fbpx

Blog

企業のセキュリティ対策の極意~セキュリティ脅威毎にやるべきこと・事例

情報セキュリティ対策のイメージ

標的型攻撃リスクに対処するための情報セキュリティ・リテラシー

企業の情報セキュリティを取り巻く10の脅威(情報機器の紛失、ソーシャルメディアの問題、ウェブの改ざん、悪意あるアプリ、不正ログイン、スパイ活動、脆弱性を突いた攻撃、不正送金、マルウェアでの詐欺や恐喝、サービス妨害)の特徴と攻撃方法を解説し、対策方法のポイントを事例とともに紹介します。

 <目次>
企業を取り巻くセキュリティの10の脅威
機器の紛失漏洩のセキュリティ対策方法と事例
SNSの軽率公開のセキュリティ対策方法と事例
ウェブ改ざんのセキュリティ対策方法と事例
悪意あるアプリのセキュリティ対策方法と事例
脆弱性を突いた攻撃のセキュリティ対策方法と事例
不正ログインのセキュリティ対策方法と事例
スパイ活動のセキュリティ対策方法と事例
マルウエアでの詐欺・恐喝のセキュリティ対策方法と事例
セキュリティ対策のポイントのまとめ

企業を取り巻くセキュリティの10の脅威

企業を取り巻く情報セキュリティの10の脅威の説明図

今までの情報セキュリティでは、メールによるウイルス感染が大きな脅威とされていましたが、ウイルス対策ソフトの普及もあり、最近は、脅威レベルは下がってきました。
それでは、昨今、特に問題視されている企業の情報セキュリティの10大脅威を見てみましょう。

従来から変わらず、問題となっているのが情報機器の紛失で、特にスマホなどの紛失が増えています。

最近の特徴は、ソーシャルメディアの問題です。軽率な情報公開が社会問題となっています。

標的型攻撃の典型的攻撃方法がウェブの改ざんによるフィッシングでの情報の詐取です。

標的型攻撃のもう1つの代表的攻撃方法が悪意あるアプリです。ウイルスと同じように悪さをするプログラムですが、ウイルス対策ソフトで対処できないことが深刻な問題となっています。

標的型攻撃のねらいは、重要情報を盗み出すこと、そして金銭を詐取することです。そのためには不正ログインをしなければなりません。
企業活動がグローバル化し、インターネットも世界中とつながっています。一般企業もスパイの対象となっています。

ウエブやサーバー、パソコンのOSなどの脆弱性を突いた攻撃による情報の流出や不正アクセスが急増しています。

ネットバンキングへの不正ログインによる不正送金は、被害件数も金額も増加しています。

情報機器やデータをロックしたり、暗号化するマルウェアを送りつけ、機器やデータを人質にして恐喝する、今までにない攻撃もあります。

ウェブやサーバーへの大量アクセスやメールの送りつけによって、システムを麻痺させてサービス妨害する攻撃もあります。

これらの脅威は、それぞれ単独ではなく、組み合わせられて攻撃されるのが最近の傾向でもあります。

それでは、このような脅威に対するセキュリティ対策のポイントを見ていきましょう。

機器の紛失漏洩のセキュリティ対策方法と事例

機器の紛失の事例

ノートパソコン、スマホ、タブレット端末、USBメモリなど情報機器やメディアを紛失し、重要な情報を漏えいさせてしまう問題です。
この時、機器などに保存されているデータの漏えいだけが問題ではありません。
機器に保存されているシステムへのログインのためのIDやパスワードが攻撃者の手に渡ることが深刻な問題となります。

セキュリティ対策のポイントは、
機器やメディアを社外に持ち出さないことです。持ち出さずにすむように仕事の仕方を改善しましょう。
持ち出す必要がある場合は、会社の許可を取り、肌身離さず、持ち歩きましょう。

持ち出す場合は、機器やメディアにはデータを入れないようにしましょう。特にパスワードなどは記憶させてはいけません。

データも持ち出す必要がある場合は、会社の許可を取り、データを暗号化し、万一、機器を紛失してもデータを読み取れないようにします。
さらに、紛失したとき、遠隔操作でデータを消去できる設定をしておきましょう。
 

セキュリティの学習動画>7日間無料

情報セキュリティ学習イメージ動画で学ぶ
情報セキュリティの取組み方法

セキュリティ対策の進め方とポイントを解説
事例も豊富・ツールも使い放題
300以上の動画が定額見放題
もっと見る

 

SNSの軽率公開のセキュリティ対策方法と事例

SNSによる軽率公開の説明図

仕事での出来事や感想などソーシャルメディアなどで公開し、社内の機密情報やノウハウを漏えいさせてしまう問題です。
本人は、悪気もなく、問題ないと判断して、公開した情報によって、競合などが利益を得てしまいます。
そして、ソーシャルメディアで自分の素性を明かすことで、攻撃者のターゲットとされてしまう恐れがあります。

