情報セキュリティ対策｜主な脅威や被害事例と対策の進め方

「情報セキュリティ対策」という言葉になじみはあっても、企業において情報を管理するにあたり、実際にどのように対策すればいいかわからない方も多いのではないでしょうか。

ここでは、情報セキュリティ対策全般について基本的な事柄を解説します。適切なセキュリティ対策を行うためには、どのような脅威があるのかを理解し、取り組むべき対策を明確にすることが重要です。ここでは、情報セキュリティ対策が必要な脅威の代表例を紹介した上で、実際に取り組むべき対策の一般的なポイントや方法について具体的に解説します。

情報セキュリティ対策とは

総務省は情報セキュリティ対策について「インターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること」と定義しています^※1。

現代では、顧客リストなどの企業情報を管理する際に、PCやインターネット、クラウドサービスの利用が欠かせません。データでの管理は慣れれば紙より容易で、メリットも多い一方で、外部からインターネットを経由した攻撃や端末を狙った攻撃を受けるリスクは高くなります。

情報漏えいや不正アクセスなどによる重大な事故を防ぐためにも、情報セキュリティ対策は企業にとって欠かせないリスク管理の1つです。

情報セキュリティ対策が必要な脅威の代表例

はじめに、情報セキュリティ対策が必要な脅威の代表例について見ていきましょう。こちらは、独立行政法人 情報処理推進機構（IPA）が集計した「情報セキュリティ10大脅威 2022」のランキングを表にまとめたものです。主に組織向けの脅威に焦点を絞って紹介します。

順位	組織	前年順位	個人	前年順位
1位	ランサムウェアによる被害	1位	フィッシングによる個人情報等の詐取	2位
2位	標的型攻撃による機密情報の窃取	2位	ネット上の誹謗・中傷・デマ	3位
3位	サプライチェーンの弱点を悪用した攻撃	4位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	4位
4位	テレワーク等のニューノーマルな働き方を狙った攻撃	3位	クレジットカード情報の不正利用	5位
5位	内部不正による情報漏えい	6位	スマホ決済の不正利用	1位
6位	脆弱性対策情報の公開に伴う悪用増加	10位	偽警告によるインターネット詐欺	8位
7位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	NEW	不正アプリによるスマートフォン利用者への被害	9位
8位	ビジネスメール詐欺による金銭被害	5位	インターネット上のサービスからの個人情報の窃取	7位
9位	予期せぬIT基盤の障害に伴う業務停止	7位	インターネットバンキングの不正利用	6位
10位	不注意による情報漏えい等の被害	9位	インターネット上のサービスへの不正ログイン	10位

1. ランサムウェアによる被害

「ランサムウェアとは、『Ransom（身代金）』と『Software（ソフトウェア）』を組み合わせた造語」とIPAは説明しています^※2。主に、暗号化やコンピュータのロックなどにより使用不可となったファイルを元に戻すことと引き換えに、身代金を要求する手口のことを指します。また、最近ではファイルを使用不可にするだけでなく、「入手した情報を暴露する」と脅す「二重脅迫型」と呼ぶ手法も多く報告されています。

ランサムウェアの被害に遭った場合、熟慮して止むを得ず身代金を支払ったとしても、ファイルが使用可能な状態に戻る保証はありません。そのため、事前にランサムウェアの感染を防げるかが重要です。

2. 標的型攻撃による機密情報の窃取

標的型攻撃とは、「特定の組織を狙って、機密情報や知的財産、アカウント情報（ID、パスワード）などを窃取しようとする攻撃」と総務省は定義づけています^※3。その手口は様々ですが、昨今では偽装メールの送付により不正URLやファイルへのアクセスを誘導するケースが横行しています。

これらの手口では、攻撃者はターゲットが不信感を抱かないように巧妙な手を使って情報を搾取してくるため、被害者側が気づかない間に情報漏えいが起こってしまうことも少なくありません。

