現代社会ではインターネットが必要不可欠な存在となり、今やほとんどの企業が有効活用しています。しかし、企業の情報システムやWebサイトが、さまざまな脅威に晒されていることをご存知でしょうか?
情報システムやWebサイトにおけるセキュリティリスクは、企業生命にも関わってくる重要な問題です。この記事では、どのようなセキュリティリスクが存在し、どういった対策を取っていくべきなのか、わかりやすく解説します。
セキュリティ上の脅威一覧
そもそも、情報システムやWebサイトにはどのような脅威が潜んでいるのでしょうか?セキュリティ上の主な脅威としては、以下のような種類があります。
|
脅威の種類 |
起因する事故 |
|
個人情報漏洩 |
住所や電話番号の悪用 口座番号の流出 クレジットカードの不正利用 社会的信用の失墜 被害者への損害賠償 |
|
企業秘密漏洩 |
取引先情報の流出 営業秘密の漏洩 記録媒体の紛失 企業の信用力低下 |
|
金融サービスの不正利用 |
クレジットカード情報の流出 ネットバンキングの不正送金 口座情報の漏洩 |
|
Webサイトの改ざん・機能停止 |
Webサイトのコンテンツ改ざん Webサイトの機能停止 悪意あるリンクの貼付 ウイルスの埋め込み |
|
マルウェア感染 |
システムの停止 マルウェアの感染拡大 |
個人情報漏洩
Webアプリケーションを使用する際には、氏名や住所、電話番号などさまざまな個人情報を入力します。個人情報が漏洩すれば、住所や電話番号を悪用されたり、クレジットカードを不正利用される恐れがあります。また、被害者への損害賠償に多額の費用がかかるケースも多く見られます。
個人情報が漏洩する要因として、サイバー攻撃と従業員による人的ミスの両方が考えられますが、いずれにしても個人情報は絶対に保護されなければなりません。個人情報が流出するのは深刻な責任問題であり、企業の社会的信用にも大きな影響をもたらします。
企業秘密漏洩
企業や組織には、さまざまな企業秘密が存在します。不正アクセスが原因で重要な機密情報が盗み出されてしまうと、取引先情報の流出や営業秘密の漏洩につながります。
また、記録媒体を紛失したり、社内コンプライアンス上の問題が暴露されてしまうと、自社のみならず取引先にも大きな被害をもたらします。企業間における信頼関係も失墜し、その後のビジネスにも大きな影響を与えるでしょう。
金融サービスの不正利用
クレジットカードを利用している企業も多いことでしょう。
システムの脆弱性を狙ったサイバー攻撃によりクレジットカードの情報が漏洩すると、カードの不正利用といった金銭的な被害が発生します。さらに、ネットバンキングなどの口座情報まで盗み出されてしまうと、口座間の不正送金にまで被害が及んでしまいます。
Webサイトの改ざん・機能停止
情報システムに不正アクセスされると、企業が運営するWebサイトに外部からログインされてしまう恐れがあります。この場合、Webサイトのコンテンツを故意に書き換えられたり、勝手に変更されたり、場合によってはサイトそのものが機能しない状態に追い込まれます。
その結果、企業にとって売上が減少するなどの実害が生じ、悪意あるリンクの貼付やウイルスの埋め込みによって、Webサイトにアクセスした利用者に二次被害が及ぶ危険性もあります。
マルウェア感染
インターネットのトラブルでよく耳にするのが、ウイルスなどのマルウェア感染です。
「ウイルス」とは、悪質な動作を行うように意図して作られたプログラムの一種です。そのウイルスを含む、不具合を起こすことを目的に作られたプログラムの総称を「マルウェア」と言います。近年は、不当な金銭要求を行うランサムウェアによる問題が取り上げられる機会も増えてきています。
企業や組織へマルウェアが持ち込まれると、顧客の端末にまで連鎖してウイルス感染が広がることがあります。つまり、間接的に自らがサイバー攻撃を行う立場になりかねないのです。また、ウイルスが原因でシステムを停止した場合、営業活動や企業の売上に甚大な被害をもたらすことになります。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計150万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
脅威に対するセキュリティ対策一覧
情報システムやWebサイトにはさまざまなセキュリティリスクがあるため、一つ一つきちんと対策を練ることが大切です。それぞれのリスクに対する対策方法を以下にまとめました。