セキュリティ対策のポイントは、
自分の中にある二つの立場を認識し、公私を分離することです。
仕事をする社会人としての自分、プライベートの個人としての自分に分離しましょう。
ソーシャルメディアは、プライベートの個人の世界だけで利用するようにします。
仕事上の情報一切をソーシャルメディアで投稿したり、保管したりしてはいけません。

ウェブ改ざんのセキュリティ対策方法と事例

ウェブ改ざんのフィッシングの事例

始まりは、一通のメールです。
自分の取引している銀行から不正アクセスを受けているので、すぐにパスワードを変更するように緊急対応の案内メールが届きます。
これを受け取ったあなたは、びっくりしてメール本文に記載されているURLをクリックして、パスワード変更のログイン・ウェブサイトを開いて、パスワードを入力しようとします。

実は、このウェブサイトは「改ざん」された偽モノです。
本物のウェブサイトとそっくりで簡単には区別がつきません。
攻撃者が用意したパスワードを盗み取るための偽のウェブサイトにあなたは誘導されてしまいました。
フィッシングされてしまったのです。

偽のウェブサイトと知らずにパスワードを入力すると攻撃者にパスワードが盗み取られます。
このパスワードを使って不正ログインをして、あなたの情報や財産を盗み取るのが目的です。

このウェブサイトからマルウェアを送りつけられて感染させられることもあります。
マルウェアは、あなたのパソコンに潜んで、盗聴や盗撮、重要な情報の抜き取りを行います。

このような改ざんされたウェブの脅威に対するセキュリティ対策のポイントは、
送られてきたメール本文中のURLをクリックしないことです。
何か、案内が来たときは、取引先のホームページにアクセスして、そこから手続きを行いましょう。

「改ざん」されたウェブサイトへの誘導は、メール以外にも様々な方法で巧妙に仕掛けてきます。
最後は、本物と偽物のウェブサイトを見分けることが大切です。

見分けるポイントは、URLを確認することです。
事前にもらっている処理ガイドなどに記載されているURLと同じか確認します。
ヤフーやグーグルなど有名な検索サイトから正規のホームページにアクセスし、そのホームページのURLと比較してみましょう。

通常、パスワードの入力など重要な情報の入力時は、SSL暗号化通信のウェブサイトで行われます。
URLの先頭がHTTPSとなっているか確認しましょう。最後にSがついていればSSL暗号化通信となっています。

そして、最近では、本物のウェブサイトが「改ざん」され、そこから「必要なドライバーをダウンロードします」と案内し、マルウエアをダウンロードさせて感染させる手口も確認されています。
本物のウェブサイトを「改ざん」されているので、見破ることはできません。
対策として、インストールされているソフトウエアとセキュリティ対策ソフトは最新の状態となるように常に更新しておきましょう。

悪意あるアプリのセキュリティ対策方法と事例

悪意あるアプリの対策事例

パソコンやスマホ、タブレット端末は、アプリを入れることでいろいろと便利になります。
残念ながら、このアプリの中には、悪意あるアプリがいます。

悪意あるアプリは、ウイルスに感染させたり、ばらまいたりします。
攻撃者と裏口で接続し、そこから重要な情報を送ったり、クレジットカードなどの情報を盗み取ったりします。

このような悪意あるアプリに対するセキュリティ対策のポイントは、
まず、アプリは信頼できるサイトからダウンロードすることです。
端末やOSの公式のアプリサイトが信頼できるサイトです。
そして、信頼できる実績のあるアプリを選びましょう。

アプリのインストールは必ず自分で行うことも重要です。
他人にインストールしてもらったアプリを、インストールした人が悪用したという事件もあります。

仕事で使うスマホやタブレットには、会社の許可なく、アプリをインストールしてはいけません。
そして、セキュリティ対策ソフトを必ずインストールしておきます。

悪意あるアプリは、ウイルスとして検知されないものが多いので、セキュリティ対策ソフトは、不正な挙動を検知することのできるモノを選びましょう。

脆弱性を突いた攻撃のセキュリティ対策方法と事例

脆弱性対策の事例

攻撃者は、ウェブサイトやサーバー、パソコンなどのOSや組み込まれているソフトウエアの脆弱なポイントを突いて、不正アクセスを仕掛けてきます。
脆弱なポイントから重要な情報を盗み取っていきます。

セキュリティ対策のポイントは、
OSやソフトウェアの余分な機能は停止させておくこと。
OSやソフトウェアは、最新の状態となるように常に更新しておくこと。
セキュリティ対策ソフトをインストールしておくことです。

