fbpx

セキュリティ

IT統制とは?今後の企業に欠かせないIT統制を詳しくご説明します

blank

IT統制は内部統制を行う企業にとって必要不可欠なものですが、正しく理解し企業内で執り行えていますでしょうか?
現在、企業のあらゆる活動にITが活用されており、内部統制の整備や運用においてもITの利用は欠かせません。
ただ、ITは日々進化するため、情報の収集、更新が必要であること、IT統制を行うためにはITに関する専門的な知識が必要であることから苦手意識を持つ方が多く、思うように進めることができないという声も多く聞かれます。
そこで、ここではIT統制を行うための基礎知識から実際の実施項目、注意事項まで分かりやすくご紹介いたします。

続きを読む

SOX法とは?日本版SOX(J-SOX)の対応方法や内容も解説

blank

企業の監査部門や情報システム部門の方は、J-SOXという言葉をよく耳にするのではないでしょうか?

M&Aで新たに子会社・関連会社になった場合だと、J-SOXに無縁だった方も多いはずです。

今回はSOX法の概要や目的、SOX法とJ-SOXの違い、J-SOXにおける対応方法について解説します。

続きを読む

内部統制とは?内部統制を理解し、整備・運用するポイントをご紹介!

blank

内部統制という言葉が広く知られるようになり、意識し始めた企業が多くなっています。
企業で整備、運用していくために、まずは正しく理解することが大切です。
ここでは誰でもすぐにスタートできるための基本的な概要から目的、メリット、導入ポイントまで幅広くご紹介します。

続きを読む

統制とは?ビジネスに関して内容を把握しておこう

blank

会社を運用していくためには、さまざまな規則や仕組みを作ってまとめていくことが大事です。業務が無秩序であったり連携などができていなかったりするなら、企業としては成り立たず内部崩壊してしまうことになります。

そのため、会社は規律を定めて統制していく必要があります。実際に会社の内部やシステムには統制がありますが、どのように統制されているのか知っておく必要があります。会社やビジネスで行われている統制について内容を紹介していきましょう。

続きを読む

監査ログとは?取得してセキュリティ強化を行おう

blank

今では企業でもITスキルを習得して業務を遂行することが増えています。効率的に仕事をするためにはIT技術を駆使することが大事ですが、同時にセキュリティの強化も行わなくては情報漏洩してしまい会社の信用を損なうこともあります。

今では、サイバー攻撃なども危険を察知する必要があるので、セキュリティ対策も様々行われています。いろいろなセキュリティ対策の中でも注目されているのは監査ログです。ただ、監査ログについ詳しく知らない人もいるでしょう。監査ログについて内容を解説していきます。

続きを読む

統合認証基盤とは?導入のメリットと注意点とは

blank

今ではデータの保管や情報の処理を行うために、ネットワークを利用することは基本です。ネットワークを利用してデータ保管をするなら、アクセスや情報共有も行いやすく業務の効率化を図ることができるからです。

Webサービスやツールを使用することで仕事の効率化を図れるとは言え、そのためには作業を適切に管理することも求められます。業務のためにのツールが増え続けると、システム管理者の負担が大きくなるからです。この問題を解決するためには統合認証基盤を活用することができます。統合認証基盤とは何か内容を紹介しましょう。

続きを読む

Microsoft Intuneとは?機能や導入効果を解説します!

blank

Microsoft Intuneとは?

マイクロソフト社が提供するモバイルデバイス・モバイルアプリケーション管理機能を搭載したクラウド型のセキュリティソリューションです。
端末の利用制限やアプリケーションの使用禁止を管理者側が設定し、不正アクセスのリスク軽減とセキュリティレベルの向上に努めています。

続きを読む

サイバーセキュリティの補助金制度とは?内容や提出書類等を紹介!

blank

サイバーセキュリティとは?

サイバーセキュリティとは、不正アクセスマルウェア感染から電子データとして保存している機密情報の盗取・改ざん・破損などを防ぐ仕組みを整えることです。企業が保有する社員の個人情報・企業の蓄積した事業ノウハウ・顧客情報は犯罪者にとって利用価値の高い情報ばかりです。ビジネス上の重要なデータや個人情報はダークウェブで売却すると多額の金銭的見返りを期待できるだけでなく、クレジットカードや銀行口座から不正にお金を引き出すこともできます。

続きを読む

サイバーセキュリティの監査とは?監査に使用するガイドラインなどを紹介!

blank

サイバーセキュリティとは?

