今必要な
情報セキュリティ対策とは?
脅威に対して企業がすべきこと

技術の発展に伴い、セキュリティリスクも日々深刻化しています。
今企業が行うべきセキュリティ対策とは何なのでしょうか。
ALSOKが様々な脅威から大切な情報を守ります。

お問い合わせ・お見積

商品に関するお問合せ、お見積のご依頼
営業担当からの説明をご希望の方

情報セキュリティ対策とは

情報セキュリティ対策とは、サイバー攻撃や内部不正などのリスクから情報資産を守るために行うセキュリティ対策のことです。

情報セキュリティ対策の重要性

企業には、顧客・社員の個人情報や営業秘密、製品情報など多くの情報を保有しています。 万が一、情報セキュリティ事故が発生した場合、これらの情報が外部へ流出することになります。その結果、企業の信用失墜や顧客離れ、株価下落、損害賠償など、大きな損失を招くことになります。
また、年々サイバー攻撃の件数は増加するだけではなく、対策が十分に行われていない中堅・中小企業が多く狙われています。企業の大小を問わず身近な脅威となりえるため、情報セキュリティ対策はどの企業でも必要不可欠なものとなっています。

サイバー犯罪の検挙件数の推移
出典:警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について
ランサム攻撃の被害を受けた企業規模内訳
出典:警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について

情報セキュリティ対策投資を行わないと…

ところが、情報処理推進機構の調査によると、約3割の中小企業が「情報セキュリティ投資を行っていない」と回答しています。その主な理由は、「コストがかかりすぎる」や「費用対効果が見えない」など、コストに関するものでした。情報セキュリティ対策は本当に費用対効果が見えないものなのでしょうか。

直近過去3期の情報セキュリティ対策投資額
出典:情報処理推進機構 2021年度 中小企業における情報セキュリティ対策に関する実態調査
情報セキュリティ対策投資を行わなかった理由
出典:情報処理推進機構 2021年度 中小企業における情報セキュリティ対策に関する実態調査

情報セキュリティ事故が発生した場合、事態の収束のためには調査・復旧対応や顧客対応、損害賠償、訴訟費用に至るまであらゆるところで費用が発生します。結果として、復旧までに数億円かかる例も少なくありません。警察庁の調査によると、情報セキュリティ事故が発生した場合、約3割の企業で復旧までに1,000万円以上の費用を要しています。
情報セキュリティ対策は、このような大損失を防ぐための「費用対効果が明確な投資」であると言えます。

復旧費用の総額
出典:警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について

2024年の情報セキュリティ10大脅威

情報セキュリティ対策を進めるうえで参考にしたいのが、「情報セキュリティ10大脅威」です。本資料は情報処理推進機構が毎年発表しており、前年のセキュリティ事案から社会的影響の大きい脅威を審議・投票によりランキング化したもので、セキュリティの動向を把握することができます。

出典:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2024

1位 ランサムウェアによる被害

感染することでPCやサーバのファイルを暗号化し使用できなくされ、その解除と引き換えに身代金を要求するような攻撃を行うウイルスの一種です。
ランサムウェアの被害に遭った場合、PCやサーバのファイルが使用できないため、業務がストップしてしまいます。ハッカーはその解除と引き換えに身代金を要求してきます。中規模企業の場合、身代金の平均額は約3,900万円とされ、仮に支払ったとしてもデータが戻る確証はありません。また、復旧にかかる総額は身代金の約7倍と算出されており、事業の継続に非常に大きな影響をもたらす脅威となっています。

対策

  • OSやソフトウェアのバージョンを常に最新状態に保つ
     →最新状態を保つことで、脆弱性を悪用した攻撃に対する防御力を高めることができます。
  • ウイルス対策ソフトを導入する
     →既知のウイルス(既に世の中に出回っているウイルス)の感染を防ぐことができます。
  • データ復旧ができるソリューションを導入する
     →ランサムウェア攻撃を受けた場合にデータを復元できるシステムを導入する。

ALSOKがおすすめする対策

2位 サプライチェーンの弱点を悪用した攻撃

セキュリティ対策が万全な企業ではなく、その取引先のセキュリティ対策が不十分な企業を標的とした攻撃のことです。その取引先が攻撃を受けると、そこからサプライチェーン上流の企業にも攻撃が及んでしまいます。
2022年3月の某自動車製造業へのサプライチェーン攻撃では、丸一日国内工場が全停止し、自動車の製造約13,000台の生産に遅れが生じました。