不正ログインのセキュリティ対策方法と事例

パスワード設定の対策事例

攻撃者は、今まで説明した様々な脅威を利用して、パスワードを盗み出して不正ログインを仕掛けてきます。

ひとたび、不正ログインされてしまうと、そのパソコンやサーバーは攻撃者の思うままに操ることができます。

ウイルスに感染させたり、ばらまいたり、重要な情報を抜き取ったり、書き換えたりできます。

パスワードを盗まれないために、今まで説明したセキュリティ対策を確実に行いましょう。

パスワードが盗まれないようにしても、簡単なパスワードは、すぐに解読されてしまいます。

パスワードのセキュリティ対策のポイントは、
アルファベットの大小の文字、数字、記号を組合せたものにすることです。
文字数は8桁以上にします。重要な情報や取引システムへのログイン用のパスワードは10桁以上が望ましいです。
誕生日や電話番号など簡単に調べられる情報はパスワードに使ってはいけません。

パスワードは、システム毎に変えましょう。管理が甘いサイトからパスワードを盗み出し、同じパスワートでログインするというのが最も多い攻撃方法の一つと言われています。

桁数の多いパスワードは覚えられません。手帳に書き留めておいては、パスワードの意味がありません。パスワードをつくる法則を決めて、その法則を覚えるといいでしょう。

さらに強い不正ログインの防止方法は、2段階認証です。
ログインのパスワードを入力すると、システムからパスコードの入力を求められます。
パスコードは、ワンタイムパスコード発行機や携帯電話に送られてきたコード、事前に配付されているコード表に基づいて入力します。ワンタイムパスコード発行機や携帯電話、コード表を持っている人でなければ、ログインできないというしくみです。
重要なシステムへのログインは2段階認証にしましょう。

スパイ活動のセキュリティ対策方法と事例

スパイ対策の事例

攻撃者は、今まで説明した様々な脅威を利用して、不正アクセスし、スパイ活動をします。

スパイ活動では、重要な情報を抜き取るだけでなく、パソコンやスマホに搭載されているマイクやカメラを操って情報を盗み取ります。

例えば、会話は、マイクを遠隔操作して、盗聴できてしまいます。
カメラを遠隔操作して、盗撮もできてしまいます。

不正アクセスされないために、今まで説明したセキュリティ対策を確実に行いましょう。

さらに、情報にたどり着くまでの段階毎にアクセス制限をかける多段階アクセス制限を設定して、容易に重要な情報にたどり着けないようにします。

そして、重要な情報は暗号化しましょう。

盗聴、盗撮のセキュリティ対策のポイントは、
遠隔操作されやすいスマホやタブレット端末などは機密情報を話している会議などの場に持ち込まないことです。
また、スマホなどを紛失したときに役立つ探索アプリは、盗聴、盗撮に悪用される可能性がありますから、マイクやカメラの遠隔操作機能は使えないように制限しておきましょう。

マルウエアでの詐欺・恐喝のセキュリティ対策方法と事例

マルウェア対策の事例

メールや「改ざん」したウェブサイトを使ってマルウエアを送りつけ、パソコンなどのログインパスワードを書き換えて使えなくするという新たな攻撃が確認されています。
データなども勝手にパスワードでロックしたり、暗号化してしまいます。
データや機器を人質に取って、金銭を要求してくる犯罪行為です。

セキュリティ対策のポイントは、
今まで説明したセキュリティ対策を確実に行うこと。
そして、万一、ロックされても被害がないようにデータをバックアップしておきます。
機器をロックされないためには、2段階認証にすることが有効です。

セキュリティ対策のポイントのまとめ

セキュリティ対策のまとめの説明図

以上説明してきたセキュリティ対策のポイントを確認しましょう。

パスワードは、アルファベットの大小の文字で8桁以上、利用するシステム毎にパスワードは変えるということです。

重要なシステムへのログインは、2段階認証にしましょう。

パソコンなどの情報機器にはセキュリティ対策ソフトをインストールします。

インストールされているソフトウエアは、最新の状態となるように常に更新しましょう。

データはこまめにバックアップをしておきます。

重要なデータ、外部に持ち出すデータは暗号化しましょう。

スマホやタブレット端末にもセキュリティ対策ソフトをインストールしてください。

アプリは、会社の許可を得て、信頼できるアプリだけを使いましょう。

セキュリティの学習動画>7日間無料

情報セキュリティ学習イメージ動画で学ぶ
情報セキュリティの取組み方法

セキュリティ対策の進め方とポイントを解説
事例も豊富・ツールも使い放題
300以上の動画が定額見放題
もっと見る

 

【この記事を書いた人:

情報セキュリティについての研修・診断コンサルティングの無料相談・お問い合わせ
お電話でのご相談は、052-747-5772まで、お気軽にお電話ください。メールでのご相談は、24時間こちらのメールフォームからお問い合わせください。

関連記事

MTOアプリ&コンサル

定額動画学習

ブログをメールで購読

メールアドレスを記入して購読すれば、更新をメールで受信できます。

43人の購読者に加わりましょう

最近の記事

ページ上部へ戻る