サイバーセキュリティとは、蓄積した技術データや従業員の個人情報などの機密情報をサイバー攻撃やマルウェア感染から守ることです。
犯罪者の攻撃技術は向上しており、あらゆる手段を使って情報盗取・データ破壊・データ改ざんなどを狙ってきます。

近年情報漏洩事件の被害総額は増えており、毎月のように企業の情報漏洩事件が報道されます。
情報漏洩が無くならないのは、犯罪者にとって企業の情報資産は利用価値が高い情報が多数集まっている宝の宝庫だからです。
社員・取引先・顧客の個人情報はダークウェブで売却すれば多額の金銭的利益を望めるだけでなく、クレジットカードや銀行口座の情報を盗取することで多くのお金を不正に得られます。

そのため、セキュリティソリューションの導入や犯罪者が仕掛けてくる攻撃手口などセキュリティ全般について学ぶことで、社員が利用するPCやスマートフォン、ネットワーク機器などにおける安全性強化や情報漏洩の予防に努めます。
サイバーセキュリティを行う理由は、今後のビジネスを安定的に継続していくためと情報漏洩による被害の回避です。

多くの企業が情報漏洩に関してナーバスになっており、一度でも情報漏洩が起きれば取引先や消費者の信用は失墜し、膨大な経済的利益を失います。
蓄積したノウハウや社員の個人情報を守るためにも、セキュリティソリューションの導入や優秀な人材の確保を積極的に行うことで、自社の情報資産を守る仕組みの強化に努めなければなりません。

情報漏洩が起きた場合の企業の影響

対象 影響 結果
内容
  • 従業員・顧客の個人情報
  • 企業の技術データ・ノウハウ
  • 取引先とのやりとり
  • 取引先・消費者からの信用低下
  • システムが復旧するまでビジネス機会の損失
  • 社員・顧客のクレジットカードや銀行口座の不正利用
  • 復旧までの多大なコストと労力が発生
  • 莫大な経済利益の損失
  • 取引先との取引量低下・停止
  • 消費者離れ
  • 市場での絶対的優位性の損失
  • 企業ブランドの失墜
  • 優秀な社員の流出

サイバーセキュリティが必要な3つの理由とは?

自社と取引先を守るために情報資産保護と時代の変化に対応するためにサイバーセキュリティ対策を行います。

機密情報、自社の情報資産を保護

多様なサイバー攻撃やマルウェア感染への対策を強化する最大の目的は、自社の情報資産や機密情報を保護するためです。
情報漏洩が起きると取引先・消費者からの信用失墜による取引量低下のため売上が大幅に減少するだけでなく、企業を支える社員が流出する可能性もあるからです。
2020年8月に日本IBMが発表した調査では情報漏洩が起きると業務停滞からの復旧や取引機会の損失などを含め、1件当たり約4億5,000万円の被害が発生すると発表しています。

また、情報漏洩が起きた場合、これまで培ってきたノウハウが流出して他社に技術をコピーされたり、強みを潰すための商品開発をされたりして、以前のような市場での優位性を保てなくなります。
そして、社員の個人情報を盗取された場合は社員の不信感が高まって離職の原因となり、企業にとって大切にしなければならない人材が不足する事態に陥ります。

取引先への波及を防ぐ

ターゲット企業を直接狙わずに取引先の中でセキュリティ対策が甘い中小企業を狙うサプライチェーン攻撃の被害が増加しています。
犯罪者は年々セキュリティ対策を強化している大企業を直接狙うよりも、セキュリティ対策が甘い中小企業を狙った方がターゲット企業の情報盗取やシステムダウンなど、目的を果たせる確率が高いと判断しているためです。

ここ数年の間にも三菱電機やNEC、ぴあなどがサプライチェーン攻撃の被害に遭っていました。
自社のセキュリティ対策の不備が原因で取引先の情報が盗まれた場合、取引停止だけでなく損害賠償を求められる可能性もあります。
深刻な経済的損失だけでなく、社会的信用が失墜して今後のビジネスが大変厳しい状況になります。

情報漏洩は自社の問題だけでは無いため、取引先を守る意味でも自社のセキュリティ対策を強化しなくてはいけません。

2025年の崖

新たなデジタルツールを活用してビジネスモデルを柔軟に構築していくDX(Digital transformation)に対応するために、サイバーセキュリティも強化する必要があります。
多くのデータをデジタル化するためサイバー攻撃や天災から情報を守る仕組みを強化しなくてはいけないからです。