3. サプライチェーンの弱点を悪用した攻撃

「ITにおけるサプライチェーンでは、製品の設計段階や、情報システム等の運用・保守・廃棄を含めてサプライチェーンと呼ばれることがあります」と総務省は説明しています^※4。そして、サプライチェーンの弱点を悪用した攻撃とは、ターゲット企業に直接攻撃するのではなく、セキュリティ対策が整っていない中小企業や取引先などの関連企業を経由したサイバー攻撃のことです。

セキュリティ対策が手薄な中小規模の企業が狙われやすく、気づかないうちに関連企業や顧客企業に対するサイバー攻撃へ加担してしまう恐れがあります。

4. テレワークなどのニューノーマルな働き方を狙った攻撃

コロナ禍の影響を受け、様々な企業がテレワークを前提とする「ニューノーマル」な働き方を開始しました。しかし、十分なセキュリティ対策を実現する間もなく、テレワーク導入を迫られたことで、サイバー攻撃の脅威が高まっています。

企業内のネットワークと比べて家庭のネットワークはセキュリティが手薄であることが多いため、ターゲットとなりやすい傾向にあります。他業務に追われて後回しになりがちなセキュリティ対策ですが、重大な被害を受ける前に体制を整えることがとても重要です。

5. 内部不正による情報漏えい

内部不正による情報漏えいとは、社内の関係者により重要な情報が不正利用されたり、漏えいしてしまったりする脅威です。

社内トラブルなどの理由からデータを故意に持ち出すパターンと、関係者が悪気なく外部へ漏えいしてしまうパターンに大きく分けられます。情報漏えいに関するルールが設けられている場合でも、情報の適切な取り扱いについて周知されていないと、このようなリスクは高まります。

6. 脆弱性対策情報の公開に伴う悪用増加

脆弱性対策情報とは、JPCERT コーディネーションセンターとIPAが共同で運営するJVN（Japan Vulnerability Notes）による脆弱性対策情報ポータルサイト「JVN iPedia」などで公開されている、脆弱性対策のための情報^※5のことを指します。

そして、脆弱性対策情報の公開に伴う悪用とは、本来ソフトウェアなどのユーザー側へセキュリティ対策を促すために公表される脆弱性対策情報を逆手にとって悪用し、その情報を扱うユーザーに対して仕掛けられる攻撃のことを指します。

特に対応策である「セキュリティパッチ（該当の問題を修正するプログラム）」を適用していない未対策のユーザーは狙われやすく、被害に遭うリスクが高まります。

7. 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

「ゼロデイ攻撃」について、IPAは「ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃」と説明しています^※6。

脆弱性対策情報の公開やセキュリティパッチの提供よりも前に攻撃が行われてしまうため、ウイルス対策ソフトを導入していてもその検知は難しく、数ある被害の中でも特に防御が難しい攻撃です。ゼロデイ攻撃では、ユーザー数とセキュリティホールが共に多い、ブラウザ関連のOSやアプリがターゲットとなりやすい傾向にあります。

8. ビジネスメール詐欺による金銭被害

「ビジネスメール詐欺」とは、「巧妙なだましの手口を駆使した、偽の電子メールを組織・企業に送り付け、従業員をだまして攻撃者の用意した口座へ送金させる詐欺の手口」とIPAは説明しています^※7。

例えば、取引先になりすまして偽の請求書を送る、社内の人事部のアカウントを乗っ取って詐欺に使用するための情報を搾取するなど手口は様々ですが、いずれも最終的には何らかの形で偽口座に入金を促される被害が増加しています。

9. 予期せぬIT基盤の障害に伴う業務停止

各企業が業務効率化に利用しているクラウドやネットワーク、データセンターなどのIT基盤に、予期せぬ障害が発生することがあります。

PCなどのデバイスを通じて仕事を行うことが当たり前の現代では、これらのIT基盤に予期せぬ問題が生じてしまうと、従業員の業務停止を余儀なくされてしまうことが少なくありません。復旧期間が長くなるほど生じる損害は大きくなり、運営企業はもちろん、サービスのユーザーにも多大な被害が発生することとなります。

