時代の流れを受けて「最近は企業規模に関わらず、サイバー攻撃の被害が増えている・・・」と危機感をお持ちの方や、「自社のセキュリティ対策に危機感があるけど、何をどう準備すればいいのか・・・」とお悩みの方も増えてきているのではないでしょうか？

今回は、なぜ今セキュリティ対策が必要なのか、そして、何から始めていくべきなのかについてわかりやすく解説します！

要点をピックアップして簡潔にお伝えするので、ぜひ一緒にポイントをおさえていきましょう！

「セキュリティ」と聞くと身構えてしまいますが、適度に休憩を取りながら、肩の力を抜いてゆっくり読み進めてみてくださいね。

目次

---

1. サイバーセキュリティとは

1.1.情報セキュリティとサイバーセキュリティの違い
1.2.サイバーセキュリティの必要性
1.3.サイバー攻撃の代表的な手法

2. 最低限おさえておきたいセキュリティ対策8選

2.1.アンチウィルスソフトを利用する
2.2.適切なパスワード運用
2.3.適切なデータバックアップ運用
2.4.OSやアプリケーションは常に最新の状態に
2.5.共有設定に注意する
2.6.悪意のあるWebサイトや心あたりのないメールに注意
2.7.公衆Wi-Fi（フリーWi-Fi）を使用して重要な情報にアクセスしない
2.8.IPA「中小企業情報セキュリティ対策ガイドライン」の活用

3. 意外と見落としがち！社用スマホのセキュリティ対策

3.1.公衆Wi-Fi（フリーWi-Fi）を使わない
3.2.OSやアプリを常に最新の状態に保つ
3.3.画面ロック・パスワードを設定する
3.4.セキュリティアプリを入れる
3.5.業務用以外のアプリをインストールさせない
3.6.端末の使いまわしをしない
3.7.MDMやMAMの導入

4. まとめ

1.1. 情報セキュリティとサイバーセキュリティの違い

まずは、「情報セキュリティ」と「サイバーセキュリティ」について解説していきます。「え、同じじゃないの？」と思った方は、ぜひその違いについてチェックしてみてくださいね。

どちらも企業が保有する情報資産を守ることを目的としています。

「情報セキュリティ」とは、情報を保有している媒体に関わらず、情報を守るためのセキュリティのことを指します。紙も電子も関係なく、すべての情報に対して、それらを保護することを意味します。

一方「サイバーセキュリティ」とは、電子化された情報を守るためのセキュリティを指しています。昨今、企業の規模に関わらずあらゆる業務のIT化が進んでいることで「サイバー攻撃」の被害が増加しています。そのため、「サイバーセキュリティ」の重要度も増しているのです。

これら2つのキーワードは、場合によっては情報セキュリティがサイバーセキュリティの意味を含むような使われ方をするケースもありますが、本記事では区別し、「サイバーセキュリティ」に関して、具体的な解説を進めていきますね！

1.2. サイバーセキュリティの必要性

では、この「サイバーセキュリティ」おこなわないとどうなるのでしょうか？
結論からお伝えすると、最悪の場合、事業の継続が困難になってしまう可能性もあります。

というのも、これまでは紙で管理していた情報を、今ではネットワーク上で管理しているケースが増えており、電子化された情報資産はこれまで以上に企業にとってなくてはならないものとなっているからです。

そばにあるのが当たり前の重要な情報が、ある日突然使えなくなったら・・・と思うと、ぞっとしてしまいますよね。

「サイバー攻撃は大手企業が狙われる」というイメージもあるかもしれませんが、最近ではサイバー攻撃の代表ともいえるランサムウェアの被害件数の半数以上が、中小企業を狙ったものである、といったニュースも報じられており、会社の規模に関わらず標的となっています。

攻撃する側は「うちは大手ではないから狙われないだろう」という考えを逆手にとり、セキュリティの脆弱性をついてくるようになってきているんですね・・・。

そして、年々サイバー攻撃の被害が拡大しているものの、実際にはまだまだコストをかけてまで対策しなくても大丈夫なのではないか…と考える企業が多いのが現状です。

セキュリティ対策はそれなりにコストや労力を必要とするため「うちは大手ではないから、狙われないのではないか」と考え、優先順位が下がってしまう気持ちも非常によくわかります。

しかし、もはや他人事とは言えなくなってきたサイバー攻撃・・・。万が一の場合に被害を最小限におさえるためにも、できることから準備しておくことが大切です。

1.3. サイバー攻撃の代表的な手法

ランサムウェアのお話しが出たので、ここからはサイバー攻撃の代表的な手法をいくつかご紹介しますね。

サイバー攻撃とは「インターネットを介して、被害を加えること」を指し、パソコンやスマートフォン（以下、スマホ）などの端末から、個人情報や金銭を盗んだり、システムの機能を停止させたりすることを目的に攻撃をおこなうことです。

