ICTソリューション紹介

情報セキュリティ対策の必要性とその強化法

「情報セキュリティの重要性は理解しているつもりだが、どこから手を付けていいのか分からない」と思っている経営者の方も、多いのではないでしょうか。この連載では、IPA(独立行政法人 情報処理推進機構セキュリティセンター)の監修のもと、合計4回にわたり、情報セキュリティ強化の必要性とそのノウハウを、分かりやすくご案内します。

情報セキュリティは、現在の企業経営において、最重要課題の一つとなっています。なぜなら個人情報漏えいなど、情報セキュリティに関わる事故は、企業のイメージダウンや顧客離れにもつながり、場合によっては経営の根幹に関わるダメージを与えることになるからです。

セキュリティ対策の甘い企業が標的になる

  • ▲技術本部 セキュリティセンター
    情報セキュリティ技術ラボラトリー
    IPA-CERT 主任研究員
    渡辺 貴仁氏

    そして不正アクセスによる攻撃は、多くのサービスがインターネットにつながったサーバやコンピュータを介して提供されている現代社会において、どんな企業においても「直面せざるを得ないリスク」となっています。犯罪者の前で「うちは有名な会社ではないし、そんな大事な情報を扱っているわけでもないから大丈夫だろう」という考えは通用しません。犯罪者はまず投網をかけるようにセキュリティ対策の甘い企業を探し出し、そこに金銭的なメリットを求めて不正アクセスなどを試みるからです。

    二つほど例を挙げましょう。

【事例1】インターネットバンキングを狙った不正送金

まず一つ目は、企業が利用するインターネットバンキングが狙われたケースです。

個人に比べて、企業のインターネットバンキングは、預金残高、振り込み可能額とも大きく、不正アクセスによる被害を受けるケースが増えています。

その典型的な手口は、銀行を騙るメールで偽のインターネットバンキングのページに誘導したり、ウイルスに感染させるなどして偽装したポップアップウインドウを表示し、利用者にID・パスワードや乱数表・合言葉といった第二認証情報を入力させるというものです。入力した情報は正規の銀行ではなく犯罪者に送られ、その情報をもとに利用者になりすまし、犯罪者の口座に送金してしまうのです。2014年には、1件で最大3,600万円という多額の不正送金の被害にあった例も、IPAに報告されています。

実際、公的機関も、こうしたインターネットバンキングに対する被害の広がりを警告しています。今年2月に警察庁が発表した「不正送金事犯の発生状況について」というレポートによると、平成26年に確認された不正送金は1,876件で、被害額は約29億1,000万円(うち、金融機関が不正送金を阻止した額を差し引いた実質的な被害額は約24億3,600万円)にも上っているのです。

【事例2】個人情報の漏えい

もう一つは、ECサイト運営企業がターゲットとなった例です。

この企業は売上高こそ年商2億円くらいですが、ある分野でトップのシェアを持っていました。しかしこの企業が犯罪者による不正な攻撃によりウイルス感染したことで、クレジットカード番号を含む個人情報を盗み取られてしまったのです。そしてこの事件は同社のクレジットカード加盟店契約にも影響を与えました。クレジットカード加盟店契約は、新規の場合、比較的間口が広く、所定の要件が整っていれば審査はクリアできます。しかしいったんこうした流出事故を起こしてしまうと、加盟店契約を続けるために社内の情報管理体制などが厳しくチェックされるなど、ハードルが一気に高くなってしまうのです。

この企業はそうした新たな要件を満たすことができずに加盟店契約を継続できなかったため、カード決済代行会社による決済サービスを利用せざるを得なくなりました。同社は信頼失墜で売り上げが約半減した上、カード決済代行会社に支払う手数料も必要になり、経営環境が一気に悪化してしまったのです。

これら実例としてとりあげたインターネットバンキングやECサイトでのクレジットカードによる決済は、現在数多くの企業で利用されています。そういう意味でも、冒頭に申し上げた「どんな企業であっても、リスクにさらされている」ということがおわかりいただけるでしょう。

情報セキュリティ対策を強化する方法 「5分でできる自社診断」

  • ▲技術本部 セキュリティセンター
    調査役
    石井 茂氏

    では、こうしたリスクに対応する情報セキュリティ対策を強化するには、どうすればいいのでしょうか?

    特に社内に情報システム部門がなく、PCの導入や環境の構築も部署それぞれが行っているような企業では、「まずどこから手を付けるのか?」というところから頭を悩ますことになると思います。

    そうした企業のご担当者の方々に、ぜひご利用していただきたいのが、IPAが制作した「5分でできる自社診断シート/同パンフレット」です。シートには合計25個の設問(診断項目)があり、それぞれについて4つの選択肢が用意されています。この選択肢から回答を選び、点数を合計することで、社内のセキュリティレベルが測定できるのです。

診断項目は「重要情報の保管、持ち出し、廃棄」といった情報の取り扱いそのものから、PCのセキュリティ対策、万一情報流出が起こった場合の対応策まで、多岐にわたっています。そして個別の設問について、パンフレットでその重要性と対策が詳しく解説されています。そのため「いま自社がどのような状況にあるのか」「まずとるべき対策は何なのか」が、容易に判断できるのです。

この「自社診断シート」に記載された内容をすべてクリアした企業向けには、別の小冊子「中小企業における組織的な情報セキュリティ対策ガイドライン」が用意されています。こちらの冊子の内容を理解し、実行に移せば、御社のセキュリティ対策は格段に強化されると思っていいでしょう。

これらは、IPAのウェブサイト(https://www.ipa.go.jp/index.html)からPDF形式でダウンロードできます。ぜひダウンロードして、御社のセキュリティ状況のチェックと強化にお役立てください。

次回以降の連載では、PCのウイルス対策やインターネット利用における注意点など、より具体的なセキュリティ対策を、不正アクセスなどの事例をもとに、ご紹介していきたいと思います。

組織名 IPA(独立行政法人情報処理推進機構)セキュリティセンター
事業内容 「利用者視点に立った複雑、膨大化する情報社会システムの安全性・信頼性の確保」を理念として、さまざまな活動を実施。
URL http://www.ipa.go.jp/security/

関連記事

入会のご案内

電話応対教育とICT活用推進による、
社内の人材育成や生産性の向上に貢献致します。

ご入会のお申込みはこちら