対策

  • OSやソフトウェアのバージョンを常に最新状態に保つ
     →自社がサプライチェーン上の弱点とならないよう、必要最低限の対策を実施しましょう。
  • 第三者によるセキュリティ診断を受ける
     →客観的な診断を受けることによって、自社のセキュリティの弱点や、次に取るべき対策を把握することができます。
  • 調達先、取引先のセキュリティ状況を確認する
     →サプライチェーンでつながっていると、他社のリスクも共有することとなります。自社だけではなく、他社にも気を配りましょう。

ALSOKがおすすめする対策

  • ALSOK UTM運用サービス
     →UTM(監視装置)によって、不審な通信をブロック
  • ALSOK IT資産管理
     →ALSOKの手厚い運用サポートによって手軽に脆弱性対策
  • 「セキュリティ診断」
     →ALSOKが厳選した企業による、高品質な診断をご提供
  • サプライチェーン同士で相互にセキュリティ状況の確認
     →状況を相互確認し、協力し合うことでサプライチェーンを強固に

3位 内部不正による情報漏えい

企業に所属している、もしくは所属していた人物が機密情報を持ち出し悪用する不正行為のことです。特に退職の際に顧客情報などを持ち出すケースが多く、注意が必要です。
2014年に某大手企業で起きた内部不正事件では3,500万人分の個人情報が流出し、補償や再発防止対策などにより約260億円の損失が発生しました。サイバー攻撃よりも、内部犯行による情報漏えいの方が被害額が高くなる傾向があります。同時に企業の信頼も大きく低下する脅威となっています。

対策

  • 操作ログの取得を行う
     →操作ログの取得によって、必ず発覚する環境を作ることで、内部不正の抑止につながります。
  • 社員に情報セキュリティ教育を実施する
     →社員一人一人のリテラシーを高めることで、内部不正を起こしにくい環境を作ることができます。
  • 情報の取り扱いルールを制定する
     →情報資産の持ち出しや、アクセス権限の在り方、重要情報の管理方法などをルール化し、周知することで内部不正の言い訳ができない環境を作りましょう。

ALSOKがおすすめする対策

4位 標的型攻撃による機密情報の窃取

特定の企業や組織などの関係者を装ったウイルス付きのメールを送付し、ウイルスに感染させることで機密情報を窃取する攻撃のことです。
標的型攻撃に遭うと機密情報の漏えいが発生します。機密情報が漏えいした場合は、システムの復旧や是正に加えて、データ提供元への慰謝料や損害賠償なども発生します。
過去の個人情報漏えい事件の裁判では、原告13名にそれぞれ35,000円、1名に22,000円の支払い命令が下るなど、流出件数によっては非常に大きな被害となります。

対策

  • 社員に情報セキュリティ教育を実施する
     →社内で情報セキュリティ教育を行うことで、標的型攻撃に対する防御力と対応力を、社内全体で高めていくことができます。
  • 最新の脅威、攻撃の手口を知る
     →どのような脅威があるのか、どのような手口があるのかを知ることによって、セキュリティ意識が高い状態を維持することができます。
  • メールの不審なファイルやリンクはクリックしない
     →標的型攻撃はメールを介してウイルスを送り込むため、ウイルスの可能性のある不審なファイルやリンクはクリックしないようにしましょう。

ALSOKがおすすめする対策

5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

ソフトウェアの脆弱性を修正するプログラムが公開されるよりも速く、脆弱性を悪用したサイバー攻撃を行うことです。7位と同様、ほぼすべてのソフトウェアが攻撃対象となる可能性のある攻撃です。
年々脆弱性の数が増えており、そこを狙ったゼロデイ攻撃により、今後も脅威が増大していく恐れがあります。

対策

  • 複数のセキュリティ対策を何重にも講じる
     →防ぐことが難しい攻撃だからこそ、複数の対策を行うことでリスクを軽減することが重要です。
  • 通信の監視、遮断ができるツールを導入する
     →攻撃の予兆や、攻撃を早期に検出することで、被害の未然防止、拡大防止につながります。
  • 迅速に対応できる体制(CSIRT等)を構築する
     →対策が難しい攻撃のため、攻撃を受けた後すぐに対応に移ることができる体制づくりが重要となります。