経済産業省がDXレポートとしてまとめた2025年の崖は、現在企業の日々の業務活動に不可欠な基幹システムをメンテナンスせずにこのまま使い続けると、データの活用が十分にできないためにビジネス機会を逃し、莫大な利益を失うと警鐘を鳴らしています。
また、システムに精通した担い手の不足で、データ消失のリスク向上やランニングコストの膨張が危惧されています。

多くの企業は基幹システムのレガシー化を避けるため、業務ツールをクラウドサービスとして移行する形を取り始めました。
クラウドサービスはオンプレミスと比べて低コスト・効率的な運用ができるだけでなく、様々な角度からの攻撃を防ぐためにベンダーが施したハイレベルなセキュリティ対策が期待できます。

一方で、自社のサイバーセキュリティ対策を把握しないと適切なサービスを導入できず、セキュリティインシデントが起きた場合も適切な対処が行えません。
セキュリティツールを活用しつつ、管理・運用を行う管理者の人材育成も同時に行うことが求められています。

企業の対策を評価・監査するサイバーセキュリティガイドラインとは?

2015年12月にIPAが定めた企業として行うべきサイバーセキュリティの対策・重要性をまとめたガイドラインです。
2015年9月に発表された「サイバーセキュリティ戦略」を踏まえた内容になっており、国が企業の経営者に求めるサイバーセキュリティの内容がまとめられています。
つまり、ガイドラインの内容を網羅できていなければ、国が求める水準まで十分セキュリティ対策を行えていないことを意味します。

例えば、セキュリティガイドラインに十分な意識を払わず、対策が不十分の状態で従業員の個人情報や顧客先の情報が漏洩した場合は、損害賠償請求を行っても認められないだけでなく、個人情報保護法に基づき処分が課せられる可能性もあります。

サイバーセキュリティガイドラインに法的拘束力は無いものの、国にとっては企業の取り組みを評価・監査するための基準です。
一方、企業にとっては情報盗取を避けるためにどのようなリスク管理を行うべきかの指標となります。

サイバーセキュリティガイドラインの内容とは?

企業の経営者が企業を守るために認識しなければならない3原則と実際に行うべき項目が10点まとめられています。
企業の3原則に関しては前提認識としてセキュリティ対策への投資は売上に結びつかず、導入効果が目に見えづらいことを理解する重要性が述べられています。
そのため、経営者自身が自社のセキュリティ環境の評価・監査をを行い、対策案を述べることが重要です。

そして、たとえ売上に結びつかず評価が見えづらかったとしても、情報漏洩を一度でも起きれば取引先からも敬遠され、最悪の場合倒産に結びつく可能性があることを意識しなくてはなりません。
そのため、企業を守るための対策との認識が重要であり常にセキュリティ環境を確認しながら、企業の経営状況と並行して必要となるセキュリティソリューションを段階的に導入することが求められます。

実際の対策内容における監査はセキュリティ分野の知識が豊富な社員に任せるべきですが、確保が難しければ外部のセキュリティ企業に依頼してください。
対策内容やリスク管理の内容を評価してもらい、今後の参考につなげていきます。

そして、重要10項目は経営者が意識しておくべき内容をまとめており、実務レベルで対策の内容を決める管理者がスムーズに内容を反映できるように導きます。

3原則

  • 経営者のリーダーシップが重要
  • 取引先や顧客に配慮
  • 常に密接なコミュニケーション・情報共有を実施

リーダーシップが求められる内容

  • サイバーセキュリティリスクを経営課題に追加
  • CISOの任命またはチーム体制の確立
  • CISOの役割と責任分担の明確化
  • 現状のセキュリティ環境における課題の把握と見直し
  • 取引先や顧客とセキュリティ環境の共有・連携
  • 外部組織との接点を持ち情報収集を実施

10項目

  1. サイバーセキュリティ対応方針の決定・ステークホルダーに開示
  2. リスク管理の体制構築・強化(CISOの任命、内部統制、災害対策)
  3. 自社の情報資産を脅かすリスク把握・目標・対応計画の策定
  4. PDCAサイクルの実施・内容開示
  5. 取引先や関連企業と互いのセキュリティ対策の内容共有
  6. 予算の確保・人材育成
  7. 外部委託会社システム管理の委託範囲特定と対策の確認
  8. 外部からサイバー攻撃やマルウェア感染に関しての情報収集・許攸を実施
  9. 緊急時の体制整備(CSIRTの設置)・定期的な演習を実施
  10. 被害発覚後の情報把握・開示のための準備体制の整備

サイバーセキュリティ対応方針の内容はどんな内容を記載するべきか?

