イノベーションの進展とともに、サイバー攻撃の脅威が増しています。

そのため、企業は一層サイバーセキュリティに取り組む必要があります。

サイバーセキュリティの施策には、どのような手法があるのでしょうか？

これまでの事例や対策に力を入れる業界を紹介し、サイバーセキュリティについて解説していきます。

サイバーセキュリティとは？

サイバーセキュリティとは、インターネット上にある情報の機密性と安全性を保ちながら、問題なく運用するための環境を構築することをいいます。

これまでいくつもの企業や国が、悪意をもったサイバー攻撃の被害に遭ってきました。情報の流出や業務がストップし、大きな損害が発生する事例は枚挙にいとまがありません。

また近年ではスマートフォンを初め、あらゆるものがインターネットに接続されており、個人の持つ情報も被害に遭うことが増えてきました。

扱う情報の重要性やデータの量によって、どの程度のセキュリティが必要かは変わるものの、不正なアクセスをシャットアウトし、正常に業務を行うために不可欠な技術です。

サイバーセキュリティの重要性は今後も高まっていく

デジタルテクノロジーの進化によって、国や人種にかかわらず多くの人々がインターネットにアクセスできるようになりました。

インフラの拡大にともなって、サイバー攻撃の被害は増加傾向にあります。

2021年時点で、サイバー攻撃によって世界にもたらされた被害総額は6兆ドルといわれていますが、2025年には10兆5000億ドルにまで増加すると予想されています。

サイバー攻撃はインターネットに接続している限り、事業規模にかかわらず誰もが標的になり得ます。

現在、多くの企業でDXが進められており、社内業務のITへの依存度が高まっています。

また携帯端末の普及により、個人が大量のデータを持ち歩くことが可能になりました。

気軽に扱えるようになった反面、誤った使い方をすることで、情報の漏えいやサイバー攻撃にさらされる事例も増加しています。

ここでは、サイバーセキュリティの不備が起こると企業にとってどのような被害があるのかを解説します。

機能の停止によって起こるビジネスチャンスの喪失

近年、あらゆる企業でDX（デジタルトランスフォーメーション）が進められ、さまざまな情報がインターネットを通して社内で共有されるようになり、業務をネットワーク上で行うことが増えてきました。

サイバー攻撃に晒されると、社内システムが停止し以下のような弊害があります。

• テレワーク機能の喪失
• 工場の生産ラインの停止
• 連絡手段の途絶
• 社内データの喪失

離れた営業所や自宅からネットワークにつながることで、これまで一つのオフィスや工場で行っていた業務を遠隔で管理できるようになりました。

仮に企業がサイバー攻撃を受けた場合、これまで当たり前に行っていた業務が止まり、ビジネスチャンスの喪失につながります。

情報の流出によって起こる信用の失墜

サイバー攻撃の中でも、特に目にする機会の多い問題は顧客情報の流出です。

情報が流出することで、以下のような二次被害が考えられます。

• 会社の信用失墜
• クレジットカードの不正利用
• 顧客情報の売買

クレジットカード会社や金融機関が管理する情報が、サイバー攻撃によって流出すると大きく報道されます。

流出した情報は不正なダークウェブで取引され、クレジットカードの不正利用や個人情報が悪用されることもあり、社会的に影響が大きいため、企業の信用失墜につながります。

被害が大きく誰もがターゲットになる

サーバー攻撃は、以下のものをターゲットにして行われます。

• 個人のスマホやパソコン
• 企業や国のデータベース
• 金融機関の保管情報
• そのほかインターネットに接続されるあらゆる機器

インターネットにつながっているものは個人、企業、公人、国など立場にかかわらず、いつサイバー攻撃の被害に晒されるかわかりません。

また我々の生活においてネットワークへの依存度は年々高くなっており、サイバー攻撃によって被害を受ける範囲や損失も拡大しています。

最悪の場合は事業が立ち行かなくなるほどの損害が発生する可能性も念頭に、対策を行う必要があります。

サイバー攻撃の被害にあった国内企業事例

2022年3月1日、トヨタ自動車のサプライヤーである小島プレス工業が、サイバー攻撃によるランサムウェア感染被害を受けました。

サーバーが1週間以上停止され、製造ラインの稼働も停止する事態が発生しました。その間トヨタの工場も稼働停止となり、約1万3000台の生産が見送られる影響が起こりました。

