最近のセキュリティ対策に対する動向

今の時代、ほとんどすべての業務がインターネットなしではできないと言っても過言ではありません。それほど情報通信技術は急速に我々の日常生活に入り込み、欠かすことができない存在になっています。情報資産の多くを電子文書化している企業も多いかと思いますが、日本国内のみならず世界各国でサイバー攻撃の事例は今なお、多数報告されています。また、昨今コロナ禍でのテレワークや、オンライン教育におけるセキュリティ被害事例も増加傾向にあります。

サイバー攻撃の事例

とある大手企業から顧客情報が〇〇万件流出したというニュースは、皆さん一度は聞いたことがあるのではないでしょうか。情報通信技術の発展は仕事を効率化させる意味で非常に大きいものですが、その反面インターネットを使っている方は、誰でもサイバー攻撃の標的にされるリスクが付き纏います。はじめに、昨今のサイバー攻撃による事例を見ていきましょう。

• 2015年6月：日本年金機構の職員が利用する端末がマルウェアに感染し、年金加入者の情報約125万件が流出
• 2018年1月：コインチェック社が保有していた暗号資産（仮想通貨）が外部へ送信され顧客資産が流出
• 2020年：三菱電機やNEC等において防衛関連情報を含む情報が外部へ流出した可能性が判明

日本年金機構、コインチェック社、三菱電機といった大企業でも、サイバー攻撃による被害を受けています。これは日本だけではなく世界中で起こっています。たとえば2017年10月には、アメリカのヤフー社で約30億件の個人情報の流出が判明しました。最近では、テレワークにおける脆弱性を狙った不正アクセスなどの被害が発生しています。

さらに最近では、コロナ禍におけるテレワークの拡大によるセキュリティ被害も増加しています。
テレワークは、一部の従業員が利用するものから、Web会議を含め、一般的な業務・勤務形態となることから、セキュリティ被害が増大します。
下表は、テレワークにおけるセキュリティ被害事例です。

△（出典）総務省（2021）「ウィズコロナにおけるデジタル活用の実態と利用者意識の変化に関する調査研究」

インターネットを使って企業活動をしている方にとってサイバー攻撃は、対岸の火事ではなく、自分の身にいつ降りかかってきてもおかしくないことだという認識が必要です。

情報セキュリティの脅威は増加傾向にある

そして忘れてはいけないのが、情報セキュリティに対する脅威は年々増加傾向にあるという点です。総務省が2020年12月3日に発表した「サイバー攻撃の最近の動向等について」によると、不正アクセス行為の認知件数が2018年の1,486件から1年で2,960件に増加。偽造URLをクリックさせることで、個人情報を取得するフィッシングは2018年の19,960件から55,787件に増加するなど、どちらも爆発的に上昇しています。この総務省の発表データは、あくまでも認知件数と届出件数なので、実際はさらに多くの被害者がいると予想されます。数字だけを見ても情報セキュリティの脅威は、年々増加傾向にあることは明白です。

企業のセキュリティ対策が脆弱な理由

前述したように、2019年に都道府県警察から警視庁に報告のあった不正アクセス行為の認知件数は2,960件でした。そのうち一般企業は、2,855件と最も被害に遭った件数が多いアクセス管理者となりました。この結果から企業のセキュリティ対策は、脆弱であると言わざるを得ません。その理由を以下の項目で解説していきます。

セキュリティ人材が不足している

情報セキュリティに従事する人材は、日本だけでなく世界規模で不足していると言われています。独立行政法人情報処理推進機構の調査によると、国内の従業員100人以上の企業において情報セキュリティに従事している技術者の数は約23万人で、2.2万人が不足していると推計しています。

さらに従事している23万人の技術者のうち、十分なスキルを満たしていると考えられる人材は約9万人で、残りの14万人あまりの人材はさらなる教育が必要であると考えられています。前述した総務省が発表した資料でも、セキュリティ対策に従事する人材が確保できていると回答した企業は1割に満たない結果となっており、多くの企業でセキュリティ人材の不足が浮き彫りになりました。

