今では企業でもITスキルを習得して業務を遂行することが増えています。効率的に仕事をするためにはIT技術を駆使することが大事ですが、同時にセキュリティの強化も行わなくては情報漏洩してしまい会社の信用を損なうこともあります。
今では、サイバー攻撃なども危険を察知する必要があるので、セキュリティ対策も様々行われています。いろいろなセキュリティ対策の中でも注目されているのは監査ログです。ただ、監査ログについ詳しく知らない人もいるでしょう。監査ログについて内容を解説していきます。
今ではデータの保管や情報の処理を行うために、ネットワークを利用することは基本です。ネットワークを利用してデータ保管をするなら、アクセスや情報共有も行いやすく業務の効率化を図ることができるからです。
Webサービスやツールを使用することで仕事の効率化を図れるとは言え、そのためには作業を適切に管理することも求められます。業務のためにのツールが増え続けると、システム管理者の負担が大きくなるからです。この問題を解決するためには統合認証基盤を活用することができます。統合認証基盤とは何か内容を紹介しましょう。
マイクロソフト社が提供するモバイルデバイス・モバイルアプリケーション管理機能を搭載したクラウド型のセキュリティソリューションです。
端末の利用制限やアプリケーションの使用禁止を管理者側が設定し、不正アクセスのリスク軽減とセキュリティレベルの向上に努めています。
サイバーセキュリティとは、不正アクセスやマルウェア感染から電子データとして保存している機密情報の盗取・改ざん・破損などを防ぐ仕組みを整えることです。企業が保有する社員の個人情報・企業の蓄積した事業ノウハウ・顧客情報は犯罪者にとって利用価値の高い情報ばかりです。ビジネス上の重要なデータや個人情報はダークウェブで売却すると多額の金銭的見返りを期待できるだけでなく、クレジットカードや銀行口座から不正にお金を引き出すこともできます。
サイバーセキュリティとは、蓄積した技術データや従業員の個人情報などの機密情報をサイバー攻撃やマルウェア感染から守ることです。
犯罪者の攻撃技術は向上しており、あらゆる手段を使って情報盗取・データ破壊・データ改ざんなどを狙ってきます。
近年情報漏洩事件の被害総額は増えており、毎月のように企業の情報漏洩事件が報道されます。
情報漏洩が無くならないのは、犯罪者にとって企業の情報資産は利用価値が高い情報が多数集まっている宝の宝庫だからです。
社員・取引先・顧客の個人情報はダークウェブで売却すれば多額の金銭的利益を望めるだけでなく、クレジットカードや銀行口座の情報を盗取することで多くのお金を不正に得られます。
そのため、セキュリティソリューションの導入や犯罪者が仕掛けてくる攻撃手口などセキュリティ全般について学ぶことで、社員が利用するPCやスマートフォン、ネットワーク機器などにおける安全性強化や情報漏洩の予防に努めます。
サイバーセキュリティを行う理由は、今後のビジネスを安定的に継続していくためと情報漏洩による被害の回避です。
多くの企業が情報漏洩に関してナーバスになっており、一度でも情報漏洩が起きれば取引先や消費者の信用は失墜し、膨大な経済的利益を失います。
蓄積したノウハウや社員の個人情報を守るためにも、セキュリティソリューションの導入や優秀な人材の確保を積極的に行うことで、自社の情報資産を守る仕組みの強化に努めなければなりません。
| 対象 | 影響 | 結果 | |
| 内容 |
|
|
|
自社と取引先を守るために情報資産保護と時代の変化に対応するためにサイバーセキュリティ対策を行います。
多様なサイバー攻撃やマルウェア感染への対策を強化する最大の目的は、自社の情報資産や機密情報を保護するためです。
情報漏洩が起きると取引先・消費者からの信用失墜による取引量低下のため売上が大幅に減少するだけでなく、企業を支える社員が流出する可能性もあるからです。
2020年8月に日本IBMが発表した調査では情報漏洩が起きると業務停滞からの復旧や取引機会の損失などを含め、1件当たり約4億5,000万円の被害が発生すると発表しています。
また、情報漏洩が起きた場合、これまで培ってきたノウハウが流出して他社に技術をコピーされたり、強みを潰すための商品開発をされたりして、以前のような市場での優位性を保てなくなります。
そして、社員の個人情報を盗取された場合は社員の不信感が高まって離職の原因となり、企業にとって大切にしなければならない人材が不足する事態に陥ります。
ターゲット企業を直接狙わずに取引先の中でセキュリティ対策が甘い中小企業を狙うサプライチェーン攻撃の被害が増加しています。
犯罪者は年々セキュリティ対策を強化している大企業を直接狙うよりも、セキュリティ対策が甘い中小企業を狙った方がターゲット企業の情報盗取やシステムダウンなど、目的を果たせる確率が高いと判断しているためです。