10. 不注意による情報漏えい等の被害

IPAによると、「不注意による情報漏えい」とは、個人の情報リテラシーやモラル不足からの不注意、組織の管理体制の不備などから引き起こされる情報漏えいを指します^※8。

他の脅威と比較すると、いずれもヒューマンエラーによるものであることが特徴的で、特に個人情報や顧客リスト等を扱う場合はリスクが高まります。情報漏えいが発生した場合は民事訴訟などの事案になってしまうケースも多く、対応のための人件費や諸経費など、巨額の損失を被る可能性が高いです。

情報セキュリティ対策が不十分で損失が発生した事例

顧客情報の流出事例

1つ目の代表例は、ある企業から顧客情報が流出した事例です。

海外のIPアドレスから数千件もの不正アクセス（なりすましによるログイン）が行われ、そのうちの4分の1程度が、該当企業が運営するオンラインショップへの不正ログインに成功したとされています。

外部へのファイル出力や転送などのデータ履歴の確認こそされていないものの、顧客情報の閲覧が行われ、外部へ流出した可能性があるとしています。企業側は登録ユーザーのパスワードを初期化するなどの対応を取りましたが、同様の手口で複数回にわたり不正ログインが実施されていました。

ランサムウェア感染・暗号化被害事例

2つ目の代表事例は、ランサムウェア感染・暗号化被害が発生したものです。

被害のあった当日、当該組織のオフィス内に設置されていたプリンタから犯行を匂わせる文字が印刷され、出力されました。その後、ランサムウェアへの感染によるものだと判明。重要な顧客データと企業内の管理データ、端末に関与するサーバデータなどの暗号化が行われ、事業を回すために必要不可欠な大量のデータが使用できなくなる被害が発生しました。

感染経路としては、導入されていたVPN装置の脆弱性がセキュリティホールとして悪用され、ウイルスの侵入を許してしまったものとされています。被害を受けた組織は復旧中に、被害前と同等の体制を用意できず、サービス提供にも大きな影響を与えることとなりました。

標的型メールを開封し情報流出した事例

3つ目の代表事例は、標的型メールを開封してしまい情報流出した事例です。

被害を受けた組織の報告によると、フリーメールアドレスから従業員に対して不正なメールが送付され、その中の数名の従業員が誤って開封してしまったことから端末がウイルスに感染しました。組織内向けのアンケート調査を装った偽装メールであったことから、開封するだけでなく添付ファイルのダウンロードなどを行ってしまった従業員もいました。そのような行為からウイルスの侵入を許し、大規模な情報漏えいが起こってしまったものとされています。

その後は社内喚起が行われたものの、周知が十分に行き届かず複数回にわたり被害が発生することとなりました。

主な4つの被害と有効なセキュリティ対策

ここからは、主な4つの被害と有効なセキュリティ対策についてご紹介していきます。

• 情報漏えい
• 不正アクセス
• マルウェア感染
• 自然災害

それぞれについて解説します。

情報漏えい

情報漏えいによるセキュリティ被害が起きると、金銭的な損失を被るだけでなく、消費者からの信用も失われてしまうため対策が必須です。

原因

情報漏えいの原因は様々ですが、まず多いのがウイルス感染や不正アクセスなど外部からの攻撃により流出してしまうケースです。特に昨今ではサイバー攻撃によるデータ漏えいが増加しています。

一方で、従業員のヒューマンエラーによる情報漏えいも少なくありません。具体的には、メールによるデータの誤送信や、紛失・廃棄ミスなどです。紛失や廃棄ミスなどは、主に顧客リスト等を紙媒体で管理している企業で起こりやすい特徴があります。

対策

IPAの「情報漏えい対策のしおり」^※9によると、情報漏えいに対する主な対策は以下のとおりです。

• サイバーセキュリティ対策の導入
• メール誤送信対策ソフトの導入
• セキュリティポリシーの策定
• 電子機器・端末の持ち出しを管理する
• 従業員に対するセキュリティ教育

