最新情報
2023.6.15
企業のセキュリティ対策の状況について
NICT(国立研究開発法人 情報通信研究機構)によると、NICTERのダークネット観測網(約29万IPアドレス)において2022年に観測されたサイバー攻撃関連通信は、合計5,226億パケットに上り、1 IPアドレス当たり約183万パケットが1年間に届いた計算になります。このことより、年々サイバー攻撃が増加の一途をたどっていることが分かります。また、総務省によると、2021年にセキュリティ被害を受けた企業は、全体に対して52.4%にも上るというデータがあります。
| 主なセキュリティ被害の内訳 | 割合 |
|---|---|
| ウイルス感染 | 31.1% |
| 標的型メールの送付 | 33.1% |
| スパムメールの中継利用・踏み台 | 11.3% |
| 不正アクセス | 2.7% |
| Dos攻撃 | 1.8% |
| 故意・過失による情報漏洩 | 1.1% |
参照サイト:https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf307000.html#d0307050
企業におけるセキュリティ対策の実施状況について
総務省によると、2021年において、セキュリティリスクに対して何らかの対策を行っていると回答した企業は98.1%となっています。その中でも、約8割の企業はウイルス対策ソフトの導入を行っていることが分かっています。
主に企業で実施されているセキュリティ対策は以下の通りです。
| 主な企業のセキュリティ対策 | 割合 |
|---|---|
| サーバーへのウイルス対策ソフトの導入 | 61.6% |
| ID, パスワードによるアクセス制御 | 57.0% |
| ファイヤーウォールの設置・導入 | 51.5% |
| 社員教育 | 50% |
懸念される事項として、ネットワークシステムを監視するセキュリティ対策は、ウイルス対策ソフトの導入ぐらいしか見られないという弱点が見られます。未だに、通信の内容を監視する「不正侵入検知システム(IDS/IPS)」を導入している企業は16.9%に留まっています。これからは、ネットワークセキュリティリスクも増加していくことでしょう。
システム的なセキュリティ対策を拡大させることが今後の企業の課題と言えるかもしれません。
企業におけるセキュリティ対策のポイント
企業において、セキュリティ対策を取る際に重要となってくる項目を以下にまとめました。
従業員のセキュリティ意識を向上させる
よりセキュリティリスクが複雑化している中、企業のセキュリティは、従業員が不注意でダウンロードしてしまった悪意のあるファイルから破られてしまうことも多くあります。
しかしながら、社員が適切なセキュリティに関する情報を知り、社員のセキュリティ意識が向上すれば、悪意のあるファイルに気づくことができるようになるので、企業にとって、非常にプラスになるでしょう。定期的に情報セキュリティに関する研修を行ったり、新しい脅威が出てきた時点で、社員への具体的な事例の周知を徹底するようにしましょう。
先手を打つ対策を取る
多くの企業でセキュリティ対策を始めるきっかけは、自社、またはクライアントにセキュリティ事故が起きた時である場合が多いです。
このように、事故が起こるまで対応しない姿勢をとっていると、いずれ重大なセキュリティ事故が起き、社会的な信用を失う恐れもあります。
なるべく、時代に沿って、先手を打ったセキュリティ対策を取るように心がけましょう。
鉄壁にするよりも侵入される前提の対策を取る
近年、サイバー攻撃による手口は、より悪質で、巧妙化しており、完全に防ぐことが非常に難しいと言われています。このことより、
サイバー攻撃を完全に防ぐ対策よりも、攻撃され、侵入された場合でも大切な情報資産を守れる仕組み作りをしていく方が、より現実的な対策になるでしょう。
未知のウイルスが入った場合でも、いつもと違う振る舞いを検知するEDR製品や、ID・パスワードを盗まれた場合でも簡単にはログインできないようにする多段階認証システムなど、考えられるあらゆる対策を取り、セキュリティ対策を万全にしておきましょう。