情報流出こそなかったものの、不正アクセスの原因はリモート接続機器のセキュリティに脆弱性があったことがわかっています。

被害額は数十億円以上ともいわれており、日本におけるサイバーセキュリティの重要性を表す代表的な事例です。

 

サイバー攻撃への対策方法

サイバー攻撃に対抗するための、基本的な方法を解説します。

とはいっても、日々進化するテクノロジー社会において完全にサイバー攻撃をシャットアウトする方法はありません。

可能な限りの対策をして、不正アクセスを受ける可能性を下げることで対応します。

ファイルサーバーを閉じる

ファイルサーバーとは、社内のデータを共有するためのサーバーです。

ファイルサーバーの特徴と役割は以下の通りです。

• データのバックアップと社内での共有
• 自社管理のオンプレミス型
• クラウド管理のクラウド型

ファイルサーバーは社内で扱うデータを集約することで、バックアップを作成したり、情報共有を行ったりするのに活用できます。

サイバーセキュリティの基本はファイルサーバーを閉じることにあります。

ファイルサーバーの種類として、自社のサーバーで管理するオンプレミス型、クラウドサービスを用いて管理するクラウド型があります。

オンプレミス型の場合は、自社でファイルの暗号化やアクセス制限を行い、ファイルサーバーを閉じた状態にする必要があります。

クラウド型は、インターネット上のサーバーを利用して管理を行います。

多くの場合は、クラウドサービスを提供する企業がセキュリティを担当します。

重要度の高い情報を扱っており、サイバーセキュリティに関する専門の部署がある大企業にオンプレミス型が採用されることが多く、反対に事業規模が小さな会社ではクラウド型が用いられます。

セキュリティの堅牢なアプリケーションの開発

近年は社内業務にアプリケーションを用いることも増えてきました。

アプリケーションに社内情報が保存されている場合、マルウェアの侵入により情報流出の危険性があります。

業務の遂行が困難になるばかりか、流出する情報によっては社会的な信用を大きく落としてしまいます。

アプリケーションのセキュリティを堅牢にするために、以下の点に注意しましょう。

• ログインパスワードの設定
• アクセス権限の階層化
• 社用端末の使用
• 取り扱いルールの作成

ログイン時にパスワードを要求するなど、アプリ開発時からリスクに備えておくことが大切です。

また携帯端末はなるべく社内でのみ使用し、アプリを社外に持ち出す際のルールの策定や、セキュリティの手法について社内教育も行う必要があります。

事業継続計画（BCP）の策定

万が一サイバー攻撃を受けて事業に大きな損害が出てしまった場合、一刻も早い復旧のためには事業継続計画（BCP）をあらかじめ立てておくことも重要です。

事業継続計画（BCP）の役割は以下の通りです。

• 異常事態における業務の継続計画
• 深刻なダメージを受けた後の事業の継続計画
• 異常事態時に備えた従業員の教育

事業継続計画（BCP）は組織が自然災害、テロ攻撃、サイバー攻撃などの異常事態や災害が発生した際に、業務を中断せずに継続できるようにするための計画です。

サイバーセキュリティにおいては、情報の流出や消失、システム障害、マルウェアの侵入などが起こった際にどのように対処し、今まで通りの業務を遂行するかを定めます。

具体的な例として、定期的なデータのバックアップなどが挙げられます。

また事業継続計画（BCP）を正しく実行するためには、トラブルに相対することを想定した研修も必要です。

社員教育

サイバーセキュリティを行う上で最も考慮すべきリスクは、ヒューマンエラーです。

どんなにサーバー上のセキュリティを堅牢にしても、人為的なミスによって社内の情報が外部へ流出するケースは必ず起こり得ると考えましょう。

ヒューマンエラーを防ぐためには、以下の点を徹底しましょう。

• 取り扱い情報に関するリテラシー研修
• ミスをした後の対処法の策定
• 情報を社外に持ち出す際のルール決め

メールの送信ミスなど業務上の基本的なミスから、重要な情報を社外に持ち出し紛失や盗難にあう、私用USBメモリからのマルウェアの侵入、公衆Wi-Fiへの社用パソコンの接続による情報の流出など、これらのリスクに対して社内研修を行い、サイバーセキュリティに関しての危機感を共有する必要があります。