サイバー攻撃に対しては、セキュリティソリューションシステムの導入が有効です。また、メールの誤送信による流出を防ぐためには誤送信対策ソフトの導入を検討しても良いでしょう。

一方で、従業員一人ひとりに対してセキュリティ脅威を周知し、機密情報や顧客データの取り扱いに対する注意を促すことも大切です。

不正アクセス

不正アクセスを受けてしまうと、ホームページの改ざんやデータの流出、サーバの停止などの被害が生じます。

原因

不正アクセスの原因として、ID・パスワードの盗難や、脆弱性（セキュリティホール）への攻撃などが挙げられます。他にも不正なSQL文によるSQLインジェクション、OSやアプリケーションに対するバッファオーバーフロー攻撃なども存在しますが、このうちの多く占めているのはID・パスワードの盗難です。

対策

総務省が推奨している、不正アクセスに対する主な対策^※10は以下のとおりです。

• 通信の可否を設定できるファイアウォールの導入
• パーソナルファイアウォールを導入
• アカウント情報（ID、パスワードなど）の管理
• 原因となる脆弱性への対策

脆弱性（セキュリティホール）があると不正アクセスを受けやすいため、ソフトウェアのアップデートはこまめに行い、セキュリティパッチを適用する必要があります。また、サーバ上に稼働サービスが多いほどリスクが高まるため、使用していないものがあれば削除するようにしましょう。

侵入防止システム（IPS：Intrusion Prevention System）や不正侵入検知システム（IDS：Intrusion Detection System）、それらを統合したUTM（Unified Threat Management）、電子機器・端末の適切な管理なども有効でしょう。

さらに、Webアプリケーションの脆弱性を狙ったサイバー攻撃を防御する製品であるWAF（Web Application Firewall）の設置、クライアントPCを狙った標的型攻撃などの高度な脅威を検知し、迅速な対応を可能とするソリューションであるEDR（Endpoint Detection and Response）の導入、コンピュータやシステム全般の脆弱性を診断する脆弱性診断といった対策も有効です。

自社の課題をもとに、侵入行為への対策を適切に選定するようにしたいところです。また、ラックのJSOC^® マネージド・セキュリティ・サービス（MSS）やマネージドEDRサービスのような専門サービスを活用することも有効です。

マルウェア感染

マルウェアとは、「Malicious Software（悪意のあるソフトウェア）を略したもので、さまざまな脆弱性や情報を利用して攻撃をするソフトウェア（コード）の総称」と総務省で定義づけられています^※11。そして、マルウェア感染とは、悪意あるコードやソフトウェアに感染してしまうことです。感染すると、何らかの形で不利益を被ることとなります。

原因

マルウェアの感染経路や手口は様々ですが、メールやウェブを閲覧した際に感染するケースや、ファイルのダウンロード時に感染するケース、脆弱なストレージサービスを利用した際に感染するケースなどが挙げられます。

デバイスの処理能力が極端に落ちたり、不自然な挙動が増えたりした場合には、マルウェアに感染している可能性があるため注意が必要です。

対策

総務省で推奨されている、マルウェア感染に対する主な対策^※12は以下のとおりです。

• ウイルス対策ソフトの導入
• インターネットサービスプロバイダによるウイルスの利用
• 知らない人からの電子メールやメッセージの添付ファイルを不用意に開かない

マルウェア感染への対策には、ウイルスを検出してくれるウイルス対策ソフトなど、セキュリティツールの導入が最初の施策となります。従業員に対する周知・社内体制づくりも有効です。

さらに対策を強化したい場合には、専門家に依頼する方法もあります。ラックでは「マルウェア対策製品 監視・運用」サービスを提供しています。高度な知識とノウハウをもって運用管理を実施してきた「JSOC」のプロのセキュリティエンジニアが、セキュリティ製品を常に適切な状態に維持します。