攻撃に遭う可能性が低いと感じている

サイバー攻撃に遭う可能性が低いと経営者が考えているのも、多くの企業にとって情報セキュリティ対策が脆弱な理由です。サイバーセキュリティクラウドの意識調査（20歳から79歳の経営層を対象に600人から回答）によると、セキュリティ対策強化の必要性を感じていると回答したのは85.2％で、従業員300名以上の大企業は91.2％が必要性を感じていると回答しています。

上記結果を見てもわかる通り多くの経営者は、情報セキュリティに対する危機感は持っていますが、中には対策をする予定がないと回答した方もいます。その主な要因は以下の通りです。

• サイバーリスクによる個人情報漏洩被害に遭う可能性が低いと考えている：47.3％
• 対策にあてる費用に余裕がない：27.9％
• 具体的な取り組み方法がわからない：25.0％

最も多かった意見は、サイバーリスクによる被害に遭う可能性が低いと感じているというもの。また、対策にあてる費用に余裕がないという意見や、具体的な取り組み方法がわからないから導入する予定がないと回答した方も多くいました。サイバー攻撃の被害に遭っている企業の多くは、多分大丈夫だろうという対岸の火事的な考えを持っており、それこそが企業のセキュリティ対策が脆弱である大きな理由になっています。

企業が取り組むべき情報セキュリティ対策

重要な経営資源を守るため、企業は情報セキュリティ対策に取り組む必要があります。対策をしていない企業の中には、重要性は理解しているものの具体的な取り組み方がわからないという理由も多くあります。ここからは企業が取り組むべき情報セキュリティ対策について紹介しましょう。

企業の対応方針を決める

情報セキュリティ対策は、企業で対応方針を決めるところから始まります。さまざまなセキュリティ対策を講じても推進体制が曖昧になっていると成功できません。情報セキュリティ人材の採用と育成も踏まえて、対応方針を事前に確立しておくようにしましょう。

• 予算や人材の確保
• どの情報を守るのか
• どのように守るのか
• 緊急時の対応体制整備

上記項目で説明したように、多くの企業では情報セキュリティ人材が不足していると考えています。予算や人材の捻出と同時に、どの情報をどのように守るのかを企業で確立し共有できなければ、適切なセキュリティ対策は実行できません。また万が一の緊急時の想定した取り組みも重要です。

社員教育の徹底

従業員のリテラシーを高めることで情報セキュリティのトラブルを未然に防げますし、万が一のトラブル時にも早急な対応ができます。まず押さえておきたいのが、情報セキュリティの主な事例と対策です。

• ウイルス感染
• 不正侵入
• 情報漏洩
• 機器障害

ウイルス感染にはソフトの導入やソフトウェア更新、不正侵入や情報漏洩には防止システムの導入やパスワード管理、災害などによる機器障害はバックアップを取っておくなどの対策が可能ですが、いずれも従業員が中身を理解していなければいけないものです。セキュアなクラウドサービスを活用することで重要な情報資産を守れますが、それを取り扱う従業員の教育が徹底されていなければ意味がありません。情報セキュリティ対策に従事する社員の教育も重要な対策方法だということを忘れないようにしましょう。

まとめ

情報セキュリティの脅威と企業が取り組むべき対策を紹介してきました。参考になりましたか？

人、金、物に並ぶ企業の重要な経営資源である情報については、前者3つと比較すると情報に対するセキュリティ対策が脆弱です。企業の信用を失墜させないようにするためにも、適切な情報セキュリティ対策に取り組み、重要な経営資源を自分の手で守りましょう。豊富な経験と導入実績をもつ日本レコードマネジメントは、独自のノウハウと精鋭の専門スタッフにより、万全のセキュリティシステムを誇る文書管理システムの構築から運用までをすべて支援いたします。万が一の災害時における事業継続対策も万全で、重要書類のバックアップ管理と必要時の電子配信サービスを実施しています。情報セキュリティの対策に苦慮している方は、お気軽にお問い合わせください。