DX(デジタルトランスフォーメーション)を進めていくうえで、何よりも考えなくてはならない項目がサイバーセキュリティです。サイバーセキュリティは様々な対策の方法がある一方で、場合によっては巨額の投資になり、導入の取り進めがうまくいかないケースも存在します。本記事ではサイバーセキュリティの重要性や対策方法について記載します。
目次
サイバーセキュリティとは
サイバーセキュリティとは、2014年11月に成立した「サイバーセキュリティ基本法」に定義がある、比較的新しい言葉です。その法律においては、IT(法律上の表現は「電磁的方式」)という特定の脅威の発生手法にフォーカスして、情報の機密性・完全性・可用性を維持すること、と定義されています。
- 機密性…情報へのアクセスを認められていない者に漏洩しないこと
- 安全性…情報が破壊、改ざんまたは消去されていない状態を確保すること
- 可用性…情報へのアクセスを認められた者が、必要時にアクセスできる状態であること
サイバーセキュリティと情報セキュリティとの違い
サイバーセキュリティと同様の言葉に、『情報セキュリティ』という言葉があります。情報セキュリティとは、国際標準化機構と国際電気標準会議が共同で策定した基準(ISO/IEC 27002)において「情報の機密性・完全性・可用性を維持すること」と定義されています。この3つの観点で被害を受けるかどうかで脅威を捉え、対策を実施することが情報セキュリティです。情報セキュリティは脅威事象がITかどうかを問わず、包括的に考えることとなっています。つまり、
サイバーセキュリティ…ITの世界に閉じたセキュリティ。例えばデータの暗号化、Webアプリケーションのログイン認証、マルウェア対策など
情報セキュリティ…現実世界を含めたセキュリティ。例えば入退館情報の管理、業務端末の紛失防止や棚卸、情報が保管されているキャビネットのロックなど
ということになります。
サイバーセキュリティの重要性
サイバーセキュリティの重要性は年々増しています。理由としては、サイバー攻撃が多様化、高度化、高頻度化していることと、企業のIT活用が進むにつれてサイバー攻撃による被害も増大していることがあげられます。
サイバー攻撃の被害件数・被害額
総務省が管轄している『サイバーセキュリティタスクフォース』によると、2020年はサイバー攻撃の件数が日本において3701億回となっており、これは1日に10億回ものサイバー攻撃が実施されることになっています。また、2015年は545億回であったため、5年間で攻撃件数は約7倍に増加していることになります。
また、サイバー攻撃の被害額についても、日本企業において1社あたり平均2億円を超える被害が出ています。具体的な被害の事例としては、2019年小売大手企業においてアプリケーションの設計不備による不正アクセスがあり、808人に合計約3,900万円の直接的な被害が発表されています。それに向けた対応コスト等も含めると、額はさらに大きいものとなるでしょう。
(参考:サイバー攻撃の最近の動向等について)
(参考:5Gが促すデジタル変革と新たな日常の構築)
サイバー攻撃が与える企業への影響
サーバーセキュリティに不備があると、サイバー攻撃や情報漏洩といったセキュリティインシデントが発生します。セキュリティインシデントは、今日においては広く報道がなされ、発生するとIT部門やユーザーにおける直接的な被害だけでなく、全社に影響が波及し、経営上のリスクにつながるような間接的な被害も生じます。
直接的被害
直接的な被害としては、情報が漏洩してしまったり、暗号化されて復元できなくなってしまったりといった業務遂行上の被害と、復旧に向けたコストなどの金額上の被害が考えられます。最近の事例であれば、世界的なメーカーのオフィス環境でemotetと呼ばれるランサムウェアが蔓延し、世界中の工場において業務停止に追い込まれた事例が存在します。また、2014年に発生した通信教育大手企業の情報漏洩における事例においては約3000万件以上の個人情報が漏洩し、被害にあった企業は被害者に対する賠償の原資として200億円の特別損失を計上しています。
(参考:トヨタの国内全工場ストップが突きつけた「サイバー防衛」の至難)
(参考:ベネッセコーポレーション 事故の概要)
間接的被害