最近では、AIを活用した対策も出てきています。ラックは「次世代型マルウェア対策プロテクトキャット Powered by Cylance」として、マルウェア実行前に検知、隔離、原因の特定までを実施するサービスを提供しています。

自然災害

自然災害によるセキュリティ事故も、考慮しておくべきリスクの1つです。自然災害における事故には、地震や津波などの影響によるもの、電子機器端末の損傷やサーバ停止などの被害があります。

原因

自然災害における事故の原因としては地震や津波、それに伴う火災や停電等が引き金となってIT基盤に影響を及ぼす可能性が考えられます。

特に日本で多い地震の場合、IT機器の転倒や火災などにより、使用する端末が物理的に損傷を受けてしまうことも多いです。その場合はデータの消失やアクセス不可の状況に陥ってしまう可能性があるため、適切な対策を採る必要があります。

対策

自然災害に対する主な情報セキュリティ対策は以下のとおりです。

• サーバや電子機器端末を含めたコンピュータを適切に管理する
• 定期的、計画的にサーバやストレージをバックアップし、データの保管場所を分散させておく
• クラウドストレージを利用して定期的、計画的にバックアップする

電子機器端末やサーバが転倒してしまうと損傷が起きてしまうため、転倒しづらい場所に設置する、滑り止めなどを使用するなどして転倒を防止しましょう。

また、サーバ故障時のためにバックアップを取っておくことも大切です。ただし、バックアップがサーバ本体と同じ場所にあると同時に被害を受けてしまう可能性があるため、他の場所に保管することをおすすめします。

情報セキュリティ対策の進め方

セキュリティ対策専門企業に調査・診断依頼する

情報セキュリティの重要性はわかっていても、何から始めて良いかわからない担当者の方も多いでしょう。

セキュリティ対策は専門知識を要する事柄が多いため、自社内に専門家がいるような大手企業でなければ、はじめにラックのような専門企業に調査や診断依頼をすることをおすすめします。まずは自社の環境や現状抱えている問題を把握して、必要なセキュリティ対策の洗い出しを行うことが重要です。

事業・経営状況に合わせて必要なセキュリティ対策を策定する

一口にセキュリティ対策といっても、その脅威や適切な対策方法は企業や運営している事業、経営状況に応じて多種多様です。専門企業からの診断結果が出たら、自社に必要なセキュリティ対策の策定を行いましょう。

この時、卓上の計画となってしまわないために、現場の運用体制や人事配置の状況も鑑みて実現可能な対策内容を組み込んでいく必要があります。

PC・スマホ等のデバイスにセキュリティソフトウェアをインストールする

とるべきセキュリティ対策が決定したら、セキュリティポリシーに沿ってPCやスマホなど各デバイスのセキュリティソフトウェアを設定します。また、セキュリティポリシーに適合しない場合は、対策に適した別なウイルス対策ソフトの採用も検討します。

ツールやソフトウェアを常に最新のものに更新する

インストールしたツールは、定期的にアップデートなどのメンテナンスを行う必要があります。自動設定が可能な場合は、利用環境にあわせて適切なタイミングで自動的にアップデートされるように設定を行いましょう。手動で更新する場合も、アップデートされずに放置される等のトラブルが発生しないために社内の規則作りが大切です。必ず更新する頻度やタイミングを定めておき、定期的に更新が行われるように設定しましょう。

社員のセキュリティ意識・知識を高める教育をする

一方で、セキュリティ被害の中には現場のヒューマンエラーにより生じるケースもあるため、社員一人ひとりが情報セキュリティに対する意識を持ち、事故を防ぐ努力をすることも重要です。

先にご紹介した、システム側の整備が整ったら、セキュリティ意識・知識を高める社員教育を行うとよいでしょう。企業の中には、人材教育の一環として研修制度を導入しているところもあります。

