DX開発
現在、本業でインフラ系エンジニア(システム監視の運用)として就業しているほか、副業でWebライティングを行なう。国家公務員として行政事務職を7年経験した後、IT業界に転職。IT業界での経験は14年(エンジニア以外の経験もあり)。社内SE経験:7年6ヶ月・ネットワークエンジニア経験:1年・ インフラ系エンジニア経験:2年
サイバーセキュリティとは?
ウイルス感染や情報漏えい。今は日々問題なく稼働しているけれど、自社の対策は十分だろうか?最近は手口も巧妙になっているようだし、中小企業もひとごとではない気がする。
この記事を読めば、サイバーセキュリティの基本的な知識を得ることができ、法に基づいた対策方法を知ることができます。特に中小企業を対象に解説していますので、これから対策を強化したい中小企業の担当者は必読です。
本記事は企業の社内SEとして現場を知りつくしたエンジニアが執筆しています。安心して読み進め、今後の対策に役立ててください。
サイバー攻撃の種類とその影響
本項では、一般的なサイバー攻撃の種類と、それらが企業に与える可能性のあるリスクについて説明します。
不正アクセス
アクセス権限を持たない悪意ある人が、何らかの方法で得たID・パスワードでサーバーに侵入することです。この行為によってシステムが停止したり、情報が外部に漏れてしまう可能性があります。さらに、サーバに保存されているデータの改ざんや、システムにバックドアを作られてしまい、踏み台として外部の組織を攻撃する原因にもなります。被害を受けた企業や組織・個人はそのブランドやイメージに悪影響を受けるだけでなく、業務の存続にも関わる大きな被害をこうむることになります。そして知らないうちに加害者の一員となってしまうこともあるのです。
マルウェア感染
マルウェアとは、悪意のあるソフトウェアを全て指す言葉です。一般的にコンピュータウイルスがよく知られていますが、コンピュータウイルスはマルウェアの一部であるといえます。そのほかにも、バックドア・トロイの木馬・ワーム・ランサムウェアといった種類があります。マルウェアは害を与えるようプログラミングされたソフトウェアであり、感染したデバイスにさまざまな悪影響を及ぼします。主な被害例をあげてみます。
・PC内に保存されているデータが削除されたり、改ざんされたりする。
・PC内に保存されている個人情報を任意の宛先に送信、流出させる。
・感染したPCが踏み台となり、悪意ある第三者が自己の存在を隠して、他のサーバーを攻撃できるようになる。
コンピュータやネットワークの機能の妨害・混乱
代表的なものがDDoS(Distributed Denial of Service)攻撃です。 標的となるWebサーバーやメールサーバーなどに複数のコンピュータからわざと大量のパケットを送信し、相手の環境に膨大な負荷をかけます。これによって攻撃を受けた方は処理不能となり、正常なサービスの提供ができない状態になってしまいます。そして正常なアクセスに対してサーバーが処理しきれなくなるだけでなく、接続しているネットワークも帯域を大量に消費するという具合です。 DDoS攻撃は比較的簡単に行えることが知られており、発生件数も多くなっているのが現状です。
サイバーセキュリティ基本法とは
日本において、国としてサイバーセキュリティにどのように取り組むかを定めた法律が「サイバーセキュリティ基本法」です。その法律が企業にどのような影響を与えるのかについて解説します。
基本法の概要
サイバーセキュリティ基本法は、わが国のサイバーセキュリティに関する政策の基本ともいえます。この法律は、2014年11月に成立、翌2015年1月に施行されました。その後、2016年と2018年に改正されています。
サイバーセキュリティ基本法では、サイバーセキュリティに関する施策を総合的に効率よく進めるため、以下の規定が定められています。
・基本理念
・国および地方公共団体の責務
・重要社会基盤事業者・サイバー関連事業者・その他の事業者・教育研究機関の責務
・サイバーセキュリティ戦略の策定
・その他サイバーセキュリティに関する施策の基本となる事項
そして国民一人一人にも、サイバーセキュリティの重要性に対して関心を持ち、理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努力することを求めています。
法律に基づく企業の責任
サイバーセキュリティ基本法では、国民一人一人に対してサイバーセキュリティに関心と理解を深めると共に自発的な対応を求めています。そして組織についても幅広く法の対象としています。具体的には以下のとおりです。