|
対策方法 |
具体的な手段 |
|
従業員の教育と管理 |
持ち出し可能な端末に個人情報や企業秘密を保存しない 従業員のITリテラシーを高める 情報の持ち出し可能な人員を限定する 大切な情報の取り扱いは許可制にする |
|
不正アクセスの検出と遮断 |
ファイアウォールの導入 IDS/ IPS(不正侵入検知・防御システム)の導入 |
|
アプリケーションを最新に保つ |
各種アプリケーションのこまめなアップデート |
|
ウイルス対策 |
ウイルス対策ソフトの導入 定義ファイルのこまめなアップデート フィルタリング機能の活用 |
|
Webサービスの脆弱性対策 |
定期的な脆弱性診断 |
従業員の教育と管理
個人情報や企業秘密の漏洩は、人的ミスや不適切な取り扱いが原因であるケースが多々あります。大切な情報を流出させないために、従業員の教育と管理を行うことも企業の役目です。情報漏洩がいかに企業に甚大な被害をもたらすかを教育し、従業員のITリテラシーを高めましょう。
また、持ち出し可能な端末に個人情報や企業秘密を保存しないことも重要です。私物の端末やプログラムは一切持ち込まないというルールを設けましょう。最近は働き方改革により、リモートワークを取り入れる企業が増えています。重要なデータの取り扱いには厳重な注意を払い、持ち出し可能な人員を限定することや許可制とするなどして、徹底した管理を心がけましょう。
不正アクセスの検出と遮断
情報漏洩の原因の一つが、第三者による不正アクセスです。情報システムやWebサイトへの不正アクセスを未然に防ぐには、侵入経路を検出して遮断することが重要です。
外部からの侵入を防ぐことができれば、社内の重要なデータも安全に保管できます。例えば、不正アクセスの入口になりやすいポートは、ファイアウォールの導入により制御することができます。また、通常とは異なる通信を検知した際、自動的にブロックしてくれる「IDS/ IPS(不正侵入検知・防御システム)」を導入するのも効果的でしょう。
アプリケーションを最新に保つ
情報システムやWebサイトに利用しているアプリケーションは、常に最新の情報にアップデートしましょう。
近年、CMS(コンテンツマネジメントシステム)などは利便性が高いことで多くのユーザーを抱えていますが、その反面新たな脆弱性が発見されるたびにサイバー攻撃の対象となります。システムを提供する側も発見次第すぐに対策を講じますが、アプリケーションの更新を怠っていると第三者による攻撃を受ける危険性が高くなります。
ウイルス対策
インターネットに潜む危険性を抑えるには、ウイルスへの対策が大前提となります。まずは、企業で使用しているパソコンやサーバーにウイルス対策ソフトをインストールしましょう。定義ファイルを常に最新の状態に保っておくことも大切です。
ウイルスは一度感染すると拡散しやすく、業務に使用するパソコンが1台でも影響を受けると、企業内はもちろん、Webサイトなどを介して利用者までもが感染しかねません。また、何気なくアクセスしたWebサイトでウイルスに感染してしまうこともありますので、インターネットのフィルタリング機能も併用すると安心です。
Webサービスの脆弱性対策
不正アクセスなどのサイバー攻撃は、Webアプリケーションの脆弱性を狙って実行されます。セキュリティ対策として、「ファイアウォール」や「IDS/ IPS」など挙げましたが、これだけでは十分な対策とは言えません。
そこで有効なのが、「WAF(Web Application Firewallの略)」です。従来の製品では防ぐことのできなかった、Webアプリケーション層に対する攻撃を防御できます。Webアプリケーションへの攻撃パターンをもとに、悪意を持った通信であるかどうかを判定し、該当する場合には検出・遮断します。
Webアプリケーションの脆弱性をカバーするだけでなく、万が一不正アクセスを受けても被害を最小限に抑えることができます。
最後に
ビジネスにおいて、インターネットが幅広く活用されるようになった今、どんな業種・企業にとってもセキュリティ対策は極めて重要な問題です。
EGセキュアソリューションズでは、ソフトウェア型WAF「SiteGuardシリーズ」を提供しています。高品質ながらも、コストを抑えて簡単にWAFを導入・運用することができます。この機会に、Webサイトのセキュリティを向上させてみませんか?
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
