クラウドをはじめとするインターネットを介したツールは便利である一方で、セキュリティ面が気になるところ。特に個人情報など機密性の高い情報を扱うとなれば尚更です。今回は、デジタルセキュリティの最前線の情報と過去のサイバー攻撃の事例を踏まえ、どのように対策を施せば良いのかを解説します。
なぜデジタルセキュリティが必要なのか
デジタルセキュリティとは、サーバー内にあるデジタル情報やデバイス、資産を保護する手法のことです。社員や顧客の個人情報や重要なファイル、金銭などを守るために必ず対策をしなければなりません。
理由1:扱うデータ量が増えるとリスクが上がる
DXを推進するにつれ、インターネット上で共有するデータやソフトが増えて行きます。これまで紙で管理していたデータをクラウドシステムで管理したり、テレワークの普及により外部からサーバやシステムにアクセスできるようにしている企業も多いでしょう。営業情報やクライアント情報など、大切なデータが増えるほどサイバー攻撃に遭った時の被害も大きくなるため、強固なセキュリティが必要になります。
理由2:サイバー攻撃に遭う半数以上が中小企業
サイバー攻撃の標的は大企業が多いというイメージがあるかもしれませんが、中小企業も多くの被害を受けています。
2024年3月に 警察庁が発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年に都道府県警察から警察庁に報告のあったランサムウェアによる被害件数は197件でした。その内訳は大企業が71件、中小企業が102件、団体等が24件となっています。つまり、全体の52%が中小企業です。
感染経路はVPN機器からの侵入が63%、リモートデスクトップからの侵入が18%となっています。テレワーク等に利用される機器等の脆弱性や強度の弱い認証情報などを利用するものが多く、中小企業がターゲットになる要因として、侵入のしやすさも挙げられます。
参考:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
理由3:サイバー攻撃を受けると様々な損害を被ることになる
サイバー攻撃の被害に遭うと、さまざまな悪影響が企業を襲います。
復旧に費用がかかる
ランサムウェアなどの被害に遭うと、調査・復旧には多大な費用がかかります。前述の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、調査・復旧費用の総額に1,000万円以上の費用を費やした企業が全体の37%を占めています。
損害賠償
万が一、機密情報や顧客情報などが流出した場合、取引先や顧客へ損害賠償義務が発生する可能性があります。
信用失墜、ブランドイメージの低下
サイバー攻撃に遭うと、セキュリティ対策が疎かな企業だと取引先やステークホルダーからの信用を失います。SNSなどを通じて情報が急速に拡散する時代、企業のイメージが大きく損なわれるのはもちろん、一度失墜した信用を取り戻すのは容易なことではありません。
業務停止による機会損失
ニコニコ動画がランサムウェアの被害に遭い、復旧まで2ヶ月かかったというニュースは記憶に新しいですが、サイバー攻撃により業務が停止してしまうと大きな機会損失につながります。
セキュリティインシデント事例
では、具体的にどのようなサイバー攻撃が発生したのか。実際の被害事例をご紹介します。
事例1:サービス事業者の過失で約500万件の個人情報が流出
2019年1月、クラウドストレージサービスを行う企業が不正アクセスの被害を受けました。顧客の氏名、住所、メールアドレス、ログインID、パスワードなど約500万件の個人情報が流出してしまったのです。原因は機密情報を暗号化されていない状態で管理していたからです。第三者がデータを容易に閲覧できる状態になっていただけでなく、後に従業員によるファイルの不正持ち出しも発覚しました。
クラウドサービスを選択する際には情報セキュリティの管理基準が十分かどうかを確認した上で導入することが大切です。
事例2:インフラ事業者でアクセス権限の設定ミス