・行政機関・国民生活および経済活動の基盤であるインフラ事業者
・インターネットや情報通信技術にかかわる事業者
・教育研究機関
・民間事業者
企業が取り組むべき対策については、経済産業省と独立行政法人情報処理推進機構(IPA)が「サイバーセキュリティ経営ガイドライン」を策定、公開しています。ガイドラインでは、経営者が認識すべき「3原則」と、経営者が情報セキュリティ対策を実施する際に担当幹部に指示すべき「重要10項目」がまとめられています。具体的には以下のとおりです。
経営者が認識すべき「3原則」
(1)自らリーダーシップをとり、対策を進めること
(2)自社だけでなく、拠点やビジネスパートナー等への目配りも必要
(3)いつでも関係者と積極的なコミュニケーションをとること
指示すべき「重要10項目」
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:管理体制の構築
指示3:対策のための資源確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:効果的に対応する仕組みの構築
指示6: PDCAによるサイバーセキュリティ対策の継母的改善
指示7:インシデント発生時の緊急体制の整備
指示8:インシデント被害に備えた事業継続、復旧体制の整備
指示9:ビジネスパートナーや委託先を含めたサプライチェーン全体の状況把握および対策
指示10:サイバーセキュリティに関する情報の収集、共有および開示の促進
中小企業のサイバーセキュリティ対策
人手不足の解消が課題の中小企業において、ITを導入することは業務効率化のために必須です。その一方で、サイバー攻撃の標的となるのは大企業ばかりではありません。本項では中小企業が直面するサイバーセキュリティの課題と、実効的な対策について紹介します。
セキュリティポリシーの策定と周知
これまでセキュリティ対策を行ってこなかった中小企業では、まず何から始めたらよいのでしょうか。 組織的な取り組みの第一歩として、経営者が情報セキュリティに関する方針を定め、従業員や関係者に周知することが有効です。この方針をセキュリティポリシーといいます。 セキュリティポリシーを策定する目的は、中小企業の情報資産をサイバー攻撃から守るためだけではありません。社員のセキュリティに対する意識を向上させることができ、さらに取引先や顧客からの信頼を得ることにもつながるのです。
適切なセキュリティ対策ツールの導入
中小企業において発生する可能性のある、情報セキュリティ上のトラブルには次のようなものがあります。
・ウィルス感染
・不正侵入
・情報漏えい
・災害などによる機器障害
これらのトラブルは、適切なセキュリティ対策ツールの導入により、未然に防ぐことができます。具体的に何を導入したらよいか、以下に記載しますので参考にしてください。
ウイルス感染→各クライアントPCにウイルス対策ソフトを導入
不正侵入→インターネットと社内ネットワーク(LAN)の間にファイアーウォール、侵入防止システムを導入
情報漏えい→インターネットと社内ネットワーク(LAN)の間にファイアーウォールを導入
災害などによる機器障害→バックアップツールの導入/無停電電源装置の設置
定期的なセキュリティ対策の見直し
策定したセキュリティポリシーは、さまざまな状況の変化に応じて、定期的な見直しが必要です。そして見直しと共に最新の内容に改訂しなければなりません。この作業を繰り返し行うことはとても重要です。
情報セキュリティにおけるリスクは、新たな脅威の発生や、企業や組織・社会状況の変化に伴って変わっていきます。したがって対策もその変化に対応する必要があります。
企業の担当者は、最新のセキュリティ情報を常に収集し、現在のセキュリティポリシーに不足がないか評価します。この評価のために、社員へのモニタリングによりセキュリティポリシーが適切に守られているか、有効に機能しているかなどを調査します。
中小企業向けのサイバーセキュリティ支援制度
独立行政法人情報処理推進機構(IPA)では、「中小企業の情報セキュリティ対策ガイドライン」を公開しているほか(https://www.ipa.go.jp/security/guide/sme/about.html)、支援制度も設けています。その内容を解説します。
SECURITY ACTION
「SECURITY ACTION」は、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。取り組み目標に応じて2段階のランクがあり、それぞれロゴマークが提供されています。取組みをすすめる中小企業は、名刺や会社案内、Webサイトなどにロゴマークを表示することができ、情報セキュリティ対策への取組みを広くアピールすることが可能です。
