経営課題としての情報セキュリティ対策

 

AIやIoTの活用、ビジネスにおけるブロックチェーンの活用など企業活動のデジタル化が進む一方で、企業が保有する個人情報や重要な情報を狙うサイバー攻撃は増加を続けている。
本インサイトでは情報セキュリティの3要素や、情報セキュリティに関する脅威についてのトレンドを紹介しながら、企業に求められる情報セキュリティ対策について触れていく。

情報セキュリティの重要性

 情報セキュリティとは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3要素を維持することである。

 情報セキュリティ事故が発生すると、システム停止による機会損失や企業への信頼・ブランドイメージの失墜、賠償金の発生など企業経営に甚大な影響をもたらす。経営者が適切な情報セキュリティ対策をとらずに社会や取引先に損害を与えてしまった場合、リスク責任の是非や経営責任、法的責任が問われる可能性もあるため、情報セキュリティの3要素を維持することは非常に重要である。 

また、2020年に改正が予定されている個人情報保護法では、GDPRのように罰則が強化されるとの議論もあり、情報セキュリティ対策の重要性がますます高まっている。

情報セキュリティの3要素

要件

概要

主な対策

機密性

正当な権利を持つ者だけが情報資産にアクセスでき、不正アクセスされない状態。

アクセス制御、暗号化、パスワード認証、多要素認証

完全性

情報資産が正確であり、他者による改ざんなどがない状態。

不正アクセス検出、デジタル署名、改ざん検知

可用性

必要な時に情報資産を使用することができ、システムダウンや災害発生時にもサービスが停止しない状態。

システムの冗長化、バックアップの確保、システムのクラウド化、DoS/DDoS攻撃対策

情報セキュリティの脅威

 情報セキュリティ対策においては脅威のトレンドを把握し備えておくことが重要である。そこで、IPAが発表している「情報セキュリティ10大脅威2019」から情報セキュリティの脅威のトレンドを把握し対策の勘所を解説していく。

 

情報セキュリティ 10大脅威 2019

順位

昨年
順位

組織における10大脅威

概要

1位

1位

標的型攻撃による被害

メールの添付ファイルや悪意のあるウェブサイトを利用し、組織のPCをウイルス感染させ、重要情報を窃取する。

2位

3位

ビジネスメール詐欺による被害

取引先や経営者とのやり取りのようなメールを装い、口座へ送金させる。

3位

2位

ランサムウェアによる被害

PCやスマートフォンをランサムウェアというウイルスに感染させ、重要情報の暗号化や画面ロックを行い、復旧に金銭を支払うよう脅迫する。

4位

NEW

サプライチェーンの弱点を悪用した攻撃の高まり

サプライチェーンの一環である業務委託先を足掛かりに攻撃を仕掛け、重要情報を窃取する。

5位

8位

内部不正による情報漏えい

組織関係者による機密情報の漏えい、悪用される。

6位

9位

サービス妨害攻撃によるサービスの停止

インターネットサービスに対して大量のアクセスを仕掛け高付加状態にさせるDDoS攻撃により、サービス提供に支障を出す。

7位

6位

インターネットサービスからの個人情報の窃取

インターネットサービス内に登録されている個人情報やクレジットカード情報を窃取する。

8位

7位

IoT機器の脆弱性の顕在化

IoT機器を踏み台にDDoS攻撃を仕掛け、サービスやネットワーク、サーバーに悪影響を与える。

9位

4位

脆弱性対策情報の公開に伴う悪用増加

公開された脆弱性情報を悪用し、当該脆弱性への対策ができていないシステムを狙って攻撃する。

10位

12位

不注意による情報漏えい

情報管理に対する意識の低さや確認漏れ等により、従業員が個人情報や機密情報が漏えいさせる。

  • 表:IPA「情報セキュリティ10大脅威 2019(https://www.ipa.go.jp/security/vuln/10threats2019.html)」を基にアビームコンサルティングにて作成。

  • 「情報セュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものである。(IPA HPより引用)

「標的型攻撃による被害」「ビジネスメール詐欺による被害」「ランサムウェアによる被害」については、去年から引き続き上位にランクインしており、企業においてもセキュリティ対策が進められている。

一方、「サプライチェーンの弱点を悪用した攻撃の高まり」は今年はじめてランクインした脅威である。経済産業省が策定した「サイバーセキュリティ経営ガイドライン」にも、ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策の重要性が記載されており、企業におけるセキュリティの取り組みが自社に閉じずサプライチェーン全体までを意識すべきものへと拡大しているのが伺える。

経営課題として捉える、セキュリティ対策へのアプローチ方法

セキュリティは企業活動ならびに企業の所有する資源すべてと密接に連携している。このため、セキュリティを担保するための対策は、「テクノロジー」「人・組織」「プロセス」「規範・法律」の4象限で網羅的に検討することが重要だろう。

近年のデジタルトランスフォーメーションやビジネスのグローバル化に伴い、急増しているサプライチェーン攻撃を例に挙げると、以下のように整理することができる。

「テクノロジー」…サードパーティ製品や委託先/再委託先のシステムにおける脆弱性の把握・改善要望
「人・組織」…委託先社員の役割・責任の定義およびセキュリティ教育状況の把握・改善要望
「プロセス」…情報共有体制の確立、定期的な報告の実施
「規範・法律」…契約書における自社-委託先間のセキュリティ責任範囲の明文化
※上記対策はあくまで一例であり、下で述べるように企業・状況に合わせた対策を検討する必要がある。

対策は以下のような工程で検討を進めることが望ましい。
①保有する情報資産を整理・把握し、現状のセキュリティ対策の成熟度・整備状況を評価する
②評価に基づきセキュリティ対策の優先度を決定し、喫緊課題への着手を順次開始する
③喫緊課題と並行して、中長期的視野に基づいて投資計画、教育計画を策定する

各工程において一般的なセキュリティ対策論に基づく対策を検討・実施するのではなく、自社の業務を深く理解し、現場のリアルな実情や経営戦略を踏まえ、自社で現実に悩んでいる課題にフォーカスしたセキュリティ対策を実施することが、課題解決に向けて非常に重要である。

ある企業では、個人情報を扱うWebサイト開発に取り組んでおり、『マルチベンダー体制・短納期』という開発の性質ゆえ、セキュリティテスト計画の実施・品質担保に不安を抱えていた。具体的な課題としては、マルチベンダー体制ゆえのテスト品質差異の発生や関係者間の調整不足による脆弱性対応の遅延、短納期ゆえのリリース優先によるセキュリティ品質担保などがあった。


これからもデジタルトランスフォーメーションやグローバル化はより一層加速する。IoTやAI、クラウドといったデジタルテクノロジーの活用が進む中、サプライチェーンまで含めた企業活動全体におけるセキュリティ対策が今後より重要性を増す。企業においては、セキュリティ対策をコストとしてではなく投資として捉え、企業の経営責任を果たすための経営課題として取り組む必要がある。

 

page top