■はじめに
昨今、個人情報の漏えいをはじめ、情報セキュリティ上の問題に関する報道が後を絶ちません。
各企業は、情報セキュリティに関するソリューションを導入したり、社内規定(ルール)や情報セキュリティの専任担当者を設けたり、様々な対策を進めていると思われます。
しかしながら、せっかくルールを設けて周知をしても、“意義”や“目的”が明確になっていなければ、時間が経つにつれて忘れてしまい、意識しなくなってしまいます。
社内の情報セキュリティに関するルールを徹底・浸透させていくためには、どのようなPC操作を行うとセキュリティ上の問題が発生してしまうのか、またその問題が会社へどのように影響するのか、そしてその問題を発生させないためにはどのように対処をすれば良いのかなど、問題を未然に防ぐために新入社員の段階から周知徹底をすることが重要になります。
名刺交換や電話対応などのビジネスマナーを身に付けると同様に、情報セキュリティに対する正しい知識や対応方法を、新入社員の段階からしっかり身に付けることが大事です。
ITS推進室長 境 一誠
■そもそも“サイバー攻撃”とは?
犯罪者が、金銭を目的として企業の機密情報・個人情報を詐取する攻撃行為になります。
現状は100%完璧にサイバー攻撃を防ぐことができませんが、一人一人が意識をすることで被害に遭う確率を減らすことが可能です。
【サイバー攻撃の主な種類】
①不正アクセス ・・・ コンピュータシステムやネットワークに不正にアクセスし、情報窃取やシステム破壊を行う行為。
②ウイルス感染 ・・・ ウイルスやマルウェアを送り込み、コンピュータシステムやネットワークを破壊したり、情報の窃取を行う行為。
③DDoS攻撃 ・・・ 大量のアクセスを送りつけることで、サーバーやネットワークをダウンさせる行為。
④フィッシング詐欺 ・・・ 偽のメールやWebサイトで個人情報を騙し取る行為。
⑤ランサムウェア ・・・ コンピュータシステムやデータを暗号化し、復元のために金銭を要求する行為。
■中小企業が狙われる代表的なサイバー攻撃は?
①マルウェア攻撃
マルウェアとは、「Malicious Software」の略で、日本語では「悪意のあるソフトウェア」という意味です。
コンピューターウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなど、ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアを総称する言葉です。
特に、成りすましメールの添付ファイルの開封には気をつけましょう。
②ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから、その情報公開や対策が講じられる前に、その脆弱性を悪用して行われるサイバー攻撃です。
アップデートが公開された際は、管理者に確認し速やかに更新をしましょう。
※ゼロデイ ・・・ 脆弱性発見から修正パッチが公開されるまでの期間のことを指します。この期間は攻撃者にとって絶好の機会となり、対策が間に合わないうちに多くの被害をもたらす可能性があります。
③サプライチェーン攻撃
サプライチェーン攻撃とは、ターゲットとなる企業に直接攻撃するのではなく、セキュリティ対策が手薄な関連企業や取引先企業を経由して不正に侵入するサイバー攻撃のことです。
近年、被害が拡大しており、企業にとって大きな脅威となっています。
自社だけではなく、取引企業先のためにも、最低限のセキュリティレベルを保たなければなりません。
■もし、会社がサイバー攻撃を受けて被害が発生したらどうなる?
①金銭的な損失
1. 金銭の詐取 ・・・ 銀行口座から不正に資金を引き出されたり、クレジットカード情報が流出して悪用されたりする可能性があります。
2. 事業継続の阻害 ・・・ システム障害によって業務が停止し、売上の減少や損害賠償責任を負う可能性があります。
3. 復旧費用 ・・・ システムの復旧やデータの復元、セキュリティ対策の強化などに多額の費用がかかる可能性があります。
②顧客情報の流出
1. 顧客情報の流出 ・・・ 顧客の氏名、住所、電話番号、メールアドレス、パスワードなどの情報が流出する可能性があります。
2. 個人情報保護法違反による罰則 ・・・ 個人情報保護法違反により、行政処分や罰則を受ける可能性があります。
3. 顧客の信頼失墜 ・・・ 顧客情報の流出は企業の信用を損ない、顧客離れにつながる可能性があります。
③社会的な信用失墜
1. 企業イメージの悪化 ・・・ サイバー攻撃を受けたことが報道されることで、企業イメージが悪化し、株価が下落する可能性があります。
2. 取引先の喪失 ・・・ 取引先企業が、セキュリティ対策が脆弱な企業との取引を避ける可能性があります。
3. 新規顧客の獲得困難 ・・・ 新規顧客が、セキュリティ対策が脆弱な企業を信頼して利用する可能性が低くなります。
④その他の影響
1. 従業員の離職 ・・・ サイバー攻撃によって、従業員が不安やストレスを感じ、離職する可能性があります。
2. システムの脆弱性の暴露 ・・・ サイバー攻撃によって、システムの脆弱性が暴露される可能性があります。
3. サイバー攻撃による二次被害 ・・・ サイバー攻撃を受けた企業は、二次被害を受ける可能性が高くなります。
■それでは、社員は最低限何に気を付ければ被害を避けれるのでしょうか?
①パスワード管理
1. 強力なパスワードを設定する。(英数字や記号を組み合わせて8文字以上にする)
2. パスワードを使い分ける。(複数のサービスで同じパスワードを使用しない)
3. パスワード管理ツールを利用する。
4. 定期的にパスワードを変更する。
②メール
1. 不審なメールは開かない、添付ファイルを開かない、リンクをクリックしない。
2. 送信前にメールの内容をよく確認する。
3. 誤送信を防ぐための対策を講じる。
③Webサイト
1. 不審なWebサイトは閲覧しない。
2. 業務に関係ないWebサイトの閲覧を避ける。
3. 最新のセキュリティソフトを導入する。
④情報持ち出し
1. 会社の情報を無断で持ち出さない。
2. 持ち出す場合は、適切なセキュリティ対策を講じる。
⑤不審な点があれば報告する
1. 不審なメール、Webサイト、ファイルがあれば、速やかに情報セキュリティ担当者に報告する。
2. 最新のセキュリティパッチを適用する。
3. セキュリティに関する研修を受ける。
4. 情報セキュリティに関する意識を高める。
これらの対策は、主に基本的なものばかりですが、非常に重要な内容となっています。
社員一人ひとりが情報セキュリティ対策の必要性を理解し、意識をすることで、サイバー攻撃被害を防ぐことができます。
またサイバー攻撃は日々進化していますので、常に最新の情報セキュリティ対策を講じることが重要となります。
サイバー攻撃に関する知識を身につけ、個々で情報セキュリティに関する意識を高めていきましょう。