ロゴマークのランクは「一つ星」と「二つ星」があります。
「一つ星」は、「中小企業の情報セキュリティ対策ガイドライン」付録の「情報セキュリティ5か条」への取組みを宣言した中小企業であることを意味します。
「二つ星」は、「中小企業の情報セキュリティ対策ガイドライン」付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握し、理念や目標を宣言書などにまとめて外部に宣言した中小企業であることを意味します。
サイバーセキュリティお助け隊サービス
「サイバーセキュリティお助け隊サービス」は、経済産業省とIPAが共同で構築した、サイバーセキュリティ対策のサービスです。以下の機能がワンパッケージになり、安価で提供されています。
・PCとネットワークの異常を24時間365日監視
・問題発生時の地域のIT業者による駆けつけ対応
・インシデント対応時に発生した各種コストを保障する簡易サイバー保険
中小企業がITツール導入の際、支援を受けられる制度に「IT導入補助金」があります。「サイバーセキュリティお助けサービス」のサービス利用料は、「IT導入補助金」の支援対象となっています。https://it-shien.smrj.go.jp/
国民のためのサイバーセキュリティサイトとNISC
国民を対象としたサイバーセキュリティの情報提供サイトと、内閣サイバーセキュリティセンター(NISC)の役割について解説します。
国民向けサイバーセキュリティサイトの活用
総務省が国民に向けて公開している「国民のためのサイバーセキュリティサイト」は、個人だけでなく企業や組織における対策にも役立つ内容となっています。今までサイバーセキュリティについてあまり理解できていなかった方も、読み進めていくうちに必要な知識を身につけることが可能です。
私たちの生活に不可欠なインターネットは、利用する上で気をつけなくてはいけないことが数多くあります。このWebサイトでは、Webページの閲覧だけでなく、インターネットバンキング・クラウドサービス・動画配信サイト・オンラインゲーム・メールといった様々な用途別に注意点を詳しく解説しています。
また、このWebサイト上のコンテンツは、規約の範囲内であれば商用も含めて自由に利用することができます。
NISCの役割と機能
喫緊の課題であるサイバーセキュリティの確保を目的として、2014年11月、サイバーセキュリティ基本法が成立しました。同法に基づき、内閣官房に設置されたのが内閣サイバーセキュリティセンター(NISC)です。
NISCは、行政において利用される情報システムへの不正な活動を監視すると共に、サイバーセキュリティ確保のための助言や情報提供を行っています。 また、NISCは2021年9月より、ポータルサイトの正式運用を開始しています。
https://security-portal.nisc.go.jp/
このポータルサイトでは、サイバーセキュリティ普及のための様々な公的施策が紹介されています。対象別に施策を検索することができ、その内容は施策や対策情報にとどまらず、オンラインセミナーや技術研修の募集、相談窓口の案内など多岐に渡ります。 企業向けの情報は下図のように対象別に検索できるようになっているので、職務に応じて必要な情報にアクセスが可能です。
まとめ:サイバーセキュリティこそ中小企業の課題
中小企業が直面している人手不足をカバーし、生産性を向上させるためには、積極的にIT化を推進していくことが必要になります。その一方で、サイバー攻撃の巧妙化・高度化・悪質化により、中小企業における被害も増大しているのが現実です。
サイバーセキュリティ確保のために整備されている様々な制度や提供されている情報を活用し、中小企業が対策にいかに取り組んでいくかが今後の課題であるといえるでしょう。
セキュリティ対策はJiteraにご相談ください!
サイバーセキュリティ対策を依頼する場合、一般的には中小のセキュリティコンサルティング会社を選定することが多いでしょう。大手IT総合企業に比べてコストパフォーマンスが良く、要件に添った対策が期待できます。複数社に見積もりとヒアリングを依頼することで、開発会社を比較検討し、最適な1社に絞り込んでいきましょう。
サイバーセキュリティ対策のコンサルティング会社選定に迷った場合は、実績豊富な株式会社Jiteraに一度ご相談ください。貴社の要件に対する的確なアドバイスが提供できます。
