情報セキュリティの重要性
現実世界において、泥棒や詐欺、暴力行為などの多様な犯罪があるように、
コンピュータの世界にも、不正アクセスやウィルス感染、個人情報の漏洩などの多様な犯罪があります。
もし、顧客の個人情報が流出してしまうと、企業の信頼性が疑われ、顧客が離れてしまったり、損害補償をしなければならないケースもあるので、これらの犯罪を未然に防ぐことはとても重要となります。
そこで、今回は、情報セキュリティのトラブルの例やその対策方法についてご紹介しますので、今一度、ご自身のセキュリティ対策が万全であるかを確認してみて下さい。
目次
情報セキュリティの概念
情報セキュリティとは、企業や組織の情報資産を「機密性」、「完全性」、「可用性」に関する脅威から保護することです。
情報資産とは、企業や組織で保有している情報全般のことです。
個人情報などの情報自体に加えて、それらを記載したファイルや電子メールなどのデータ、データが保存されているパソコンやサーバなどのコンピュータ、USBなどの記録媒体、そして紙の媒体も情報資産に含まれます。
機密性
機密性とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない者はコンピュータやデータベースへのアクセスを制限したり、データを閲覧することはできるが書き換えることはできないようにしたりします。
完全性
完全性とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを表します。
可用性
可用性とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。
企業や組織においては、保有する情報資産の特質をよく検討して、「機密性」、「完全性」、「可用性」のバランスを考慮しながら情報セキュリティ対策を行うことが大切です。
情報セキュリティトラブルの例
企業や組織で発生する可能性がある情報セキュリティトラブルの例と、その内容についてご紹介します。
標的型攻撃メール
標的型攻撃メールとは、ターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃です。そのターゲットに関して知り合いや取引先のふりをして悪意のあるファイルを添付したり、悪意のあるサイトに誘導するためのURLリンクを貼り付けたメールを送信し、パソコンやスマートフォンなどの端末をマルウェアに感染させようとする攻撃です。
ランサムウェアの感染
ランサムウェアとは、「ランサム(Ransom=身代金)」と「ウェア(Software)」を繋げた造語であり、「身代金要求型不正プログラム」とも呼ばれます。
パソコンに侵入したランサムウェアは、パソコン内のデータを勝手に暗号化し、ユーザーがそのデータを読むことができない状態にしてしまいます。そして、そのデータを復号して元通りの形にしてほしければ、身代金を払えと脅迫してくるのが基本的な手口となります。
フィッシング
フィッシングとは、実在する企業や組織のURLやWebサイトを偽装し、IDやパスワード、クレジットカード番号などの情報を入力させて、個人情報を盗みだす詐欺行為のひとつです。
実在する企業や組織からの案内メールを偽装するパターンが多いので、怪しいと思ったメールはすぐに削除するのが得策です。
サプライチェーン攻撃
サプライチェーン攻撃とは、原料調達から消費者に届くまでの一連の流れ「サプライチェーン」を狙った攻撃手法のことを指し、2つの手法があります。
まず1つ目は、ターゲット企業に関連する組織を狙ったサプライチェーン攻撃です。
セキュリティ対策があまり行き届いていない、ターゲット企業の取引先や関連会社を経由し、ターゲット企業への攻撃を行います。
例えば、取引先企業のメールを盗聴し、取引先に成りすました偽装メールをターゲット企業に送信するなどして、ターゲット企業のネットワークへの潜入を行います。
特にセキュリティ対策が強固な大企業は侵入が難しいので、それよりも小規模で、セキュリティ対策があまり行き届いていない企業が狙われることが多いです。
2つ目は、ソフトウェアサプライチェーン攻撃です。
ターゲット企業で利用されているソフトウェア製品や、製品の更新プログラムなどに不正なプログラムなどを仕掛けることで攻撃を行います。
情報セキュリティトラブルへの対策
情報セキュリティトラブルによる被害を防ぐ為には、常に情報セキュリティ対策を行う必要があります。
代表的な情報セキュリティ対策として、以下のようなものがあります。
| トラブル内容 | 対策方法 |
|---|---|
| ウィルス感染 | ・ウィルス対策ソフトの導入 ・ソフトウェアを常に最新のバージョンに更新 ・危険なWebサイトのフィルタリング |
| 不正アクセス | ・パスワード管理 ・ファイアウォールの導入 ・侵入防止システムの導入 ・ソフトウェアを常に最新のバージョンに更新 ・ログの取得と管理 |
| 情報漏洩 | ・パスワード管理 ・ファイアウォールの導入 ・顧客データの管理 ・資料、メディア、機器の廃棄ルールの徹底 ・無線LANのセキュリティ設定 ・ユーザー権限の管理 |
| 災害などによる機器障害 | ・バックアップの作成 ・無停電電源装置の設置 ・設備の安全管理 |
セキュリティ対策に取り込むポイント
不正アクセスを防ぐ
まずは、不正アクセスを防ぐことが大切です。
外部からの不正アクセスを防ぐことで、社内のデータを安全に保つことができます。
この為には、ログの取得とその管理を行い、不正アクセスがないか監視することが大切です。
機密情報や個人情報を守る
機密情報や個人情報の管理を徹底し、これらの情報が外部へ漏れてしまうリスクを防ぐことが大切です。
この為には、資料やメディア、機器などの廃棄ルールを決めて、徹底することが大切です。
パソコンやスマートフォンなどを守る
パソコンやスマートフォンなどがウィルスに感染してしまうと、ここから情報漏洩が発生する可能性があります。
無線LANなどのネットワークのセキュリティを正しく設定したり、ウィルス対策ソフトの導入、ソフトウェアを最新バージョンに更新するなどして、情報漏洩のリスクを減らすことができます。
社員への教育を徹底する
社員全員に、基本的な情報セキュリティ対策や万が一不正なアクセスがあった場合の対処方法などの教育を徹底しましょう。社員全員の情報セキュリティに対する意識を高めることで、情報セキュリティトラブルを防ぐことに繋がります。