内閣サイバーセキュリティセンターは2019年2月1日、「サイバーセキュリティ月間」の開催を発表しました。これは、国民一人ひとりが、セキュリティについての関心を高めるために、政府が行っている普及啓発強化の活動のことで、2月1日から3月18日までが「サイバーセキュリティ月間」となっています。
本記事では、サイバーセキュリティ月間の今だからこそ見直しておきたい企業のセキュリティ対策について解説をします。
政府も「サイバーセキュリティ」を重要視
サイバーセキュリティ月間は、平成22年2月から始まりました。当時は、「情報セキュリティ月間」という名前でしたが、昨今のサイバー分野での脅威の高まりを踏まえて、今のような名前になりました。
2019年2月1日に菅官房長官が、『サイバーセキュリティ月間における菅内閣官房長官メッセージ』ということで記者会見を行っています。その中で、この取り組みに対しての政府の考え方がコメントされていましたので、一部抜粋します。
近年、AIやIoT機器の活用が進み、幅広い世代が、サイバー空間で国民生活や社会経済活動を営んでいます。
その一方で、国民の約7割がサイバー空間に対して不安を感じるとの世論調査があり、実際に、有名企業をかたって送られたメールにより偽のサイトに誘導され、被害に遭うフィッシング詐欺などが増加しています。
また、法令に関する知識が十分でない若者が、サイバー犯罪の被害者から加害者となる事例もみられます。
来年開催される東京オリンピック・パラリンピック競技大会の成功のためには、サイバーセキュリティ対策の強化が不可欠であり、サイバー空間に関する知識の普及啓発は喫緊の課題となっています。
そこで、政府では、本年も2月1日から3月18日までをサイバーセキュリティ月間として、産・学・官・民が連携して、様々な普及啓発活動を実施することとしています。
https://www.kantei.go.jp/jp/tyokan/98_abe/20190201message.html
このように、今やデジタル技術の進化により、我々はあらゆる場面でITの恩恵を受けていますが、それを支えているのは「セキュリティ」です。強固なサイバーセキュリティなくして、現代の生活は成り立たないと言っても過言ではありません。
このサイバーセキュリティ月間のキャッチフレーズは、「知る・守る・続ける」ということになっています。これは、セキュリティに関しての正しい知識をつけて、実践することで身を守り、それらの取り組みを一過性のものではなく、ずっと続けること、が重要だということを強調しています。
加えて、2019年は、「#サイバーセキュリティは全員参加!」というキャッチフレーズも追加されました。また、TVアニメの「約束のネバーランド」とのタイアップポスターを作ったり、SNSと連携したキャンペーンを行う予定だったりと、若者のサイバーセキュリティへの意識を高めていこうとする政府の意気込みが感じられます。
約束のネバーランド タイアップについて
https://www.nisc.go.jp/security-site/month/neverland.html
約束のネバーランド×サイバーセキュリティ月間(特設サイト)
https://neverland.nisc.go.jp/
今、企業ではどのような対策が必要なのか?
内閣府が公開しているWebサイトには、「情報セキュリティ対策 9か条」という資料が公開されています。この9か条は、広く国民全体の意識を高めるために、企業向けというよりは一般向けのトーンで記載されていますが、この9か条をベースにしながら、企業ではどのような対策をしていけばいいのかを考えてみたいと思います。
参考URL: https://www.nisc.go.jp/security-site/files/leaflet_20150201.pdf
① OSやソフトウェアは常に最新の状態にしておこう
サイバー攻撃から企業を守るためには「脆弱性」の管理が欠かせません。脆弱性の管理のポイントは、脆弱性を「検知」して、その脆弱性に対してどのような対処するか「判断」をして、それに基づいて「対応」をすることです。
脆弱性を野放しにすることは、企業に甚大な被害を与えかねません。脆弱性管理に関してのポイントを以下の記事で整理しています。セキュリティ管理者の方は必見です!