ラックでは調査・診断から運用、社員教育まで一気通貫で支援

無料調査ソフトウェア：FalconNest（ファルコンネスト）

「FalconNest」は、サイバー攻撃の痕跡確認やマルウェアの判定をサポートするソフトウェアです。無料で手軽に使用することができ、現状の問題把握から対処法の定義を迅速に行えます。

標的型攻撃の痕跡やマルウェア感染の痕跡がないかを調査する「侵害判定（Live Investigator：LI）」、"疑わしいファイル"がマルウェアであるかどうかを調査する「マルウェア自動分析（Malware Analyzer：MA）」が備わっており、専用ウェブサイトから利用者登録を行うことで簡単に利用できます。

クラウド型セキュリティ監視ツール：CloudFalcon^®（クラウドファルコン）

「CloudFalcon^®」は、ラックが独自開発した中小企業向けのクラウド型セキュリティ監視ソリューションです。クラウド型セキュリティ監視ソリューションとは、自社のクラウドサービスの利用状況を監視することで必要なセキュリティ対策を判定する仕組みです。

CloudFalcon^®なら、セキュリティ対策に関する専門知識が無い企業でも、自動判定機能により低コストで高品質なセキュリティ監視を利用できます。また、自動判定機能は20年以上蓄積されたインテリジェンス情報をもとに作成されているので、高額な初期投資がかからずコストを抑えた運用も可能です。

社員教育プログラム：ラックセキュリティアカデミー

「ラックセキュリティアカデミー」は、ラックが提供する情報セキュリティの教育プログラムサービスです。

プログラムには、対面型の「集合研修」と、インターネットを利用していつでもどこでも受講できる「オンライン研修」の2種類があり、座学、ハンズオン、体験型など様々なパターンに対応しています。

また、スペシャリスト育成コース、一般社員向けコース、資格取得支援の中から自社に必要な項目を選ぶことが可能です。希望があれば、オーダーメードによるトレーニングの対応も行っています。いずれも知識習得だけで終わってしまわないように、練習や演習形式に重点を置いたカリキュラムを用意しているので、実務に生かしやすい内容となっています。

情報セキュリティ対策は企業にとって重要なリスク管理

情報セキュリティ対策の基礎から脅威の代表例、実際に取り組むべき対策のポイントについて紹介しました。

IT化が進んだ現代では、情報漏えいや不正アクセスなどによる重大な事故を防ぐためにも、情報セキュリティ対策は企業にとって欠かせないリスク管理の1つとなっています。まずは自社が置かれている環境の把握や、抱えている問題の洗い出しを行った上で、どのようなセキュリティ対策が必要なのかを定義しましょう。

また、実際にセキュリティ対策を始める際は、ラックへの調査依頼からスタートすることをお勧めします。FalconNestのような無料診断ツールや安全を担保できる優れた対策サービスを提供しています。

参考情報

※1 サイバーセキュリティって何？｜国民のためのサイバーセキュリティサイト

※2 ランサムウェア対策特設ページ：IPA 独立行政法人 情報処理推進機構

※3 国民のためのサイバーセキュリティサイト | 用語辞典（は行）｜国民のためのサイバーセキュリティサイト

※4 国民のためのサイバーセキュリティサイト | 用語辞典（さ行）｜国民のためのサイバーセキュリティサイト

※5 JVN iPedia - 脆弱性対策情報データベース

※6 プレス発表「情報セキュリティ10大脅威 2022」を決定：IPA 独立行政法人 情報処理推進機構

※7 ビジネスメール詐欺（BEC）対策特設ページ：IPA 独立行政法人 情報処理推進機構

※8 情報セキュリティ10大脅威 2022 [組織編]

※9 IPA 独立行政法人 情報処理推進機構「情報漏えい対策のしおり」

※10 不正アクセスに遭わないために｜国民のためのサイバーセキュリティサイト

※11 国民のためのサイバーセキュリティサイト | 用語辞典（ま行）｜国民のためのサイバーセキュリティサイト

※12 ウイルス対策をしよう｜国民のためのサイバーセキュリティサイト