社内に潜むサイバーセキュリティのリスク

サイバーセキュリティは、組織運営におけるリスク管理の一つです。 2010年頃からサイバーセキュリティを取り巻く状況は大きく変わってきました。「これまで何もなかった」からといっても、「これからも大丈夫とはいかない」かもしれません。

組織のリーダーは、サイバーセキュリティのリスクを知り、それに備える必要があると考えます。車を運転していれば事故を起こす確率はゼロにはならないのと同じことで、 ITを利用すればセキュリティ事故・事件が起こる確率はゼロにはなりません。

このコラムでは「社内ネットワーク」と「Webサイトの開発・運用」を例に、組織運営におけるリスクについて、サイバーセキュリティの観点から解説します。

リスク解説：社内ネットワーク

クラウド
設定ミスなどでクラウドからの情報漏洩の可能性はあります。たとえば、2016年の大統領選挙の際、情報分析会社が運営していたクラウドの設定ミスで、氏名、生年月日、自宅の住所、電話番号、人種や宗教など、約1億9800万人の情報が流出しました。
内部犯行
国内では２割程度と発生数は少ないものの、被害額が膨大になることが知られています。
事業継続
御社の重要システムが止まったときの準備はできていますか？サーバだけでなくネットワークも盲点としてあります。
法改正
例えば、２０１７年５月に改正された個人情報保護法への対応など、法改正に伴うシステムの改修作業も必要です。
放置されたセキュリティポリシ
ITを取り巻く状況は常に変化します。形骸化していませんか？社員への教育はできていますか？ITリスクは社員が原因とも言えます。
標的型メール
メールを起点とした高度サイバー攻撃は多いのが実態です。対策無しで、メールを受け取ることは危険です。
情報の持ち出し
十分な管理をせずに「自宅で仕事」「業務委託」などのため、集約された膨大な情報の持ち出しは危険です。
サポート切れ
日々新しいサイバーリスクが登場します。OS、ウイルス対策ソフトをサポート無しで使うのは危険です。ハードもサポートが無く、壊れた場合、事業継続の問題となるかもしれません。
パッチ不備
社外・社内のいずれのサーバも、パッチを適切にあてることが、セキュリティの観点で重要です。パッチあてが容易でないことも現場の方からは伺います。それでも、パッチをあてないことは危険です。
ウイルス感染
ウイルス感染の予防策は、ウイルス対策ソフトだけではありません。OS更新など、複数の安全策が必要です。2016年に広まったランサムウェアは、専門家を多く抱える大手電機メーカですら、大規模な被害を受けました。
脆弱な管理体制
現在、ITは企業活動に欠かせないものになっています。その重要な業務をないがしろにしていませんか？担当者の数、スキルセットは足りていますか？ITの管理体制の不足は、経営者の責任です。

リスク解説：Webサイトの開発・運用

委託先任せ
「委託先に任せてるから安心」という経営者の皆様、今は通用しません。委託先が開発したサイトのセキュリティ事故でも、委託元の管理責任が問われます。
ウイルス感染
ホームページの改竄により、自社のサイトがウイルス感染の発信源となる事例が過去ありました。「閲覧するだけで感染」するウイルスも存在します。
ページ改竄
自社のサイトが、ある日、ネットで話題になった！？と思ったら、ページ改竄事件となり、対応におお慌て。会社の評判も落ちます。
DDoS
大量のアクセスにより、自社サイトが繋がりにくくなり、せっかくのビジネス機会を損失することもあります。
情報漏洩
年間７００件以上発生する個人情報漏洩事件。平均として、一回で５０００人以上のデータが漏れ、３億円以上の損失となることが、知られています。
アプリの脆弱性
欠陥のあるアプリはセキュリティ事故を招きます。専門的知見なしでは、「動く」システムは作れても「安全な」システムは作れません。
アクセス制御不備
設定ミスや知識不足で、システムに大穴があいていたりすることもあります。認証システムも、脆弱なものは、あっという間に破られてしまいます。
脆弱な開発運営体制
セキュリティ知識無しでビジネス目的のサイトを構築・運営するのは大変危険です。更に、○☓さん頼りと、たった一人に頼るのも危険です。
脆弱性対策不備
今、ソフトウェアの脆弱性（欠陥）が報告されると、２４時間以内に全世界的に、その脆弱性を悪用する攻撃が始まります。専門事業者以外は対処はほぼ不可能です。

セキュリティリスクの不安は、我々専門家へお任せください！

レンジフォースは、セキュリティのホームドクターとして皆さまに寄り添い、状況に応じた適切な対応策についてご提示します。

日々変化するIT時代に、皆さまの企業へ信頼という強みを。ご用命は下記のフォームにてお気軽にご相談ください。