代表的な攻撃手法には以下があります。

■マルウェア攻撃

マルウェアとは、「Malicious（悪意ある）」＋「Software（ソフトウェア）」からきている言葉です。コンピューターに被害を与えることを目的としたソフトウェア全般を指します。

---

■ランサムウェア

ランサムウェアは「Ransom（身代金）」＋「Malware（マルウェア）」からきている言葉で、パソコンに侵入し、企業が保有するデータを不正に暗号化して利用不可能な状態にしたうえで、その重要データを人質とし身代金を要求する手口のマルウェア攻撃を指します。

---

■標的型攻撃

標的型攻撃とは、ターゲットとなる企業や個人に関する情報を調べ、そのターゲットを騙すようなメール文章を作成し、送り付ける手口を指します。そのメールに添付されたファイルを開いてしまうことで、マルウェアに感染し、情報漏洩が起きてしまったり、複合的に他のマルウェアに感染してしまったり…といった被害が報告されています。

---

■ビジネスメール詐欺(BEC)

ビジネスメール詐欺とは、業務用のメールを悪用し会社の役員や取引先になりすまして従業員をだまし、不当な送金を促す詐欺です。この詐欺を実行するまえに、マルウェアを使用して社内の情報を盗み、精度の高い偽のメールを作成することもあります。

---

■パスワードリスト攻撃

パスワードリスト攻撃とは、同一のパスワードを複数のWebサービスで使い回す傾向を利用し、様々なWebサービスでログインを繰り返し試みる手口を指します。何らかの形で不正に入手したIDとパスワードの組み合わせを利用して、複数のサイトでログインを試みます。そして、ログインに成功することで、そのサイトから個人情報や金銭が盗まれてしまいます。

---

■パスワードスプレー攻撃

パスワードスプレーとは、総当たり攻撃の一種で、悪意を持った攻撃者が複数のアカウントで同じパスワードを使用し、不正にログインをしようとする手口を指します。たとえば、「1234567」といったシンプルかつ多くのユーザーが使いやすいパスワードなどを、手あたり次第、複数のアカウントで試していくようなイメージです。

最近のシステムでは、一定時間内に一定数のログインエラーが発生すると、アカウントのログインをロックする仕組みが搭載されていますが、パスワードスプレー攻撃は、何度も同じアカウントにログインするのではなく、同じパスワードを手あたり次第に複数のアカウントで試す手口なので、ログインロックを回避されてしまう危険性があります。

---

いかがでしょうか？一度は聞いたことがあるものも多いのではないかと思います。そして残念なことに、上記の手法は実はほんの一部で、サイバー攻撃手法も日々進化し、増えています。

サイバーセキュリティが必要なことはよくわかった…でも、何をどう進めていけばいいかわからない…と思われた方、焦らなくても大丈夫です。

すべてを完璧にする、という考え方ではなく「今どんな準備が必要で、何なら準備が可能なのか」を1つずつおさえていくことが大切です。時代の変化に合わせて、サイバー攻撃の手法も常に変化します。そのため、完璧にすべてを準備するのは不可能とも言えます。

しかし、日々最新の被害の状況や手口にアンテナを張りながら、自社に置き換えて考えた場合にどうなるのかを考えながら準備をしていくことで、万が一の場合の被害の大きさを最小限におさえることができます。ここからは、具体的な対策を方法の例をピックアップしてお伝えしていきますね。ぜひ、「どこができていて、どこが足りていないかな？」とチェックしてみてください。

2.1. アンチウィルスソフトを利用する

セキュリティ対策、と聞くともっとも最初にイメージされるのが、アンチウィルスソフトの導入ですよね。その性能はもちろんのこと、導入後のサポートが充実しているサービスも多くあるため、「セキュリティ対策のことがわからなくて不安」という場合にも役に立ちます。

「セキュリティ対策は初心者で・・」という方は、ぜひ一度、導入を検討してみることをおすすめします！

2.2. 適切なパスワード運用

上述したサイバー攻撃の手法例にも挙げていましたが、パスワードを狙った攻撃は今も昔も多いため、会社全体で適切なパスワードの運用をおこなうことが大切です。

二要素認証とよく似た言葉に、「二段階認証」があります。この違いも簡単に解説しますね。
まず、「本人かどうか」を認証するための材料を「要素」とよんでいますが、この要素には大きく分けて3つの種類があります。

1つ目は、知識要素とよばれ、認証されるユーザーの頭の中にしかない情報をシステム利用時に入力させる方法です。自身で設定したパスワードや合言葉を入力するイメージです。

