情シスが知っておくべきセキュリティ問題とは？打つべき対策も解説

近年のリモートワーク推進によって、機密情報の外部漏洩を防止する必要性が高まりました。

そのなかで、情シスのセキュリティ対策が注目されています。
しかし、情報システムに詳しい人材が不足している影響により、業務過多の問題が深刻です。
そのため、セキュリティの脆弱性が懸念されています。

実際には、情シスが抱えるセキュリティ問題について関心の薄い中小企業も少なくありません。
セキュリティ対策を怠ると、外部ウイルスが会社経営の脅威になりかねないため、できるかぎり迅速に対策を講じるべきです。

今回は年間対応件数17万件超のサポート人員、情シス代行でお客様満足度98.2%の弊社が、情シスのセキュリティ問題について解説します。
本記事を読むことで、情シスのセキュリティ対策を見直す機会になります。

1.情シスが抱えるセキュリティ問題とは？

近年では、デバイスやネットワークの多様化の背景から、サーバー攻撃は年々高度化・複雑化しており、企業にとって脅威となっている現状があります。

インターネットバンキングの不正送金や、特定企業の情報資産を狙った標的型サイバー攻撃、内部の不正行為による情報漏えいなど、セキュリティ対策が不十分だと、幅広い危険性を含んでいるのも事実です。
そこで、国内の多くの企業でセキュリティ研修が行われたり、新たな法律ができたりするなど、ITセキュリティの重要性が増しています。

その一方で、情シス部門の人手不足やセキュリティ知識不足などの問題を抱えている企業も少なくありません。
情シスが1人、または少人数しか存在しない企業もあり、普段の煩雑な業務に加えてセキュリティまで少数で管理するのは困難です。

2.セキュリティ対策を行う理由

セキュリティ対策とは、ウイルス感染やシステムの不正アクセス、個人情報等の漏えい、災害などによる機器障害を未然に防ぐ施策です。

「パソコンでメールの添付ファイルを開封したらウイルスに感染して清報が流出した」など、サイバー攻撃による被害ニュースが取り上げられる機会が増えています。
セキュリティ対策が十分でないと、第三者へ情報が流出したり、ときには企業経営に影響を与えたりするほどの損害を被る危険性があるのも事実です。

また、新型コロナウイルス感染症の影響などにより、テレワークを導入する企業が増えた影響から、社外からのアクセスを前提としたセキュリティ対策も求められるようになりました。
今までは企業内で行った対策によってリスクを軽減していたものの、現在ではテレワークによって多層防御の傘を外れた外部からPC端末でインターネット接続するため、さまざまな脅威が直接PC端末に侵入する可能性が高まっています。

情報の流出だけでなく経営的なリスクを防ぐためにも、情シスのセキュリティ対策は、企業がとりくむべき最優先課題といえます。

3.セキュリティ対策を怠ることで発生するリスク

システムや情報はさまざまな脅威にさらされています。
サイバー攻撃や目に見えないウイルスだけでなく、周りの人間ですら脅威になるのです。

情シスのセキュリティ対策が不十分だった場合のリスクについてご説明します。

3-1.コンピューターウイルス

コンピューターウイルスとは、インターネット上に存在する「マルウェア」の一種で、他のファイルに寄生して増殖します。
電子メールやホームページ閲覧などによってコンピュータに侵入する特殊なプログラムのひとつで、ユーザーの意図に反する動作を行うため非常に厄介です。

例えば、電子メールの添付ファイルを主な感染経路とする不正プログラム「Emotet（エモテット）」は、2021年1月27日のEUROPOL（欧州刑事警察機構）を中心とした停止措置により活動を停止していましたが、2021年11月中旬ころから活動の再開が確認されました。

Emotetは、主にメールの添付ファイルを感染経路とした不正プログラムです。

過去にやり取りしたメールへの返信を装ったメールを送信し、添付ファイルの開封を促します。
添付ファイルを開き、感染したパソコンからメールアカウント、やパスワード、メール本文などさまざまな情報を盗みます。
そのうえで、自身がメーリングリストに登録しているほかのユーザーに、ウイルスが添付されたメールを自動送信してしまいます。

Emotetは感染力・拡散力がともに高く、感染すると「加害者側」に回ってしまう点が厄介です。
Emotetは情報窃取だけでなくあらゆるマルウェアへの感染を広げるプラットフォームとしての役割も担っているため、非常に危険なマルウェアと言えます。

3-2.ランサムウェア

ランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語です。

身代金の要求を目的とした悪意のあるプログラムで、マルウェアの一種とされます。
2020年には、組織や企業を脅かした危険性の1位に、「ランサムウェアによる被害」が情報セキュリティの脅威として挙げられています。

