サイバーセキュリティの定義は、一般的に情報の機密性・完全性・可用性を確保することです。

機密性：認められた人だけが、その情報にアクセスできる環境であること

完全性：情報の破壊や改ざん、消去がされない環境であること

可用性：必要時に中断することなく、情報にアクセスできる環境であること

インターネットを利用することが日常となった現代において、情報が外部に漏れたり、ウイルスによってデータが破壊されたりすると大きなダメージを負うことになります。これらを防ぐための対策がサイバーセキュリティ対策です。

サイバーセキュリティ対策と言っても、何から始めてよいか分からないこともあるかもしれません。
ここでは、最初に行うべき対策を3つ、見ていきましょう。

ソフトウェアを最新の状態に保つ

OSやWebブラウザなどのソフトウェアは、できる限り最新の状態を保たなければいけません。
脆弱性というサイバーセキュリティ上の問題点が発見されると、問題点を解決するためにアップデートが行われるからです。

インターネットに接続される家電製品なども同様に更新が必要です。メーカーが脆弱性を発見すると、ソフトウェアの更新によって問題を解決することがあります。

IDやパスワードを適切に管理する

IDやパスワードを他人に知られてしまうと、なりすましによって勝手にサービスを利用されたり、情報を奪われたりする恐れがあります。そのため、IDやパスワードは適切な管理が必要です。

具体的には次のような対策が有効です。

• 容易に想像されないものを使用する（生年月日などにしない）
• 複数のサービスで同じパスワードを設定しない
• IDなどをメモした場合は、他人の目に触れない場所に保管する

ウイルス対策ソフトを導入する

ウイルスの感染を防ぐために、ソフトウェアの更新に加えて、ウイルス対策ソフトを導入することも効果的です。最近ではウイルス対策だけでなく、不正アクセス防止や、フィッシング詐欺サイトへのアクセス防止といった機能が備わっているソフトもあります。

IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2022」によると、2021年の情報セキュリティに対する脅威は次のとおりです。

このランキングから組織が対策するべき上位3項目について、事例を含めて解説します。

ランサムウェアによる被害 *3

ランサムウェアとは、ウイルスの一種です。ランサムウェアに感染すると、端末のロックやデータの暗号化によってアクセスができなくなります。この復旧と引き換えに金銭を要求され、復旧に時間がかかればかかるほど経済的損失が大きくなります。犯行グループによって情報が抜き取られ、社会的信用を失う恐れもあるので、気を付けなくてはいけません。

【 ランサムウェアの主な感染経路 】

• メールの添付ファイルや本文のリンク
• 改ざんされたウェブサイトの閲覧
• ソフトウェアの脆弱性を悪用したネットワーク経由
• 公開サーバーに不正ログインし、感染させる

【 被害を防ぐための主な対策 】

• 不明なファイルやリンクを開かないことの共有
• セキュリティソフトの利用や設定の見直し
• バックアップの取得
• 共有サーバーや公開サーバーへのアクセス権の管理

【 被害を受けてしまったときの対応 】

• 上司や関係組織、公的機関などに報告・相談
• バックアップからの復旧
• すぐに隔離を行い、被害の拡大を防ぐ

【 被害事例 】

2021年10月、徳島県の病院がランサムウェアに感染したことで、約85,000人分の電子カルテや会計システムにアクセス不可となりました。この病院は金銭を支払わずにシステムの再構築を行いましたが、約2ヵ月間も新規患者の受け入れができない等の被害を受けました。

また、2022年10月にも、大阪府の病院がランサムウェアによるサイバー攻撃を受けました。電子カルテなどのシステムに障害が発生し、新規の患者の受け入れを停止するなど影響が出ています。

標的攻撃による機密情報の窃取 *4

標的攻撃とは、特定の組織を狙って攻撃することです。機密情報の窃取や業務妨害を目的として行われます。

【 標的攻撃の手口 】

• メールの添付ファイルや本文のリンク
• 標的がよく利用するウェブサイトを改ざん
• 標的の組織に不正アクセスする

【 被害を防ぐための主な対策 】

• 組織として対策の体制を確立する（予算確保やセキュリティポリシーの策定など）
• サイバー攻撃に関する継続的な情報収集と従業員の教育
• 取引先も含めたセキュリティ対策状況の把握

【 被害を受けてしまったときの対応 】

• セキュリティ専門のチームによる対応
• 原因調査と対策強化

【 被害事例 】

2021年12月、国内にスーパーを展開する企業がサーバー攻撃を受けました。その結果、個人情報や企業情報の一部が流出する事態となりました。サイバー攻撃を受けたことが発覚した経緯は、社内の共有ファイルが開けなくなったり、メールの受信ができなくなったりしたことです。

サプライチェーンの弱点を利用した攻撃 *5

サプライチェーン全体のなかで、セキュリティ対策が弱い組織を狙うことにより、本当の目的である組織を攻撃することもあります。

【 サプライチェーンの攻撃手口 】

• セキュリティ対策が弱い取引先や委託先を狙う
• ソフトウェアの開発元などにウイルスを仕込み、そのソフトを利用する企業を狙う

【 被害を防ぐための主な対策 】

• 業務委託や情報管理の規則を徹底する
• 契約内容で情報セキュリティの責任範囲を明確化する
• 取引先を複数のなかから検討する

【 被害を受けてしまったときの対応 】

• 被害に対する補償
• 原因調査と対策強化

【 被害事例 】

2021年9月、建設コンサルティング会社がランサムウェア攻撃を受けました。この会社に業務を委託していた組織が貸与していたデータも被害を受けた可能性があります。

ICT化が進んだことで、場所や時間を選ばずに柔軟な働き方ができるようになりました。テレワークを行っても、オフィスにいるときと同じように働くことができ、企業による導入も進んでいます。*6

テレワークは急速に普及したため、従来のセキュリティ対策では十分に対応できていないケースも考えられます。*6
テレワークを行う際は必ずセキュリティ対策を意識することが大切です。

まず、テレワークを始める際はパソコンを他人と共有しないようにしましょう。もし共有しなくてはいけない状況ならば、ユーザーアカウントを分けるなどの工夫が必要です。

また、自宅で作業を行う場合は、ルーターを最新の状態にしましょう。メーカーのサイトを確認することで、最新のファームウェアを知ることができます。*7

もしカフェなど公共の場で作業を行う場合は、パソコンの画面を見られないことが大切です。パソコンの画面だけでなく、書類なども他人の目に入ると情報漏洩につながります。
さらに公衆のWi-Fiを利用するときは、パソコンのファイル共有機能をオフにしたり、信頼できるVPNサービスを利用したりすることも有効です。*7

テレワークを行う際はセキュリティ対策を意識しないと、企業の情報漏洩やサイバー攻撃につながってしまう可能性があります。*7

今回は重要度が増しているサイバーセキュリティや、テレワークとサイバーセキュリティの関係を解説しました。さまざまなデータをクラウド上で管理することが増えて便利になる一方、見えないところで危険にさらされている事実もあります。

データの漏洩は企業の問題だけでなく、顧客の個人情報にも関わってきます。インシデントが発生すると企業の信用問題にもつながりかねません。今一度、組織のサイバーセキュリティを見直し、安全な環境で業務やテレワークを行いましょう。