の強化が求められます。
企業が行っている5つのセキュリティ対策
企業は業務上の機密情報や取引先・顧客の個人情報など、数々の情報を扱っています。近年はデジタル化の進み、ほとんどの情報がサーバーやクラウドにまとめて保管されています。保管された情報が流出してしまえば、多くの人々に何かしらの悪影響が出てしまうので、セキュリティ対策に力を入れる企業が増えています。では、企業が行っている5つの対策法をご紹介しましょう。
社内パソコンに対するセキュリティ対策
パソコンのセキュリティ対策と言えばセキュリティソフトの導入が一般的ですが、それは対策の第一歩にしか過ぎません。ソフト導入の際によくあるのが予算を設け、その中から製品を選んでしまうことです。同じセキュリティソフトでも特徴や性能は異なるので、予算で検討すると期待する効果が得られない可能性があります。導入することで得たい効果、守りたい情報を整理し、その条件をクリアする製品を選ぶことが大事です。
複数のセキュリティソフトを導入するのはおすすめしません。複数導入すると両者が互いに不正なソフトと認識してしまい、正常に機能せず脆弱性が高まるリスクがあります。
社員用スマホやタブレットのセキュリティ対策
最近は会社専用のスマホやタブレットを導入する企業も増えています。以前はパソコンよりもウイルスなどに強いと言われていましたが、近年は巧妙な手口により脆弱性を突かれるケースが増えているのでセキュリティ対策が求必要です。メールによるウイルス感染を始め、最近多発しているのが正規品に酷似したウイルスアプリです。インストールすると情報が抜き取られたり、流出したりするリスクがあるので、専用チェックツールを使った対策が求められます。
スマホやタブレットを通じて社内システムにアクセス可能な端末が増える、本人認証のパスワードが使い回す事態を引き起こすでしょう。メールアドレスとパスワードだけでの認証はセキュリティレベルが下がってしまうので、2段認証が効果的です。セキュリティベンダーで開発されている二段認証に関する製品の導入も対策の1つです。
社外以外に持ち込んで利用する場合、端末の紛失や盗難リスクが高まります。万が一に備えて、紛失しても影響が出ないように情報を守る対策が必要です。
USB感染や紛失防止などの対策
端末やUSBの持ち出しは紛失のリスクが高まるので、持ち出さないことが一番の対策です。しかし、テレワークなど働き方や場所も多様化しているので、持ち出し禁止は難しいでしょう。紛失の備えとして認証の強化だけではなく、遠隔操作でデータ消去ができるサービスの利用が一つの対策になります。
端末やUSBなどを持ち歩く際は、情報を持っているという意識を持った上で対策が求められます。ファイル単位でパスワードを設定したり、暗号化機能が搭載されたUSBメモリを使ったりする方法が有効策です。
ウイルスが混ざったデータをUSBなどのリムーバブルメディアに移すと、それを介して他の端末にウイルスが広がってしまいます。ウイルスソフトやOSなどは常に最新状態を維持し、所有者不明のSUBやパソコンを使用するのは避けてください。また、自動再生により不正プログラムが実行される恐れがあるので、自動再生が無効になっているかどうかも確認しましょう。
グループ企業や取引先企業と情報を共有する場合、相手側のセキュリティレベルを確認しましょう。セキュリティレベルが弱いとそこを狙って共有情報が盗まれる可能性があります。把握した上で事前に対策を取り、安全に情報共有しましょう。また、退職者が社内システムにアクセスしないよう、速やかにアクセス権限の削除やバックアップデータの削除も大切です。
私用のパソコンのセキュリティ対策
企業の中には私用のノートパソコンを持ち込んで業務利用するケースもあります。持ち込む際は、その端末や導入されたソフトの管理体制を強化がポイントです。持ち込んだ端末のOSやスペック、導入しているソフトやアプリケーションなどの情報を把握し、管理していきます。使用できる端末やソフトを制限することで、社内のセキュリティ環境の維持につながります。
情報閲覧や各処理に権限を設定しましょう。例えば、権限を設定せずにファイルのコピーや保存が可能な状態だと、情報を共有した際に第三者に盗まれるリスクがあります。権限が設定できる管理ソフトウェアを活用するのも良いでしょう。
情報セキュリティポリシーを作る
情報セキュリティを維持するために、企業や組織は情報の扱い方に関するルールを定めているのが一般的です。ポリシーを策定することで、適切な情報管理やアクシデントの防止、万が一アクシデントが起きた時の対策などが判断できます。
また、何に気を付ければいいのか明確になるので、社員全員のセキュリティ意識を高める効果もあります。しっかり対策を取っていても、社員や業務委託先の意識が薄いと内部犯行のリスク高めるので、防止に有効です。
セキュリティ人材の育成も大事
セキュリティ対策を的確に実行し、運用するために企業ではセキュリティ人材の確保が求められます。しかし、そのセキュリティ人材の不足が問題となっており、育成が必要とされています。NTTはセキュリティ人材の育成を目的に「株式会社エヌ・エフ・ラボラトリーズ」の新設を発表しています。
人材の輩出に加えて、セキュリティサービスの提供やソリューション事業を展開する予定です。NTTの取り組みにより、各企業で最高情報セキュリティ責任者(CISO)の設置が増えると期待できます。また、各企業でも可能な限りセキュリティ人材の育成に力を入れるべきでしょう。
パソコンやスマホ、インターネットはビジネスだけではなく、プライベートでも使用するものです。セキュリティ椅子区に対する意識が欠けると、重要なデータやクレジットカード・アカウント情報などが抜き取られる可能性があります。企業が行っている対策の中には、一般人が参考にできる対策も多いです。ネット上に個人情報を載せない、データ管理やウイルス、紛失対策に徹底するなどセキュリティ対策を見直してみましょう。