事業を営む上でもはや避けて通ることができない「IT」とのお付き合い。ただし、ちょっと難しい「IT」。
ただただ不安を煽られる「情報セキュリティ対策」問題。実際に何をどこまで対策すべきなのか。

この記事では、「情報セキュリティ対策」として、企業は最低限何をすべきなのかにフォーカスし、その実情についてご説明します。

情報セキュリティを取り巻くトレンドとキーワード

IPA(独立行政法人情報処理推進機構)監修による「情報セキュリティ10大脅威 2023」より、「組織」向け脅威トップ10の中から、筆者が特に気になるトピックを以下に抜粋しました。

※詳しくは下記URLを参照　https://www.ipa.go.jp/security/10threats/index.html

• 1位　ランサムウェアによる被害
• 5位　テレワーク等のニューノーマルな働き方を狙った攻撃
• 6位　修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)

コロナ禍で世の中が大きく変わり、自宅などのテレワーク先から会社に接続するためのリモートアクセスVPNの設定やメンテナンス不備をついた攻撃による、ランサムウェアの被害が拡大しました。

「ゼロデイ攻撃」は従来からある言わば伝統的な攻撃手法ですが、やはりまだまだ猛威を振るっています。

Emotet（エモテット）と呼ばれるかなり巧妙な侵入手段を駆使するマルウェアは、定期的に流行を繰り返し、ランサムウェア被害拡大の現況となっています。特にウクライナ情勢の悪化後はその拡大状況は顕著なものとなりました。

※IPA「Emotet(エモテット)関連情　https://www.ipa.go.jp/security/emotet/index.html

ランサムウェアの凶悪さは事業継続性に甚大なダメージをもたらします。ランサムウェアに感染すると、データを全て暗号化され、利用者からは読み出せない状態になります。そして「復号化したければビットコインで身代金（ransom）を払え」という要求をされます。現実的にはデータの復号化はかなり困難で、データを復旧するには、バックアップからデータを救済するしか無いというのが現状です。

残念ながら、マルウェアは「凶悪化」かつ「巧妙化」しており、侵入を100%防ぐことはもはや限りなく不可能に近く、かつ凶悪なマルウェアに感染してしまうと、事業自体の存続性に大きな影響を与えてしまいます。

中小企業が取るべき最低限の「情報セキュリティ」対策

それでは、本題。最低限、我々は何をやるべきか。世の中には優れたソリューションで溢れており、お金をかければかけただけ、対策としてはその完成度が上がっていくことは事実です。ただし、事業継続のための投資が、事業本体を圧迫することは本末転倒です。また、ソリューションは導入後、適切に運用するという業務負荷が発生します。

上記を踏まえ、中小企業が最低限実施すべきと考える対策は以下の通りです。

IPA「中小企業情報セキュリティ対策ガイドライン」の活用

「5分でできる！情報セキュリティ自社診断」や「情報セキュリティ関連規程」はとてもよくできています。詳しくは下記URLを参照 ください。https://www.ipa.go.jp/security/guide/sme/about.html

サードパーティ製のアンチウィルスソフトを利用する

業務ではWindowsPCを使われている企業が多いと思います。Windowsには「Windows Defender」という無償のウィルス対策ソフトが標準装備されていますが、これは最低限の動作しかしないため、上述した「ゼロデイ攻撃」への対応が難しく、現代的とは言えません。

サードパーティ製のウィルス対策ソフトを利用し、「振る舞い検知」と呼ばれる機能（「ウィルスらしさ」を判定する）を活用することで、検知の確率を上げることが可能です。最低限、ウィルス対策ソフトは購入しましょう。

セキュリティ・パッチを迅速に適用する

ソフトウェアやハードウェアの脆弱性に関する情報は、修正するセキュリティパッチと共に公開されます。
一方で攻撃者にもその情報は知れ渡ることになります。攻撃者は公表された脆弱性をついた攻撃を行う事が可能になります。セキュリティパッチは可能な限り速やかに適用しましょう。

適切なパスワード運用(二要素認証含む)

推測されやすい簡単なパスワードのまま機器を使用しない、パスワードを使いまわししない、等の基本的な対策は大前提です。昨今では「クラウド・ファースト」というワードが話題になりましたが、自社のシステムもクラウドで運用されている企業は増えていることでしょう。

クラウドは便利な半面、認証情報さえ知っていれば、どこからでもアクセスできてしまうという大きな脅威があります。適切なパスワードの運用は大前提として、ワンタイムパスワードと組み合わせた「多要素認証」などを必ず設定した上で利用されることをお薦めします。

適切なデータバックアップ運用

多発及び甚大化する自然災害や、上述したランサムウェアの蔓延を踏まえ、データのバックアップに関する考え方も変わってきています。データのバックアップを取得することは大前提ですが、マスタデータとバックアップデータは地理的に離れた場所に確保しましょう。

地震、水害、または火災などで被災した場合また、ランサムウェアでデータが暗号化されてしまった場合、マスタデータとバックアップデータが同じ場所にあると両方とも同時に失ってしまう可能性が大です。全くバックアップの意味が有りません。クラウドバックアップや遠隔地バックアップの方法を検討しましょう。

まとめ

JASA「特定非営利活動法人 日本セキュリティ監査協会」が公表している「2023 年情報セキュリティ十大トレンド」の第3位には「サイバーランサムによってあぶりだされる「怠け者システム管理者」や「ダメ経営者」」と多少ラディカルな言葉でシステム管理者の怠慢と経営者の無知無策を断罪しています。

情報セキュリティ対策は、いわば経営の守備固めです。情報セキュリティ対策は「保険」の要素が強いと考えています。
経営者からすると、投資対効果が見えにくいため、どうしても投資をためらいがち。

サイバー保険が、万が一、事故を起こしてしまった後の対策だとすれば、ここで言う「情報セキュリティ対策」は万が一の事故を未然に防ぐための対策。「情報セキュリティ対策」において、何をどこまでやるかは、まさに経営判断。
ここでは、最低限の対策について言及しましたが、「経営判断」を下すための情報が足りない場合は、迷わず専門家に相談しましょう。

著者

丸山誠司（ノールネットワークス株式会社　代表取締役）
昭和51年佐世保市生まれ、佐世保北高校卒。
ネットワーク設計において、セキュリティに関する検討は必須となっており、日々
セキュアなネットワークを検討する中で得た知見をベースに、地域の皆様の情報
セキュリティ対策のご支援をしています。ネットワーク・エンジニア歴20年。

https://knoll-networks.co.jp/