サイバー攻撃にさらされることで、企業や団体の評判が損なわれる、といったレピュテーションの低下をもたらすことがあります。これは金銭的な被害は生じませんが、組織の信頼面が失墜するという間接的な被害に該当します。具体的には、日本の業務デジタル化を推進するデジタル庁がメールの誤操作による情報漏洩をおこしてしまった際には、SNS等で呆れともとれるコメントが相次いで投稿されており、デジタル庁の権威低下につながっています。
(参考:デジタル庁“BCCとCC取り違え”メアド流出にネット苦笑。)
サイバーセキュリティに必要な対策
サイバーセキュリティを担保するためには、技術的な対策だけでなく、人や組織、物理的な対策など、多段階の対策を行うことで初めて効果的な対策となりえます。具体的な対策の内容を記載していきます。
技術的な対策
先進的なセキュリティ対策の製品を導入し、セキュリティインシデントとなる原因を排除することや、インシデントに早期に気づく、といった対応です。具体的にはエンドポイントのウイルス対策やIPS(不正侵入防止システム)があげられます。加えて、少ない人員でセキュリティの運用を効率的に実施するために、SIEMやSOARといったツールを導入することも重要です。
人的・組織的な対策
すべての社員にセキュリティに対する意識を高めてもらうための教育や、セキュリティ状態の監査や棚卸、セキュリティ専門の組織を作るといった対策です。セキュリティ教育であれば、標的型メールに関する訓練を実施したり、情報セキュリティマネジメント試験などのセキュリティ関連の資格取得を奨励したり、といった対策が考えられます。また、CSIRTなどのセキュリティに特化した組織を構築し、情報集約を行うことで組織的なセキュリティ運用が可能です。
物理的な対策
情報漏洩を防ぐために、ITを駆使して物理的な環境においても対策を実施することです。
具体的には防犯カメラの情報を集約してリアルタイムに分析し、怪しい動きがあればアラートを鳴らす、重要なシステムにおいては生体認証や多要素認証を導入して不正アクセスを防止する、といった対応です。
サイバーセキュリティの対策事例
事例1…人的・組織的な対策~CSIRT(楽天)
大手IT企業の楽天では、2007年から早期にCSIRTを設置し、厳しいセキュリティ教育や外部組織との連携強化を行っています。CSIRTのような組織を設置してアナウンスすることは、企業グループにおけるサイバーセキュリティの強化だけでなく、外部企業の信頼獲得や攻撃者に対する威嚇にもつながります。
(参考:日本企業のCSIRT実例紹介)
事例2…物理的な対策~生体認証(地方自治体)
佐賀県庁では、職員に配布された各端末からシステムにログインする際に指紋認証を導入しています。地方自治体は各システムにおいて住民に関する機密情報を扱うことが多いため、通常の認証に加え指紋による認証を追加するといった多要素の認証を導入することはセキュリティの強化に大きく貢献します。
(参考:生体認証システムの導入・運用事例集)
事例3…技術的な対策~SOAR(第一生命)
国内有数の生命保険会社である第一生命では、全国的に展開する保険事業関連のシステムが膨大となっており、横断的かつ効率的なセキュリティの管理が課題でした。クラウド型のプラットフォームを導入し、運用を自動化することで、人ではなく機械によるセキュリティ運用を実現し、高品質化と高い費用対効果を出すことに成功しています。
(参考:第一生命事例:約4000のシステムと5万のデータベースをどうやってクラウド化した?)
事例4…技術的な対策~CSPM(竹中工務店)
CSPM(Cloud Security Posture Management)とは、AWSやGoogle Cloudなどのクラウドサービスのセキュリティの設定状況を可視化、定期的にチェックし、不適切な設定やコンプライアンス違反をチェックするサービスです。近年ではクラウドサービスの設定ミスにより情報漏洩が発生するケースも存在します。1つ1つの環境をチェックすることは非常に工数がかかりますが、CSPMを導入することで自動的にクラウド利用におけるセキュリティを担保することができます。
(参考:DXに向けたクラウド活用のセキュリティ、「MVISION CSPM」でIaaSの安全性と利便性を両立)
まとめ
DXの推進や業務効率化によって様々なITサービスが企業で利用されていく中、サイバーセキュリティの対策は重要性が増しています。対策が不十分な場合は、思わぬ直接的・間接的な被害が発生することがあります。サイバーセキュリティの対策は高額になることもありますが、セキュリティは一種の保険・投資と考えて、対策を進めることが重要です。