システムのハードディスクを暗号化しパソコン内のデータの読み込みを妨害したり、感染PCの特定機能を無効化し操作不能にしたり、スマートフォンが操作不能になるなど、端末の操作を制限される点がランサムウェアの特徴です。
制限を解除する条件として、金銭を要求する画面が表示されます。ただし、要求に応えたとしてもデータを復旧できる保証はありません。

ランサムウェアのもうひとつの特徴として、身元を隠しやすいビットコインでの支払い要求が多い傾向が挙げられます。
サイバー犯罪者が抱えていた「身元を明らかにせずに金銭を受け取る方法」を仮想通貨が解決してしまった為、支払い後に警察に通報しても犯人を見つけられないケースが多くなっています。

サイバー攻撃は年々巧妙化しており、対策もいたちごっこなのが現状です。

特に新型コロナウイルス感染拡大による在宅勤務・テレワークの普及後は、セキュリティの脆弱性を狙ったランサムウェアなどの被害件数が増加傾向にあります。
最近では高額な身代金目的で企業をターゲットにしたランサムウェアが増えています。

なかには人命が関わる医療機関や私たちの生活に欠かせない銀行などに攻撃される事例もあり、想定される被害の深刻さから、情シスが行うセキュリティ対策の中でも特に重要です。

3-3.人的ミスによる外部漏洩

特定非営利法人日本ネットワークセキュリティ協会（JNSA）が出す「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの半数以上が「紛失・置き忘れ」「誤操作」などの人的ミスが原因で発生しています。

加えて、「パソコンの不具合が招くデータの紛失や行方不明」「操作ミスによる必要なデータの削除や上書き」などの管理ミスを踏まえると、情報漏えいの60％以上は会社内部が要因です。
また、持ち出し用ノートパソコンや社内用携帯などの端末機器、USBメモリ等の置き忘れ、紛失・盗難からの情報漏洩も増えています。
「電車の網棚にカバンを置き忘れる」「出先作業で携帯やUSBを鞄にしまい忘れてしまう」などが多いと考えられます。

本来、記録媒体の持ち出しは最小限に抑えるべきです。
しかし、リモートワークの急速な拡大に伴い、端末の持ち出しは増加傾向にあります。その結果、紛失や盗難被害にあう可能性も増大しています。
端末の置き忘れを100％防ぐのは、情シスのセキュリティ対策ではどうしようもありません。

そのため、もしもの事態を想定して、パスワードや指紋認証、多要素認証によるロックを掛けるなどの対策を行い、情報へのアクセスを遮断する必要があります。
さらに、誤操作による情報漏えいも問題視されています。代表例が「メールの送信先アドレスを間違える」「間違ったファイルを添付してしまう」といった初歩的なミスです。

また、複数の宛先に対する送信の際にBCCで受信者以外のアドレスを隠すべきところを、CCで送信してしまい、結果としてほかの受信者全員のアドレスが漏れてしまう致命的なミスも散見されます。
情報を流出させた場合は顧客や周りの人間にも迷惑をかけてしまうほか、訴訟・高額な損害賠償請求に発展する事例もあります。

そのような事態を回避するためにも、情シスだけでなく社員全体がセキュリティ対策への関心を持ち、徹底する対策が求められるのです。

4.情シスが行うべきセキュリティ対策

サイバー犯罪に巻き込まれる可能性は誰にでもあるため、セキュリティに対する意識と知識を持つ必要があります。
では具体的にどのようなセキュリティ対策を講じれば良いでしょうか？

情シスが社員へ周知すべきセキュリティ対策についてご紹介します。

4-1.メール対策

ビジネスシーンにおいて、メール機能は多くの人が利用しています。
自分に関係がありそうなメールは開いてしまいがちですが、Emotetのように過去にやり取りしたメールへの返信を装ったウイルスがあるのも事実です。

そのため、身に覚えのないメールは安易に開かない警戒心が大切です。
なかには、「あなたのPCはウイルスに感染しているので 下記のURLをクリックして対応してください」と受取人を慌てさせる手口もあります。

情シス内でメールのセキュリティ対策に取り組む際は、ウイルスメール対策ソフトを導入するのもポイントです。
そのときは、メールの送受信履歴の取得や監視、迷惑メールのブロック機能はどのようなものなのか、同様に添付ファイルの中身をチェックできる仕組みがあるのかも確認しましょう。

添付ファイル付きのメールは「添付ファイル自体がウイルスである可能性」を認識するとともに、添付ファイルによって情報漏えいをしている危険性を意識し、必要に応じてセキュリティ担当者が閲覧および監視ができる体制の構築をおすすめします。

