ページの先頭です

今日から始める3つのセキュリティ対策(1/2)

  • *本稿は、『みずほグローバルニュース』 Vol.98(みずほ銀行、2018年8月発行)に掲載されたものを、同社の承諾のもと掲載しております。

みずほ情報総研 銀行システムグループ 決済・チャネル系システム事業部第3部 内野 充晃

拡大する日本の「IT人材不足」

企業が個人情報漏洩のインシデントを1回でも発生させてしまった場合、どの程度の損害賠償を請求されるかご存じでしょうか。JNSA(日本ネットワークセキュリティ協会)の報告によると約5億5千万円となっており、経営に与える損失は甚大です(図表1)。また、それらの事実はインターネット上に半永久的に残り続けるなど、まさにサイバーセキュリティが経営のトップリスクの1つとなっていることは周知のとおりです。

そのような環境下、自社WEBサイトの運営費に月額100万円の費用をかけられる企業と月額2~3万円の企業では、セキュリティ対策に投資できる規模が全く異なります。また、CISOと呼ばれる最高情報セキュリティ責任者をアサインし全社的なセキュリティガバナンス体制を構築できているような企業と、従業員の個人情報を扱う機会が多いという理由で総務の係長がセキュリティ担当を兼務したり、少しITに詳しいという理由でセキュリティ担当をアサインしているような企業では、セキュリティ対策に投下できる人的体力も大きく異なります。

本稿では、費用・体力に限界がある企業で、何から始めればよいか困っているセキュリティ担当の方に向け、今日から行動に移せる3つのセキュリティ対策をご紹介します。

図表1. JNSAの報告書に記載されているセキュリティインシデントに関わる具体的な情報
漏洩人数 519万8,142人
インシデント件数 386件
想定損害賠償総額 1,914億2,742万円
1件あたりの平均漏洩人数 1万4,894人
1件あたり平均損害賠償額 5億4,850万円
1人あたり平均損害賠償額 2万3,601円

出所:特定非営利活動法人日本ネットワークセキュリティ協会(参考)
https://www.jnsa.org/result/incident/

1. 基本的な対策ができているか確認する

まずは、自社が基本的な対策ができているかチェックしよう。何が基本的な対策なのか自信がない場合は、独立行政法人情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン(*1)」のなかの「5分でできる!情報セキュリティ自社診断」(図表2)をおすすめする。25の設問に答えるだけで自社のセキュリティレベルを確認できる。

次に、自社のIT資産状況(OSやソフトウェアが最新状態か)はもちろんのこと、社員が保有しているIT機器(スマホやタブレット)の業務での使用状況をチェックしたほうがよい。

特に、昨今のコスト削減や業務効率化、働き方改革などにともない、業務データをクラウドで保管したり、コピー機・複合機がインターネットに接続され業者がリモートで保守していたり、業務連絡のため社員同士が個人所有のスマートフォンでSNSを利用していることも考えられる。また従業員1人ひとりが気をつけていたとしても、アルバイトや委託先業者の不注意や対策の怠りが大きな事故を招きかねず、従来からIT機器として認識してきたものだけではなく日常業務もふまえて洗い出そう。

図表2. 付録「5分でできる!情報セキュリティ自社診断」
図表2

出所:独立行政法人情報処理推進機構(一部作図)
https://www.ipa.go.jp/files/000055517.pdf(PDF/655KB)

2. 世の中で何が起きているのか情報収集する

次に、最新の攻撃手法や他社のセキュリティインシデントなどを情報収集し自社にとって脅威になりうるものがないか確認する。

攻撃手法については、IPAの「情報セキュリティ10大脅威」を一読してほしい(図表3)。2018年の10大脅威には、3位の「ビジネスメール詐欺による被害」や、4位の「脆弱性対策情報の公開にともなう悪用増加」など、昨年ランク外だった脅威が3つもある。このように脅威の大きなトレンドは担当者として把握しておきたい。

ビジネスメール詐欺は、2017年12月に大手航空会社への振り込め詐欺がニュースに大きく取り上げられたのでご記憶されている方も多いだろう。このようなTVや新聞で扱われるセキュリティインシデントは、最初のうちはセンセーショナルに報道されるが、ほとぼりが冷めるにつれ徐々に沈静化し、原因究明が発表される頃にはすっかり世間の関心が薄くなり報道の頻度も下がる。しかし、まさにその原因や再発防止策こそが、自社の対策に役立つものであるため、全容が公表されるまでフォローしてほしい。またTVや新聞報道に至らずインターネットニュースでしか取り上げられないインシデントについても、冒頭に紹介した「情報セキュリティインシデントに関する調査報告書」などにまとめられている。

さらに、少々手間はかかるが、「JVN iPedia(脆弱性対策情報のデータベース)」(図表4)は毎日国内外の数十件の脆弱性情報が更新されており、最新情報が入手できる。数十件と聞くと敬遠したくなるが、攻撃条件の複雑さなどから脆弱性の深刻度を「緊急」、「重要」、「警告」等で分類し、影響を受ける製品名やバージョンも明記されており、自社システムへの影響を迅速に確認できる。さきほど紹介した「情報セキュリティ10大脅威」の4位に「脆弱性情報の公開にともなう悪用増加」があがっているとおり、公開された脆弱性は即座に悪用される危険があるため、緊急度の高いものだけでも速やかに確認しておきたい。

図表3. 2018年情報セキュリティ10大脅威について前年との比較
図表3

出所:独立行政法人情報処理推進機構(一部作図)
https://www.ipa.go.jp/security/vuln/10threats2018.html


図表4. JVN iPediaの脆弱性情報
図表4

出所:Japan Vulnerability Notes(一部作図)
https://jvndb.jvn.jp/

ページの先頭へ