ALSOKがおすすめする対策

6位 不注意による情報漏えい等の被害

企業の機密情報等を従業員がメール誤送信や、USBメモリの紛失等の不注意によって外部へ漏洩させてしまう事故のことです。当人には悪意が無くとも大きな被害につながる可能性があります。
NPO法人日本ネットワークセキュリティ協会の調査によると、情報漏洩のうち24.6%が誤操作によるものです。また、誤操作はサイバー攻撃などと異なり、毎年一定の割合で発生しているため常に注意が必要です。

対策

  • メール誤送信対策として、ダブルチェックを実施する
     →送付先に間違いが無いか第三者に確認してもらうことで、誤送信を防ぐことにつながります。
  • USBメモリの紛失対策として、セキュリティ機能付きUSBメモリを利用する
     →暗号化機能や、パスワード認証機能によって、第三者にデータを見られる可能性を下げることができます。
  • 全般的な不注意への対策として、社員に情報セキュリティ教育を実施する
     →不注意を起こさないためには、社員一人一人の心がけが重要となってきます。定期的にセキュリティ教育を実施してセキュリティ意識の底上げを図っていきましょう。

ALSOKがおすすめする対策

7位 脆弱性対策情報の公開に伴う悪用増加

公開されているソフトウェアの脆弱性(セキュリティ上の弱点)情報を悪用して、その対策を行っていない企業を狙う攻撃のことです。
ほぼすべてのソフトウェアが攻撃対象となる可能性のある攻撃です。

対策

  • 自社で利用しているツールの脆弱性情報を収集する
     →重大な脆弱性が発見されたとき、自社で利用しているツールが該当するかを、すぐに把握できるようにしておきましょう。
  • 通信の監視、遮断ができるツールを導入する
     →攻撃の予兆や、攻撃を早期に検出することで、被害の未然防止、拡大防止につながります。
  • 迅速に対応できる体制(CSIRT等)を構築する
     →脆弱性に対応する前に、無差別で攻撃を受ける可能性があるため、万が一に備えておくことが重要です。

ALSOKがおすすめする対策

8位 ビジネスメール詐欺による金銭被害

巧妙な偽メールによって企業の従業員を騙し、金銭を騙し取る攻撃のことです。近年は内容が巧妙化しており、本物と見分けがつきにくくなっています。
近年では、新型コロナウイルスに関する内容や社長やCEOを騙るケースが増加しており注意が必要です。

対策

  • 最新の脅威、攻撃の手口を知る
     →ビジネスメール詐欺対策で最も重要なポイントは、不審だと気付くことです。最新の脅威や手口を学ぶことで、不審なメールに気付く確率を高めることができます。
  • 不審な内容は、別の手段で事実確認を行う
     →メールで不審な内容を見つけたとき、電話等で事実確認し、そのメールの真正性を確かめましょう。
  • 社員に情報セキュリティ教育を実施する
     →被害を受けた後の対応、報告先を周知することで、被害の早期収束に役立ちます。

ALSOKがおすすめする対策

9位 テレワーク等のニューノーマルな働き方を狙った攻撃

テレワーク環境を狙った攻撃のことです。新型コロナウイルスの流行により、急遽テレワークに移行した対策が不十分な企業が狙われる傾向があります。
海外の某研究所では、研究アシスタントに従事していた学生の自宅PCがウイルスに感染したことで、研究所へのリモート接続に関する情報を盗まれ攻撃を受けました。某研究所は、結果として1週間分の研究データの消失、また1週間ネットワークが使えなくなる被害が発生しました。このように、自宅から企業へ被害がつながることで新たな脅威も発生しています。

対策

  • IT資産の管理を徹底する
     →テレワークに用いる機器に脆弱性があると、そこを狙われる危険性が高まります。そのため脆弱性が残らないよう、徹底して管理しましょう。
  • セキュリティ対策が整ったテレワークツールを導入する
     →テレワークツールは多数存在しますが、セキュリティ対策の整ったツールを選びましょう。
  • テレワークにおけるルールを定め、周知する
     →テレワークは離れた場所で働くため、従業員の管理が難しくなります。そのためルール化し、それを周知することが重要となります。

