セキュリティ対策をどのように進めるべきか、昨今のサイバー攻撃により、各企業で優先課題になっていることと思います。
IPA(情報処理推進機構)が発行している、「情報セキュリティ対策5か条」をご存知でしょうか?
これから対策を行っていく方や、現在の状況を見直して改善される方に大変参考になります。
「中小企業の情報セキュリティ対策ガイドライン」の中で、次のようの紹介されています。
≪情報セキュリティ5か条≫
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
引用:IPA「情報セキュリティ5か条」
サイバー攻撃による被害を食い止めるために、OSやソフトウェアの更新、ウイルス対策ソフトの導入は絶対条件です。パスワード強化も、共有設定の見直しも、サイバー攻撃の手口を知ることも、いずれも情報セキュリティでは重要なことだと言えます。
しかし、果たしてこれらの5か条を守るだけで、情報セキュリティは万全なのでしょうか?答えはもちろん「No」です。サイバー攻撃が高度化・巧妙化する今日の情報セキュリティにおいて、これら5か条を守っても、機密情報を守ることはできないのです。
にもかかわらず、高度なセキュリティシステムは大企業が導入するものとして、最低限のセキュリティのみを講じる中小企業が少なくありません。今回は、企業のセキュリティ対策への取り組みについて、見つめ直していきたいと思います。
「情報セキュリティ5か条」だけでは、サイバー攻撃を阻止できないワケ
「情報セキュリティ5か条」の第5条でもある、サイバー攻撃の脅威や手口について知ろうという項目。実は、サイバー攻撃について知れば知るほど、先に紹介した5か条では機密情報を守れないということを痛感します。
まずは、昨今のサイバー攻撃事情について紹介していきましょう。
昨今のサイバー攻撃事情
JPCERTコーディネーションセンターの四半期レポートによれば、同組織に寄せられたセキュリティ事件の報告件数は、2017年4月~6月の間で5,225件。前四半期の4,095件から見れば、1,000件以上も増加していることになります。ちなみに、セキュリティ事件の内訳は次のようになっています。
≪2017年4月~6月のセキュリティ事件内訳≫
| インシデント | 4月 | 5月 | 6月 | 合計 | 前四半期合計 |
|---|---|---|---|---|---|
| フィッシングサイト | 225 | 221 | 290 | 736 | 707 |
| Webサイト改ざん | 138 | 155 | 168 | 461 | 967 |
| マルウェアサイト | 24 | 15 | 20 | 59 | 91 |
| スキャン | 751 | 812 | 1884 | 3447 | 2391 |
| DoS/DDoS | 1 | 1 | 1 | 3 | 75 |
| 制御システム関連 | 25 | 2 | 0 | 27 | 4 |
| 標的型攻撃 | 6 | 1 | 2 | 9 | 11 |
| その他 | 206 | 181 | 236 | 623 | 610 |
引用:JPCERTコーディネーションセンター「JPCERT/CCインシデント報告対応レポート[2017年4月1日~2017年6月30日]」
フィッシングサイトやWebサイト改ざんといった直接的に被害に関しては、前四半期よりも減少しています。しかし、サイバー攻撃の起点となるスキャンに関しては、1,000件以上も増加しています。このことから、企業を対象としたサイバー攻撃が増加している、と考えていいでしょう。
悪質化するサイバー攻撃
肝心のサイバー攻撃の手口はというと、最近では、前年に引き続き標的型攻撃とランサムウェアによる被害が相次いでいます。
標的型攻撃とは、攻撃者が定めたターゲットに対し、メールやWebサイトを介し巧みにウイルス感染を実行するサイバー攻撃です。一方ランサムウェアとは、感染した端末の重要ファイルや操作権限をロックし、身代金を要求するというマルウェアになります。
直近では、新種のランサムウェアであり「WannaCry」が、世界中で大規模な被害を起こしました。
他にもWebサイトを狙ったページ改ざんやパスワード不正取得など、様々なサイバー攻撃があります。それらのサイバー攻撃は、もはやウイルス対策ソフトやファイアウォールだけでは防ぎきれない状況にあります。
特に、Webサイトを狙ったサイバー攻撃に関しては、Webサイトを保護するセキュリティシステムの導入が不可欠です。
中小企業のセキュリティ対策、どうすればいい?
とはいえ、中小企業の情報セキュリティ事情はというと、セキュリティ人材が不足していたり、セキュリティのための予算取りが難しいという企業が少なくありません。
セキュリティ人材は、業界全体で慢性的な不足が発生しています。その上、優秀なセキュリティ人材を確保するとなると、それなりの労力と費用が必要です。となると、セキュリティ人材を育成するか、セキュリティをアウトソーシングするかという選択肢が残されています。
しかし、情報セキュリティの重要性があまり理解されていないことが多く、セキュリティへの予算取りが難しいという問題もあり、中小企業のセキュリティは後手に回ってしまうケースがほとんどなのです。
では、どうすれば堅牢なセキュリティ対策を講じることができるのでしょうか?その一つが、「クラウドサービスの活用」です。
クラウドサービスとはインターネット上で利用できるサービスのことで、オンラインストレージなどがその代表です。さらに、最近では業務システムをクラウドサービスとして導入する事例も多く、規模を問わず様々な企業が、何らかの形でクラウドサービスを利用しています。
そんなクラウドサービスのメリットといえば、「低コストで導入できる」点と、「運用負荷を軽減できる」という点です。
システム導入にあたってインフラを整備する必要がないクラウドサービスでは、必然的に導入コストが低くなります。導入もかなり短期間で行えるので、これも導入コストを下げる要因の一つです。
加えて、クラウドサービスの運用は提供事業者が行うため、ユーザー企業はほとんど運用にノータッチで、従来と変わらないシステム環境を構築できます。こうしたメリットは、クラウド型のセキュリティシステムにおいても例外ではありません。
いかがでしょうか?クラウドサービスなら、セキュリティ人材不足、導入コスト、運用負荷という3つの課題をクリアしつつ、堅牢なセキュリティ対策を講じることができます。
もちろん、目的に応じて適切なクラウドサービスを選択することは前提条件です。ただし、それさえ守ることができれば、中小企業でも大企業並みのセキュリティ環境を構築することは、もはや夢ではありません。
まとめ
セキュリティ対策の基本である「情報セキュリティの5か条」を守ることはもちろん、企業のセキュリティ対策には、多様なサイバー攻撃に対応するための、多様なセキュリティ環境が重要です。でなければ、高度化・巧妙化するサイバー攻撃を前に、企業は為す術なく機密情報を奪われてしまいます。
これまで「中小企業のセキュリティ対策は、最低限で十分だ」と考えてきた経営者、セキュリティ担当の皆さんには、これを機に自社のセキュリティ対策取り組みについて見つめ直していただきたいと思います。
さらに、セキュリティリスクの導入コストと運用負荷を考慮し、クラウド型WAFを検討するなど「クラウドファースト」でセキュリティ環境刷新を検討していきましょう。