ここ数年の間にも三菱電機やNEC、ぴあなどがサプライチェーン攻撃の被害に遭っていました。
自社のセキュリティ対策の不備が原因で取引先の情報が盗まれた場合、取引停止だけでなく損害賠償を求められる可能性もあります。
深刻な経済的損失だけでなく、社会的信用が失墜して今後のビジネスが大変厳しい状況になります。
情報漏洩は自社の問題だけでは無いため、取引先を守る意味でも自社のセキュリティ対策を強化しなくてはいけません。
新たなデジタルツールを活用してビジネスモデルを柔軟に構築していくDX(Digital transformation)に対応するために、サイバーセキュリティも強化する必要があります。
多くのデータをデジタル化するためサイバー攻撃や天災から情報を守る仕組みを強化しなくてはいけないからです。
経済産業省がDXレポートとしてまとめた2025年の崖は、現在企業の日々の業務活動に不可欠な基幹システムをメンテナンスせずにこのまま使い続けると、データの活用が十分にできないためにビジネス機会を逃し、莫大な利益を失うと警鐘を鳴らしています。
また、システムに精通した担い手の不足で、データ消失のリスク向上やランニングコストの膨張が危惧されています。
多くの企業は基幹システムのレガシー化を避けるため、業務ツールをクラウドサービスとして移行する形を取り始めました。
クラウドサービスはオンプレミスと比べて低コスト・効率的な運用ができるだけでなく、様々な角度からの攻撃を防ぐためにベンダーが施したハイレベルなセキュリティ対策が期待できます。
一方で、自社のサイバーセキュリティ対策を把握しないと適切なサービスを導入できず、セキュリティインシデントが起きた場合も適切な対処が行えません。
セキュリティツールを活用しつつ、管理・運用を行う管理者の人材育成も同時に行うことが求められています。
2015年12月にIPAが定めた企業として行うべきサイバーセキュリティの対策・重要性をまとめたガイドラインです。
2015年9月に発表された「サイバーセキュリティ戦略」を踏まえた内容になっており、国が企業の経営者に求めるサイバーセキュリティの内容がまとめられています。
つまり、ガイドラインの内容を網羅できていなければ、国が求める水準まで十分セキュリティ対策を行えていないことを意味します。
例えば、セキュリティガイドラインに十分な意識を払わず、対策が不十分の状態で従業員の個人情報や顧客先の情報が漏洩した場合は、損害賠償請求を行っても認められないだけでなく、個人情報保護法に基づき処分が課せられる可能性もあります。
サイバーセキュリティガイドラインに法的拘束力は無いものの、国にとっては企業の取り組みを評価・監査するための基準です。
一方、企業にとっては情報盗取を避けるためにどのようなリスク管理を行うべきかの指標となります。
企業の経営者が企業を守るために認識しなければならない3原則と実際に行うべき項目が10点まとめられています。
企業の3原則に関しては前提認識としてセキュリティ対策への投資は売上に結びつかず、導入効果が目に見えづらいことを理解する重要性が述べられています。
そのため、経営者自身が自社のセキュリティ環境の評価・監査をを行い、対策案を述べることが重要です。
そして、たとえ売上に結びつかず評価が見えづらかったとしても、情報漏洩を一度でも起きれば取引先からも敬遠され、最悪の場合倒産に結びつく可能性があることを意識しなくてはなりません。
そのため、企業を守るための対策との認識が重要であり常にセキュリティ環境を確認しながら、企業の経営状況と並行して必要となるセキュリティソリューションを段階的に導入することが求められます。
実際の対策内容における監査はセキュリティ分野の知識が豊富な社員に任せるべきですが、確保が難しければ外部のセキュリティ企業に依頼してください。
対策内容やリスク管理の内容を評価してもらい、今後の参考につなげていきます。
そして、重要10項目は経営者が意識しておくべき内容をまとめており、実務レベルで対策の内容を決める管理者がスムーズに内容を反映できるように導きます。
必ず網羅すべきなのは「サイバーセキュリティは企業のリスク管理で不可欠な対策として、認識・対応している」とアピールすることです。
取引先や国に対してもセキュリティ対策に取り組んでいることを明確に示します。
そして、自社がセキュリティをどのように考えているか表明する場でもあるので、3原則の内容を踏まえつつ自社が考えている内容をわかりやすく示すことが大切です。
CISO(Chief Information Security Officer)は、企業におけるセキュリティ対策の最高責任者を指します。
社員が利用するPCやスマートフォンなどのデバイス機器やネットワーク機器の安全管理はもちろん、機密情報に該当する情報の管理方法や既定の策定、情報漏洩に関しての予防策から報告体制の整備など、セキュリティに関する全ての内容をまとめます。