必ず網羅すべきなのは「サイバーセキュリティは企業のリスク管理で不可欠な対策として、認識・対応している」とアピールすることです。
取引先や国に対してもセキュリティ対策に取り組んでいることを明確に示します。
そして、自社がセキュリティをどのように考えているか表明する場でもあるので、3原則の内容を踏まえつつ自社が考えている内容をわかりやすく示すことが大切です。

具体的に盛り込むべき内容

  • 自社のセキュリティ上の課題に関与した内容
  • 自社の経営戦略・事業に沿った内容
  • ヒト・モノ・カネの制約範囲内で策定
  • 現実的に実行できる内容で策定

CISOとは?

CISO(Chief Information Security Officer)は、企業におけるセキュリティ対策の最高責任者を指します。
社員が利用するPCやスマートフォンなどのデバイス機器やネットワーク機器の安全管理はもちろん、機密情報に該当する情報の管理方法や既定の策定、情報漏洩に関しての予防策から報告体制の整備など、セキュリティに関する全ての内容をまとめます。

また、トップの方針を現場に伝え組織が一丸となって機能するよう様々な調整を行う緩衝材としての役割も期待されており、幅広い能力を求められる点が特徴です。
人事・総務・広報など他部署との連携を図るコミュニケーション能力、トップと現場の声を汲み取る理解力、決まった内容を行う実務力など様々な能力が要求されるため、一人で行うよりもチームで分担してそれぞれが役割を担うのが得策だと考えられています。

CSIRTとは?

CSIRT(Computer Security Incident Response Team)は、自社システムや情報資産の脅威となるサイバー攻撃や情報漏洩といったセキュリティインシデントに対して対応する専門チームです。
CSIRTは情報漏洩が起きた場合の技術的支援を受ける判断、報告先の指示、対応内容の明確化などセキュリティインシデント発生後の対応だけでなく、事前に情報漏洩が起きた場合の対応や連携の取り方、他社で情報漏洩が起きた事例紹介など、実際に起きた場合のことも想定して事前準備も行います。

CSIRTの設置が叫ばれている理由はサイバー攻撃の多様化・巧妙化により、インシデントの発生を防ぐことは困難な状況だからです。
全ての企業が犯罪者にとってはターゲットであり、攻撃に対する備えを万全にする必要があります。
近年ではサプライチェーン攻撃や標的型攻撃により中小企業をターゲットにした攻撃も増えており、「うちの会社は狙われない」といった発想でセキュリティ対策を怠っていると、犯罪者から狙われ簡単に情報盗取されます。

CSIRTを社内に設置することで、セキュリティインシデントの備えや予防を行うことができ、実際にマルウェア感染や不正アクセスが起きたとしても、最小限の被害に留めることが可能です。
また、CSIRTの設置が社内に難しければ外部サービスを活用し、防御・検知・対処といった技術的な部分は専門企業に任せることも一つの選択肢です。
社員への教育やインシデント発生時における対処方法の確立に集中することで、実際にインシデントが発生しても落ち着いて対処ができます。

CSIRTが情報収集すべき内容

  • 脆弱性攻撃
  • サイバー攻撃の発生状況
  • 警戒情報の発令有無
  • マルウェアやサイバー攻撃の特徴

まとめ

サイバー攻撃の脅威は絶え間なく続いており、自社の情報資産や取引先を守るためにもセキュリティ対策を定期的に見直し、脆弱性を無くす努力が求められます。
今後は働き方の多様化がさらに進みデジタルツールの活用範囲がより増えてくるため、カバーすべき範囲も増えます。
安定した売上を確保するための攻めの経営戦略だけでなく、守りの経営戦略としてサイバーセキュリティの強化は重要です。

ガイドラインの内容を参考にしつつ、自社のセキュリティポリシーを定めてください。
また、自社でセキュリティ分野においての人材確保が難しければ、外部の企業をうまく活用して安全性の強化につなげます。

損害賠償とは?情報漏洩に関する脅威の種類についても解説!

blank

情報漏洩が起きた場合の損害賠償とは?

2018年にJNSA(日本セキュリティ・ネットワーク協会)が発表したデータによると、個人情報がセキュリティインシデントによって流出した場合、1件あたりの被害総額は平均で6億3,767万円でした。
個人情報はダークウェブで名簿業者への売却・犯罪行為への悪用・クレジットカード情報を利用しての不正送金など利用価値が高く、一度でも情報漏洩が起きると大きな影響を及ぼします。
また、近年ではターゲット企業を直接狙わず取引のある中小企業を足掛かりにして、ターゲット企業の情報盗取を行うサプライチェーン攻撃も増加しています。

続きを読む