中小企業は対策不要？

では、扱い情報の重要度がさほど高くない個人事業主や中小企業でも、サイバーセキュリティの対策は必要なのでしょうか？

もちろん、中小企業や個人事業主も最低限の対策を行わなければいけません。

扱う情報が少ない会社であっても、マルウェアが侵入した端末を使うことで意図せず周囲にマルウェアを広めてしまい、情報が流出することで取引先に損害を与える危険性もあります。

またサイバー攻撃にあった際は業務上の損害だけではなく、専門会社による調査を受ける必要があり、この費用がかなり高額になるケースがあります。

そのため、事業規模にかかわらずサイバー攻撃に備える必要があります。

ただオンプレイス型のファイルサーバーは管理が困難で、専門のエンジニアや部門が必要になります。

中小企業や個人事業主が取り入れるには現実的でないため、扱う情報の重要度がさほど高くない場合は、マイクロソフトをはじめとしたクラウドサービスを利用するといいでしょう。

クラウドサービスを提供する会社は堅牢なサイバーセキュリティ対策を行っており、自社で管理するよりも比較的安全に管理が可能です。

サイバーセキュリティ対策に取り組む業界・企業事例

サイバー攻撃によって、特に大きな打撃を受ける金融業界やネットワーク関連企業では、サーバーセキュリティ対策に積極的に取り組んでいます。

金融業界

金融業界はサイバー攻撃を受けることで大きな混乱を招くリスクが高いため、金融庁によって以下の取組方針が定められています。

• モニタリング演習の高度化
• 新たなリスクへの備え
• サイバーセキュリティ確保に向けた組織全体での取り組み
• 関係機関との連携強化
• 経済安全保障上の対応

また年々巧妙化するサイバー攻撃の手法やテクノロジーの変化に対し、サイバーセキュリティを行う側も新たな知見を得なければいけません。

そのため、官民一体となってサイバーセキュリティに対応できる人材の育成を行っています。

このプログラムでは、エンジニアの育成のみならず経営者や管理職、金融庁の担当者への啓蒙も取り入れられています。

その他にも、金融ISACを活用した情報共有や、業界横断的な対応演習の実施などさまざまな対策を行っています。

マイクロソフト

中小企業にとって、クラウドサービスは有効なサイバーセキュリティ対策の一つです。

その中でも、選択肢に上がりやすいのはマイクロソフトのクラウドサービスでしょう。

マイクロソフトのクラウドサービスには、以下のような強みがあります。

• サイバーセキュリティへの年間1000億円の投資
• 1日8兆件のサイバー攻撃対処実績
• 「バグバウンティ制度」の導入

マイクロソフトは特にサイバーセキュリティに力を入れている企業で、年間約1000億円もの投資を行っています。

実際にマイクロソフトでは、日に8兆件ものサイバー攻撃に対処しており、ここで得たナレッジは機械学習によってAIに蓄積され、未知のサイバー攻撃やサイバーテロへの対応に役立てられます。

また、サービスの脆弱性の報告に対して報奨金を与える「バグバウンティ制度」を実施しており、ユーザーから情報を吸い上げる施策にも取り組んでいます。

サイバーセキュリティ対策に取組む企業様へ

サイバーセキュリティは、これからの社会にとって組織を運営していくのであれば大きな課題となります。

実際に小島プレス工業のケースでは莫大な被害が発生し、事業規模が大きくなればなるほど深刻な事態になりかねません。

しかし、ただセキュリティソフトを導入すれば対応できるというものではなく、従業員の啓蒙や経営者自身も時代に合わせて、サイバーセキュリティに対する知識をアップデートさせていく必要があります。

「TACHIAGE（タチアゲ）」では、事業規模に合わせた最適なサイバーセキュリティの方法を提案し、今後の世界で考えられるサイバー攻撃に対処してまいります。

「TACHIAGE」とともに、貴社の事業とステークホルダーを守るための行動を初めてみませんか？