4-2.パスワード対策

メールと同じく、インターネットの使用はビジネスにおいて避けられません。

クラウドサービスの利用にはIDやパスワードが欠かせませんが、それらは本人確認に役立つ重要な情報です。
言い換えれば、IDやパスワードがひとたび流出してしまうと、第三者のなりすましにより不正アクセスを招いてしまいます。

そのため、パスワードの流出を防ぐための適切な管理が重要です。
また、パスワードを生成するときは大文字・小文字、数字、記号などを混ぜ合わせ、他人から推測されにくい文字列に設定しましょう。

第三者からの悪意ある攻撃により情報が流出する被害も考えられるため、パスワード対策では「情シスのセキュリティ対策」と「実際に利用している社員のセキュリティ意識」の両方が求められます。

4-3.必要最低限のアクセス制限

アクセス制限とは、特定の条件を満たした人だけがサイトやファイルにアクセスできるよう制御する機能です。
社内のパソコンで業務中に関係のないサイトや非公式サイトを閲覧すべきではありませんが、意図せず接続してしまうケースも少なからず存在します。

それらの怪しい接続先からウイルスに感染する被害を防ぐためにも、社内で悪質なURLを遮断する必要があります。
インターネットの接続先を制御すれば、開けるページや閲覧できる動画を制限できるため、ウイルス感染のリスクを大幅に低減可能です。

また、アクセス制御を活用すれば定めたアプリやファイル以外のインストールを禁止する仕組みも導入できます。
外部アプリはウイルスや不正アクセスの入り口となりかねないため、外部アプリのインストールを制限するのも効果的です。

4-4.セキュリティソフト対策

セキュリティソフトをパソコンにインストールすると、コンピューターウイルスの感染を未然に防げます。
ファイルのダウンロードやWEBサイトへのアクセス時、ウイルス検知やパソコン内にあるファイルのウイルス検出も定期的に自動で行ってもらえる点がメリットです。

また、PCのみならず外部メディアもスキャンし、マルウェア感染の可能性をチェックできます。
万が一マルウェアへの感染が発覚した場合は、悪意あるプログラムを自動的に駆除できるため、業務用パソコンを使う際は導入しておくべきソフトの1つと言えます。

▶︎セキュリティソフトの比較と選び方はこちら

4-5.ウイルス対策は定期的に更新

ウイルス対策ソフトウェアは、世界中でウイルスを検出・種類を特定しています。
そのため、すでにどこかのパソコンで感染が確認されたウイルスの危険性を把握し、自動的に排除してくれます。
言い換えれば、新しく発見されたばかりのウイルスには対応できません。

多くのセキュリティソフトは、世界中のウイルスを監視して、新しいウイルスが発見されるとその情報を「ウイルス定義ファイル」に追加します。
ユーザーが「ウイルス定義ファイル」を最新版に更新しなければ、新種ウイルスの侵入は防げません。

そのため、ウイルス対策ソフト自体の更新が重要です。
新しいウイルスは世界中で発見されているため、ウイルス感染の被害を防ぐためにもウイルス定義ファイルは常に最新版へ更新しましょう。

加えて、OSやアプリケーション、ソフトウェアの更新も重要です。
OSなどのバージョンが古いとセキュリティーホール（脆弱性）が残ったままとなり、致命的な被害を受けてしまうかもしれません。

情シスのセキュリティ対策として、利用している端末OSを含むソフトウェア類のバージョン・セキュリティーホールの確認は急務の1つと言えます。

5.セキュリティ対策をお任せするならITヘルパー

情シスが行うセキュリティ対策を外部に外注すれば、情シス担当者は本来のIT企画などコアな業務に専念できるようになります。

アウトソーシングをお考えでしたら「トータルITヘルパー」の導入がおすすめです。
情シス代行サービスは、企業の情報システム部の業務をサポートもしくは、丸ごと引き継ぎするサービスです。
貴社情報システム部へのアドバイスやサポートから、ネットワーク構築・サーバー運用・キッティング等さまざまなお困りごとにお応えします。

担当者の退社・保守ベンダーと連絡が付かない場合も、貴社システムの保守・運営を相談可能です。
いつでも、ITスキルの充実したスタッフ達がお客様の課題解決に尽力し、情報システム部業務のアウトソーシングを強力にバックアップいたします。

当社の情シス代行サービスを利用した人の94％が、業務効率化とコストダウンに成功しました実績を持つ「トータルITヘルパー」。ぜひ一度導入を検討してみてはいかがでしょうか。

お問合せ