2023年にインフラ事業者で電子帳票のアクセス権限の設定ミスがあり、個人情報の漏洩可能性があったことが発表されました。具体的には、社内利用する各種帳票を電子データで格納するシステムにおいて、自社のみにあるはずのアクセス権限が、子会社から閲覧できる状態になっていました。約290万件分の顧客の名前、電気料金、使用量が漏洩しましたが、原因はアクセス権限を設定し間違えるという完全な『人的ミス』です。
事例3:電機会社でのサプライチェーン攻撃
2020年、ある電機会社が外部からの不正アクセスにより企業機密情報および個人顧客情報の漏出の被害を受けました。まずセキュリティ対策が脆弱な関連子会社が狙われ、そこから親会社のシステムへの不正アクセスが行われました。
自社のセキュリティ対策が万全であっても、関連会社のセキュリティが脆弱だと被害を受ける可能性があります。反対に、自社のセキュリティの不備のせいで他社に迷惑をかけてしまうこともあるので注意が必要です。
DXを推進する際に行うべきセキュリティ対策
では、具体的にどのようなデジタルセキュリティ対策を講じる必要があるのでしょうか。基本的にセキュリティ強度はシステムを提供するベンダーに委ねられることがほとんどですが、システムを使用する社員が心がけておくべきことも少なくありません。
セキュリティ対策は全社で取り組む
デジタルセキュリティは、一部のIT人材が担えば良いという問題ではありません。DXが進めばシステムを活用する業務は増えていきます。クラウドサービスを業務で使用する社員全員が高い意識を持つ必要があります。パスワードの管理、データの持ち出し、公共の場でのアクセスなどにおいて、ちょっとした油断がサイバー攻撃の対象となる可能性があることを認識しないといけません。
また、サーバーにどんな情報をアップしているか、どんな業務を行なっているか、部門横断でチームを組んでデータや業務の棚卸も行いましょう。その中でどれだけの資源をセキュリティに費やすかを検討することも重要です。
全社員のセキュリティに対するリテラシーを高める
世の中から犯罪がなくならないように、サイバー攻撃のリスクがゼロになることはありません。サイバー攻撃の内容も、年々巧妙になっています。サイバー攻撃に対する知識を深めるとともに、パスワードの管理方法や運用ルールを遵守する社員のセキュリティリテラシーを高めることも大切です。
システム導入時にはセキュリティ対策が万全かを要確認
第3回のブログでも詳しく触れましたが、クラウドシステムを導入する際には、セキュリティに定評のあるベンダーを選択するなど、十分にセキュリティ対策がなされているかを評価項目に入れましょう。
具体的にはセキュリティの認証を受けているかは最低限確認すべきです。また、IPアドレス制限など、外部からのアクセスを制限する機能を備えているか、万が一攻撃を受けた際にすぐ復旧できるようバックアップ体制が整えられているかも重要です。
AIの活用には細心の配慮を
DXにおいてAIも活躍の場が広がっています。その際、会社で取り扱っている個人情報や機密情報がAIの学習に利用されないようにしましょう。また、顧客からの問い合わせなどに自動対応するチャットボットの回答に、機密情報が含まれていたというケースもあるため、注意が必要です。
業務やデータの棚卸
クラウド上で膨大なデータを取り扱うため、セキュリティに力を入れるポイントを絞る必要があります。自社の各業務でどのようなデータが使用されているのかを可視化し、セキュリティ対策が必要なポイントをご提案します。
最適なシステムの選定とルールの策定
DXでは、現状やあるべき姿に合わせて必要な機能を備えたシステムを選定することが大切です。TOMAではお客様の業務内容、スタイルに合わせた最適なシステムをご提案します。
DXのセキュリティ対策がまだ不十分であり、社員によってセキュリティに対する意識に差がある場合は組織体制の調整も行います。パスワード管理などデータを扱う際のルール策定も支援します。初めてシステムを導入する場合はもちろん、現状のシステムの見直しを図りたい場合もお気軽にご相談ください。
今回ご紹介したデジタルセキュリティに関するサービスの詳細は以下になります。
また、TOMAでは定期的にIT・業務改善に関するメールマガジンを配信しております。こちらもぜひご登録ください。ご相談は以下、無料相談・お問合せよりご連絡ください。