また、トップの方針を現場に伝え組織が一丸となって機能するよう様々な調整を行う緩衝材としての役割も期待されており、幅広い能力を求められる点が特徴です。
人事・総務・広報など他部署との連携を図るコミュニケーション能力、トップと現場の声を汲み取る理解力、決まった内容を行う実務力など様々な能力が要求されるため、一人で行うよりもチームで分担してそれぞれが役割を担うのが得策だと考えられています。
CSIRT(Computer Security Incident Response Team)は、自社システムや情報資産の脅威となるサイバー攻撃や情報漏洩といったセキュリティインシデントに対して対応する専門チームです。
CSIRTは情報漏洩が起きた場合の技術的支援を受ける判断、報告先の指示、対応内容の明確化などセキュリティインシデント発生後の対応だけでなく、事前に情報漏洩が起きた場合の対応や連携の取り方、他社で情報漏洩が起きた事例紹介など、実際に起きた場合のことも想定して事前準備も行います。
CSIRTの設置が叫ばれている理由はサイバー攻撃の多様化・巧妙化により、インシデントの発生を防ぐことは困難な状況だからです。
全ての企業が犯罪者にとってはターゲットであり、攻撃に対する備えを万全にする必要があります。
近年ではサプライチェーン攻撃や標的型攻撃により中小企業をターゲットにした攻撃も増えており、「うちの会社は狙われない」といった発想でセキュリティ対策を怠っていると、犯罪者から狙われ簡単に情報盗取されます。
CSIRTを社内に設置することで、セキュリティインシデントの備えや予防を行うことができ、実際にマルウェア感染や不正アクセスが起きたとしても、最小限の被害に留めることが可能です。
また、CSIRTの設置が社内に難しければ外部サービスを活用し、防御・検知・対処といった技術的な部分は専門企業に任せることも一つの選択肢です。
社員への教育やインシデント発生時における対処方法の確立に集中することで、実際にインシデントが発生しても落ち着いて対処ができます。
サイバー攻撃の脅威は絶え間なく続いており、自社の情報資産や取引先を守るためにもセキュリティ対策を定期的に見直し、脆弱性を無くす努力が求められます。
今後は働き方の多様化がさらに進みデジタルツールの活用範囲がより増えてくるため、カバーすべき範囲も増えます。
安定した売上を確保するための攻めの経営戦略だけでなく、守りの経営戦略としてサイバーセキュリティの強化は重要です。
ガイドラインの内容を参考にしつつ、自社のセキュリティポリシーを定めてください。
また、自社でセキュリティ分野においての人材確保が難しければ、外部の企業をうまく活用して安全性の強化につなげます。
2018年にJNSA(日本セキュリティ・ネットワーク協会)が発表したデータによると、個人情報がセキュリティインシデントによって流出した場合、1件あたりの被害総額は平均で6億3,767万円でした。
個人情報はダークウェブで名簿業者への売却・犯罪行為への悪用・クレジットカード情報を利用しての不正送金など利用価値が高く、一度でも情報漏洩が起きると大きな影響を及ぼします。
また、近年ではターゲット企業を直接狙わず取引のある中小企業を足掛かりにして、ターゲット企業の情報盗取を行うサプライチェーン攻撃も増加しています。
セールス・ドットコム社がクラウド上で提供するCRM(Customer Relationship Management:顧客管理システム)のことです。パナソニック・三菱UFJ銀行・ビズリーチなど、日本を含めて全世界15万社が導入をしています。Salesforceの特徴は組織内での顧客情報の共有・管理や事務作業の自動化など、顧客満足度向上に直結する営業プロセスの業務改善が図れることです。
Microsoft社が提供しているクラウド版のActiveDirectoryです。
社内で利用するクラウドサービスのアカウント情報を一括で管理する他、シングルサインオンや多要素認証を搭載するなど、IDaaS(Identity as a Service)としての機能も果たします。
業務で必要なネットインフラやソフトウェアをインターネットを経由して利用することです。
ベンダーがサービスとしてインターネット上に不特定多数のユーザー向けに提供しており、料金さえ払えば誰でも利用できます。
全ての設備を揃える必要があったオンプレミスとは異なり、自社でサーバー・ストレージの購入、ソフトウェアのインストールをする必要がありません。
IAP(Identity-Aware Proxy:アイデンティティー認識型プロキシー)は、プロキシーを活用してデータ通信を行うセキュリティソリューションの一つです。プロキシが通信の中継役を担うことでセキュリティ担保を行い、セキュリティレベルの向上や不正アクセスのリスク軽減に寄与します。また、IAPではコネクターと呼ばれるサーバーを経由してアプリケーションに接続します。