ALSOKがおすすめする対策

  • ALSOK IT資産管理
     →テレワークと相性抜群のIT資産管理ソフト
  • ALSOK UTM運用サービス
     →UTM(監視装置)によって不審な通信をブロック
  • ALSOK リモートデスクトップ
     →高セキュリティ・低遅延の高品質なテレワークツール
  • 各省庁の公開情報の活用
     →厚生労働省・総務省の、「テレワーク総合ポータルサイト」等で情報収集

10位 犯罪のビジネス化(アンダーグランドサービス)

企業のDXが進むにつれて、企業がもつ個人情報や機密情報といった「情報」は金銭的な価値を持つようになってきました。
それに伴い、サイバー攻撃の目的も自身のスキルをアピールするような「愉快犯」から金銭目的の「ビジネス目的」に変化しています。
このような環境の変化から、アンダーグラウンド市場では、サイバー攻撃に必要なツールや代行サービス等が販売されるようになりました。
これらを活用することで、高度な専門知識なしで誰でも容易にサイバー攻撃が可能になり、ランサムウェアなどによる被害の増加が懸念されています。

対策

  • ネットワーク機器の脆弱性対策
     →犯罪のビジネス化を代表するランサムウェアの多くは、ネットワーク機器の脆弱性をついて攻撃してきます。パソコンのOSのようにネットワーク機器の脆弱性にも対処しましょう。
  • 迅速に対応できる体制(CSIRT等)を構築する
     →犯罪のビジネス化によって、ランサムウェア以外にも様々なサイバー攻撃が行われています。どのような攻撃でも迅速に対応できるような体制を整えておきましょう。
  • 最新の脅威、攻撃の手口を知る
     →アンダーグラウンド市場の最新動向を知り、攻撃に備えることで被害を最小限に抑えることができます。

ALSOKがおすすめする対策

ALSOKの情報セキュリティ対策

情報セキュリティのお困りごとを解決
~24時間365日の監視・サポートで安全安心を~

IoT機器や5G、テレワークなど、新たな技術の普及によって私たちの暮らしは大きく変わりました。一方でサイバー攻撃の手口も複雑化・巧妙化を続けており、対策が必要になっています。
ALSOKではこれらのリスクに対応すべく、多層防御の考え方を軸にした情報セキュリティ製品をご用意しております。また、機械警備のノウハウを活用した「情報警備監視センター」で24時間365日の監視・運用サポートを提供しています。企業のリスクを低減するとともに情報セキュリティの担当者が社内にいなくても、お客様に代わってセキュリティを整備し、サイバー空間における「安全・安心」の確保をサポートいたします。

直近過去3期の情報セキュリティ対策投資額

ALSOKだからこそ出来るトータルなセキュリティソリューション

ポイント①
警備のプロだからできる、24時間365日運用監視体制
ポイント②
外部のサイバーセキュリティに関わる機関での勤務経験がある専門人材によるサービス提供
ポイント③
オフィス環境だけではない、自治体や病院、工場等の、特殊なネットワークへの対策

まずはお気軽に
お問い合わせください

お問い合わせ・お見積

商品に関するお問合せ、お見積のご依頼
営業担当からの説明をご希望の方

ALSOKの情報セキュリティサービス一覧

ネットワーク内の情報資産や顧客情報を、外部脅威から守る
特長・ポイント
  • ネットワークの不正利用を防止・監視
パソコンへの負荷が少なく、動作が軽快なウイルス対策ソフト
特長・ポイント
  • 1ライセンスあたりの費用が安価でお手軽
  • 未知のウイルスにも最短5分で対応
AIによって脅威を検知し、復旧までを自動で行う
特長・ポイント
  • 1ライセンスから購入可能。ロールバック機能でランサムウェア対策にも
パソコンやモバイル端末管理の「導入」から「運用」までサポート
特長・ポイント
  • IT資産管理システムの導入から運用までを全面サポート
企業を狙った標的型攻撃に対する総合的な対策をご提供
特長・ポイント
  • 被害が急増している企業ホームページの改ざん対策に
標的型メールの疑似体験を通じた情報リテラシー向上プログラム
特長・ポイント
  • 啓蒙効果の高い体験型訓練サービス
「安全」かつ「簡単」に在宅勤務を実現
特長・ポイント
  • ソフトのインストールだけでテレワークを簡単に導入
警備会社ならではの幅広い視野で、地域金融機関のITセキュリティをトータルサポート
特長・ポイント
  • 警備会社ならではの幅広い視野で、地域金融機関のITセキュリティをトータルサポート