セキュリティ対策の代表例

 2017.09.13 Secure Enterpriseポータル

2016年1月1日から12月31日の間で、TVや新聞といったメディアで報道されたセキュリティインシデント(事件)の数と、組織からリリースされたインシデントに関連した文書をなどから情報収集を行った結果。2016年のインシデント件数は468件、想定損害賠償総額は2,994億2,782万円にものぼります。1件あたりに換算すると、6億7,439万円となり、セキュリティインシデントの被害が、如何に甚大かが読み取れるのではないでしょうか。

参考:NPO日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~

ちなみに、IPA(情報処理推進機構)が発行した、中小企業の情報セキュリティ事例集によれば、全68件の事例のうち、32件が過去に何らかのセキュリティインシデントが発生していることが分かります。

引用:IPA 独立行政法人 情報処理推進機構「中小企業における情報セキュリティ対策の実態調査 ― 事例集 ―

このことから、中小企業の約半数は、何らかの形でセキュリティインシデントが起きている、と言えるでしょう。

今回は、そんな中小企業の情報セキュリティ対策事例集の中から、いくつから参考になるものを抜粋して紹介していきたいと思います。今後、セキュリティ対策を整えたい、あるいは強化したいという経営者は、ぜひ参考にしてください。

事例1.管理不備による情報漏えいから、信用回復まで

製造業を営むA社は、2013年に役員の端末がウイルス感染したことにより、保存されていた過去の電子メールが大量送信され、自社及び取引先の重要情報が漏えいするという重大なセキュリティインシデントが発生しました。

原因は、端末に導入されていたウイルス対策ソフトの「管理不備」です。ソフトウェア自体はインストールされていたものの、定期的なアップデートが実施されていない状態でした。ちなみに同社では、ウイルス対策ソフトのアップデートを利用者任せにしていたため、他十数台も同じような状態にあったといいます。

事故後の取り組みとしては、セキュリティ体制の確立と従業員のセキュリティ意識向上を最優先とし、社長を情報セキュリティ責任者、IT担当者をセキュリティ対策推進担当者として、組織的なセキュリティ対策に積極的に取り組みました。

さらに、システム面でのセキュリティリスクを整理し、危険度の高いリスクから優先して取り組み、情報の持ち出し制限やノートPCのワイヤーロック、ビジネス型ウイルス対策ソフトによる集中管理などを徹底しました。

この結果、取引先からの信頼を徐々に回復し、社内からは「なぜ今更やるのか」という反感の声はあるものの、セキュリティに関する相談をするような意識の高い従業員も徐々に増えています。

事例2.流行りの「ランサムウェア」被害からの立て直し

2016年に「身代金要求型ウイルス」であるランサムウェアの被害に遭ったB社は、都内で自動車部品を加工製造している中小企業です。海外から来たメールに添付されていたファイルを開いたところ、ランサムウェアに感染してしまい、該当端末が使用不可という状況の陥りました。

原因は、従業員のセキュリティ意識が低かったこと、としてます。確かにランサムウェアは悪質なマルウェアの一つではあるものの、ある程度のセキュリティ意識があれば、「不審なメールは開かない」という選択肢を自然と選びます。

被害としては「端末を一台入れ替える」で済んだものの、やはり従業員のセキュリティ意識向上が急務となっていました。このため、事故後は組織のセキュリティ意識向上に取り組み、現在では安心して業務を遂行できるレベルまで達したといいます。

事例3.UTM導入、セキュリティ対策実施により取引先から高い信頼を得ている

セキュリティインシデントにより取引先からの信頼を失ったという企業がいれば、反対にセキュリティ対策を実施することで、取引先から高い信頼を得ているという企業もいます。薄板鋼板の板金製作を行うC社は、そんな高い信頼を得ている企業の一社です。

同社が具体的に行っているセキュリティ対策は、UTMとVPNの導入です。UTMとは「統合型脅威管理」といって、ウイルス対策ソフトやファイウォールを始め、複数のセキュリティ対策ツールを統合したセキュリティ製品です。このため、UTM一つで広範囲な領域をカバーすることができます。

VPNとは「仮想プライベートネットワーク」といって、インターネットからは仮想的に隔離されたネットワーク空間であり、第三者の不正侵入を防ぐことができます。

さらにこれだけでなく、同社では朝礼などを利用して情報セキュリティ対策の重要性を時事啓発することで、組織のセキュリティ意識向上にも取り組んでいます。

やはり、堅牢なセキュリティ対策に、セキュリティシステムの導入は欠かせないでしょう。

事例4.不正アクセス発生後に、WAFでWebサイトセキュリティを強化

昨今多発しているセキュリティインシデントの一つが、Webサイトを狙ったものです。Webサイトには脆弱性(セキュリティ上の弱点)が多く潜んでいるため、それを狙ったサイバー攻撃が後を絶ちません。

グループ会社の資産運用を行っているD社は、ファイアウォールの脆弱性対策を進めていた折、Webサーバへ侵入を検知しました。実害は出なかったものの、現状のセキュリティ対策ではいけない、と気づかされるには十分なインシデントです。

事件後の対応としては、WAF(ウェブ・アプリケーション・ファイアウォール)を迅速に導入しています。WAFは、Webサイトの保護を目的としたファイアウォール製品で、HTTP通信の中身を監視し、正常通信と不正通信を見分け、必要に応じて通信を遮断するセキュリティ製品です。

脆弱性の多いWebサイトを、確実に保護できる唯一のセキュリティ製品と言っていいでしょう。

対策強化の結果、不正アクセスやSQLインジェクションなど多くのサイバー攻撃が同社に対して実行されても、対策の効果により被害は発生していません。

中小企業のセキュリティ対策で大切なこととは

以上4つの事例から、中小企業のセキュリティ対策では、対策範囲を明確にし最小限のコストでセキュリティ対策を実施することが大切と言えます。

セキュリティに避けるリソースが限られているため、すべての情報をカバーするようなセキュリティ対策は、現実的ではありません。そこで、各情報資産の重要度とセキュリティリスクを評価した上で、優先的に取り組むべきセキュリティ対策を明確にします。

そうすれば、低コストかつ効率良く、堅牢なセキュリティ対策を実施することが可能でしょう。

まとめ

「費用がかかるから」と、セキュリティ対策を実施しない中小企業も少なくありません。しかし、セキュリティインシデントが発生したら、その数十倍から数百倍の対応費用が確実にかかります。セキュリティインシデントが発生する確率はすでに「万が一」ではありません。どんな企業にも、明日セキュリティインシデントが発生する可能性は大いにあります。

これを機に、自社のセキュリティ対策について熟考していただければと思います。