ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
日本政府は、重点的かつ効果的にサイバーセキュリティに対する取り組みを推進するため、毎年2月1日から3月18日までを「サイバーセキュリティ月間」と定めている。大上段に構えた情報からお伝えすることになってしまうが、この期間中に政府は団体や企業などと連携し、サイバーセキュリティに関する普及啓発活動を集中的に実施する。
「サイバーセキュリティ月間」とは?どのような取り組みなのか
どこかの営利団体がセキュリティ商材を売り込むために企画したイベントではなく、10年以上にわたる国を挙げての取り組みであり、それだけサイバーセキュリティが国や社会を守るために重要だとわかる。その対象は、一般人に向けたICTリテラシー向上のためのセミナーから、学生、子ども向けの講習会、ビジネスパーソン向けの実践的な注意喚起セミナーまで幅広いものになる。内閣サイバーセキュリティセンター(NISC)では、「みんなで使おうサイバーセキュリティ・ポータルサイト」で情報を提供し、参加を呼びかけている。
重要度増すサイバーセキュリティ対策。現在はどのような被害が増加?
このような国を挙げての取り組みがあって、大企業から情報が流出したといったニュースに触れることがあっても、多くのビジネスパーソンや中小企業経営者にとってセキュリティ脅威はなかなか自分ごととして捉えられないのも事実だろう。
まず、どんなセキュリティ脅威が企業に襲いかかっているかを整理してみよう。こうしたときに役立つのが、情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」だ。原稿執筆時点で最新の2024年版をひもといてみる。
※IPA「情報セキュリティ10大脅威2024」(組織)を基にBiz Clip作成
上位5番目までの脅威は、このような状況になっている。このうち、1位のランサムウェアと、3位の内部不正、4位の標的型攻撃は、2016年から9年連続して9回目の選出となっており、脅威として常連化していることがわかる。一方で、「サプライチェーン攻撃」は、2019年から6年連続6回目、ゼロデイ攻撃は2022年から3年連続3回目の選出で、比較的新しく脅威の度合いが高まっていることがわかる。
そうした中で、IPAでは「多数の脅威があるが『攻撃の糸口』は似通っている」「基本的な対策の重要性は長年変わらない」と分析する。さらにIPAは情報セキュリティ対策の基本として、「ソフトウェアの更新」「セキュリティソフトの利用」「パスワードの管理・認証の強化」「設定の見直し」「脅威・手口を知る」の5つを常に意識することを推奨する。この基本からもわかるように、一度セキュリティ対策をすればOKではなく、常に情報を入手し、対策を強化していく日常的な取り組みが求められているのだ。
具体的な対策は?IT人材が不足する場合の対応策は?
攻撃の入り口として、サプライチェーンの中の弱点を突くサプライチェーン攻撃や、企業情報を熟知した上で巧妙に作り込んだ攻撃を仕掛ける標的型攻撃が多くなってきているだけに、単純なセキュリティ対策だけではすでに攻撃は防ぎきれない。攻撃の侵入を防ぐ「入り口対策」、侵入後に被害の発生を防ぐ「出口対策」、さらに「社員・職員への教育」をバランス良く行う必要がある。こうした複数の防御層で守る「多層防御」が不可欠だ。
個別対策としては、入り口対策として複数の防御手段を導入する多重防御、ゼロトラストセキュリティの基本になるアクセス権の設定と制御、インシデントが起きたときの分析や事前の兆候予測のためのログ管理、機密情報を通信経路で窃取されないための暗号化通信など、多くの取り組みが考えられる。
このように羅列されてしまうと、「セキュリティ対策の重要性はわかるけれど、まだうちでは危険なことは起きていないし、人材はないし、後回しになるな」と考える中小企業経営者も少なくないだろう。しかし、サプライチェーン攻撃が常態化している現状を考えると、自社のセキュリティの穴を放置したことで、発注元などの取引先を巻き込んで被害が拡大するリスクは大きい。セキュリティ対策を放置したことで、事業継続を断念するといった事態にも陥りかねない。
そうしたときには、外部専門家の知見を活用するセキュリティ対策のアウトソーシングという選択肢も検討したい。複数のソリューションを組み合わせた多重防御を継続して運用していくには大きな負担がかかる。最新情報や適切なソリューション、経験値の高い教育プログラムなどをもつセキュリティのトータルパッケージなどを利用すると、少ないコスト負担で高いセキュリティレベルを維持できる。
セキュリティは、例えるなら"総合格闘技"のようなもので、ある部分が強くても弱点があればそこを突かれて負けてしまう。サイバーセキュリティ月間を契機に、多くのノウハウや知見をアウトソーシングによって取り込みながら、これからも襲ってくる脅威に立ち向かえる態勢を整えていきたい。
※掲載している情報は、記事執筆時点のものです
執筆=岩元 直久
【MT】
あわせて読みたい記事
連載バックナンバー
強い会社の着眼点
- 第22回 ランサムウエア被害の復旧には1000万円以上も!?対策のポイント 2025.02.03
- 第21回 ハッカーたちは休日がお好き?長期休暇明けは特に注意 2025.02.03
- 第20回 「サイバーセキュリティ月間」に改めて考える!対策のポイント 2025.02.03
- 第19回 古いルーターはリスクフル!買い替えポイントは? 2024.12.26
- 第18回 拡大する有名人のなりすまし詐欺。対策を急げ 2024.12.26
- 第17回 見逃し多数、こんなにも紙文書 2023.06.30
- 第16回 業界別に考える!ビジネスチャットうまい活用 2022.12.21
- 第15回 進む"書類のデータ化"。データ保管の最適解は 2022.12.20
- 第14回 文書管理のココが困った。どこから手を付けるべきか 2022.12.20
- 第13回 "電話DX"が会社を強くする 2022.07.27
- 第12回 EC活用で売り上げ増狙う。その勘所 2022.06.29
- 第11回 ビジネスチャット選びの3つのポイント 2021.07.07
- 第10回 その場にいなくても情報を視える化したい 2021.03.17
- 第9回 リモートワーク、楽しいコミュニケーション強化法 2020.11.18
- 第8回 目で見る管理。プロは現場・社員を見る 2020.02.19
- 第7回 あり?なし?ペーパーレス 2018.03.14
- 第5回 名刺情報は企業資産。一刻も早く共有化して活用を 2017.03.01
- 第4回 「出張」無用論 2016.12.07
- 第3回 「会社に戻らないと対応できない」をなくせ 2016.11.01
- 第2回 会議資料のプリントアウトは年10万円以上無駄? 2016.10.12
- 第1回 視線が集まるプレゼンテーション 2016.09.07
審査 24-S1007