テレワークの普及とそれに伴うセキュリティ対策
働き方改革の社会的な推進により普及したテレワークは、プライベートでも様々な状況下にある社員に合わせた柔軟性のある働き方を可能にしました。
しかしながら、新型コロナウイルスの世界的なパンデミックにより、2020年には多くの企業でテレワークを導入せざるを得ない状況になりました。2020年4月には6割を超える企業でテレワークが導入されたと言われています。
一方で、叫ばれるようになった問題として、セキュリティリスクが挙げられます。テレワークは、社外のネットワークを介して仕事を行うという特性から、セキュリティが守られるかどうかは個人個人のセキュリティ環境に委ねられます。
これにより、セキュリティリスクが増大します。テレワークは、感染リスクを軽減し、社員のプライベートを重視可能にする一方で、テレワークを前提とした企業のセキュリティ対策の変革が求められるようになりました。
テレワークにおけるセキュリティリスク
テレワークを行うと、オフィスで仕事をする際とは異なる種類のセキュリティリスクも出てきます。ここでは、テレワークにおけるセキュリティリスクを記載していきます。
USBやハードディスクの紛失や第三者による盗難
社外のパソコン、USBなどの記録媒体を使用するとなると、紛失したり、盗難される危険性も高まります。テレワークの環境としては、自宅以外にもカフェやコワーキングスペースを使って仕事をする人もいるでしょう。
そういった場合に、パソコンや記録媒体を紛失するケース、盗難されるケースがあることを知っておきましょう。
セキュリティ対策が不十分な個人PCへのマルウェア感染
端末がマルウェアに感染することを防ぐには、セキュリティソフトの導入などが必須となってきます。通常、社内では会社所有のパソコンを使用しますが、テレワークをするとなると、個人の所有するパソコンを使用することも出てくるでしょう。こういった個人のパソコンを仕事として利用すると、セキュリティ対策が不十分で、マルウェアに感染するリスクが高まります。
暗号化されていない公共Wi–Fiを利用することによる通信傍受のリスク
カフェやレストランなどでは、公共Wi-Fiが使用可能な場合も多いですが、多くの一般的な公共Wi-Fiは暗号化されておらず、最悪の場合、通信を傍受されてしまい、情報漏洩につながるリスクがあります。
したがって、業務を行うための環境としては好ましくないので、なるべく公共Wi-Fiは使用しないようにしましょう。
自宅のネット回線への不正アクセス
自宅でテレワークを行う場合、セキュリティレベルは社員個々の環境に委ねられます。安全性の低い自宅回線が不正アクセスを受け、セキュリティリスクにさらされる可能性もあることでしょう。
フィッシング・標的型メールによるマルウェア感染
最近、フィッシングや標的型メールによるマルウェア感染が後を絶ちません。さらにそのサイバー攻撃の内容や手口が巧妙化しており、より複雑化したリスクに対応することは困難とされています。
社員の情報リテラシーがしっかりしていない場合、誤ってメールを開いて、マルウェアに感染してしまうこともあるでしょう。
リモートデスクトップへの不正アクセス
外部の端末からも社内ネットワークにアクセスすることを可能にするサービスです。Windows10に標準搭載されているものが一般的に利用されています。テレワークでも社内ネットワークを利用できることや、端末の性能に依存せず業務を行えるのが特徴で、急速に使用が拡大しました。しかしながら、リモートデスクトップへの不正アクセスを狙うサイバー攻撃は増加しています。
クラウドサービスを使用する際のアカウント乗っ取り
クラウドサービスを利用することにより、情報共有がスムーズにできるようになる一方、クラウドサービスを標的としたサイバー攻撃も増えてきています。クラウドサービスのベンダーは、乗っ取りの被害を最小限にするべく、脆弱性をなくすアップデートを行いますが、アップデートを行う前に「ゼロデイ攻撃」という攻撃を受ける可能性もあります。
記事一覧へ