<関連記事>
②パスワードは貴重品のように管理しよう
パスワードはシステムに入るための「鍵」です。サイバーセキュリティの文脈の中では、パスワード管理は非常に重要な要素ですが、その一方で、色々なサイトで多様なパスワードを管理するのが「大変」という側面があります。そのため、現在は、複数のパスワードを使うのではなく、一つのパスフレーズで統合すべきである、という説もあります。今後「パスワードに代わるユーザー認証」の実現も遠い未来ではありません。企業のセキュリティはこれらの取り組みにも注目をしていくべきでしょう。
これからはパスフレーズ?パスワードの限界と次世代のユーザー認証
③ログインID・パスワード 絶対教えない用心深さ
昨年は、「ビジネスEメール詐欺」という攻撃が流行しました。IPAが発表した「情報セキュリティ10大脅威」でもこのビジネスEメール詐欺が2位にランクアップしていました。NRIセキュアの調査では、海外では約3割の企業が金銭被害にあっているというデータがあります。メールの言語等の壁もあるため、日本での被害はまだそれほど多くはありませんが、今後は確実に増えていく攻撃の一つであると考えられます。
<関連記事>
セキュリティ事故のトップ、海外は「サイバー攻撃」、日本では?|NRIセキュア調査結果
④身に覚えのない添付ファイルは開かない
標的型攻撃の大半は「メール」を使った攻撃です。したがって、怪しい電子メールの添付ファイルなどは、開かないようにするべきです。企業の中でも、怪しい電子メールに「すぐに気づける人」とそうでない人が存在しますが、気づける人は実は共通の「あるポイント」をチェックしていることが分かりました。
<関連記事>
不審メールを見破るコツ、すぐに気づける人が見ているポイントとは?
⑤ウイルス対策ソフトを導入しよう
企業の中でウイルス対策は、当然のように実施されていますが、最近ではマルウェアの進化がとても早いため、検知率が99%程度で頭打ちになっている、というデータがあります。そんな時代に生まれた新たなマルウェア対策のソリューションが「EDR」です。働き方改革などの背景もあり、EDRを本格的に検討している企業が増えてきています。
⑥ネットショッピングでは信頼できるお店を選ぼう
ネットショッピング等のECサイトでは、ユーザーが安心して利用できるように、強固なセキュリティ対策が施されています。生体認証、3Dセキュア 2.0、Visa ID Intelligenceなど。キャッシュレス決済を支える最新のセキュリティ対策について解説しています。
キャッシュレス決済、普及の鍵は「セキュリティ」|利便性と安全性の両立
⑦大切な情報は失う前に複製しよう
昨年はランサムウェアなどの脅威もあり、「バックアップ」の重要性を再認識した一年でした。重要な情報をバックアップする仕組み、そしてそれらがちゃんと「リストア」できるのか等は、きちんと確認しておく必要があります。
⑧外出先では紛失・盗難に注意しよう
日本のセキュリティインシデントでは「ヒューマンエラーが多い」という調査結果があります。これは海外ではヒューマンエラーをセキュリティインシデントとして報告していない、という文化の違いもあるかもしれませんが、PCの紛失・盗難などは気をつけておきたい「身近な脅威」 であると言えます。ヒューマンエラーへの対策には、人間の行動を変える「行動経済学」の観点からのアプローチが有効です。
ヒューマンエラーによる情報漏えいを防ぐ!行動経済学をセキュリティへ応用
⑨困ったときはひとりで悩まずまず相談
セキュリティの脅威は急速に進化しており、効率的・効果的なセキュリティ対策には、有識者のナレッジが有効です。NRIセキュアでは、過去のコンサルティング案件などの知見を活かして「Secure SketCH」というサービスを提供しています。
これを使えば、無料でセキュリティレベルを可視化することができ、どの対策から始めればいいかがすぐに分かります。まずは、自社のセキュリティを「評価」して、弱い部分から重点的に対策をする。NRIセキュアは、そんな効率的なアプローチを推奨します。
まとめ
現在は、あらゆるビジネス領域がデジタル化されようとしています。企業のこれまでのITは、全社のOA業務の効率化を目的とした「コーポレートIT」がメインでしたが、今ではビジネスの現場を革新させるような「ビジネスIT」が存在感を増しています。それに伴って、サイバーセキュリティの脅威はどんどん複雑化・多様化しており、セキュリティ対策が難しくなってきています。
そんな今だからこそ、企業は新たな脅威に対抗するために、改めてセキュリティへの意識を高め、対策の見直しを行う必要があります。政府のこの「サイバーセキュリティ月間」を良い機会として、企業全体での「セキュリティの強化」に取り組んでみてはいかがでしょうか。