2つ目は、所有要素とよばれ、認証されるユーザーのみが所有している「もの」を用いて認証をおこなう方法です。たとえば、ユーザーの電話番号を保持するスマホは１つしかないため、その電話番号に対してSMSで認証キーを送り、それを入力させる、などの方法があります。

3つ目は、生体要素とよばれ、認証されるユーザーの身体的な特徴を用いて認証をおこなう方法です。最近では、スマホで顔認証や指紋認証ができるようになっていますが、それらを活用して認証をおこなう方法があります。

上述した「本人かどうか」を確認するための要素を2つ以上組み合わせて認証することを、「多要素認証」とよび、2つの要素を組み合わせて認証する場合を「二要素認証」とよんでいる、というわけです。

その一方で「二段階認証」とは要素の個数ではなく、2つの段階を経て認証をおこなうことを指します。たとえば、まずは設定したパスワードを入力させ、その後、設定した合言葉を入力さえたのちにログインが完了する、というように、「知識要素」を2回入力させるようなイメージです。

二段階認証の場合、使用する要素が1種類のため、1つの要素が不正に漏れてしまった場合に突破されてしまう危険性があります。そのため、最近では、セキュリティの向上を目的に、複数の要素を掛け合わせる多要素認証を求めるケースが増えてきています。

2.3. 適切なデータバックアップ運用

万が一、ランサムウェアの被害にあってしまった場合のために、データのバックアップをとっておくことも重要です。最近では、バックアップしたデータさえもウィルスに感染してしまうケースもあるため、それらを考慮したバックアップサービスが出ています。

また、データのバックアップは、サイバー攻撃対策だけではなく、自然災害時など予期せぬ事態で発生したデータへの被害に対しても有効です。ぜひ1度、検討してみると良いでしょう。

2.4. OSやアプリケーションは常に最新の状態に

OSとは、パソコンの操作やアプリを使うための「基本ソフトウェア」のことで、代表的なものには「Windows」や「MacOS」などが挙げられます。これらはよく聞きますよね。パソコンを操作する際に、ファイルやアイコンをクリックして操作しますが、それらすべての操作を可能としているのが、OSです。

また、この基本ソフトウェアに対して、「応用ソフトウェア」と呼ばれるものがあり、代表的なものには「Google Chrome」をはじめとしたブラウザや、「Excel」などのオフィスソフトなどがあります。これらは、「アプリケーション」と同義です。

OSやアプリケーションは、日々アップデートが繰り返されており、その目的の１つがセキュリティ対策でもあります。そのため最新の状態にしておくことで、最低限のセキュリティ対策が可能となります。業務をするうえでは影響がないから…といって、古いバージョンのまま利用してしまうと、そこからサイバー被害を受けてしまう危険性があります。

2.5. 共有設定に注意する

最近では、インターネット経由でデータを管理・共有できるクラウドサービスの利用も増えていますが、接続設定を誤ってしまうことで、見られてはいけない第三者に情報を閲覧されてしまうトラブルも増えています。

「共有範囲の設定が必要である」という概念を社員全体に周知したうえで、自社が導入しているクラウドサービスの正しい設定方法について共有していくことが重要です。また、退職した社員のアクセス権限の削除なども、きちんと管理していくことが大切です。

いつでもどこでもインターネットを介して情報が確認できる分、関係のない人から見られてしまう可能性もある、ということを理解して、対策していきましょう。

2.6. 悪意のあるWebサイトや心あたりのないメールに注意

インターネット様々な情報に自由にアクセスできる一方で、中には個人情報を収集することを目的として作られた悪質なホームページが存在します。

また、「1.3.サイバー攻撃の代表的な手法」でも取り上げたとおり、悪質なメールによる攻撃も増加しているので、業務で利用しないサイトにはアクセスしないといった社内のルール作りや、危険なサイトや怪しいメールの特徴を社員全体に共有して注意を呼びかける、などの対策が必要です。

大切なのは、身近に危険が潜んでいることを、社員一人ひとりが理解して危機感を持つことですので、地道にコツコツ、継続的な呼びかけや発信をしていくことがポイントです。

2.7. 公衆Wi-Fi（フリーWi-Fi）を使用して重要な情報にアクセスしない

最近では、カフェや飲食店、商業施設などあらゆるところで、公衆Wi-Fiを利用でき、大変便利ですよね。でも実はここにも危険が潜んでいます。

公衆で活用できるWi-Fiのなかには、通信内容を暗号化していない場合があります。暗号化とは、簡単に言うと外部に情報が漏れないよう、解読できない形に変換することを言います。暗号化がされていないWi-Fiを使って送付した情報は、外部に漏洩してしまう危険性があります。

そのため、外出が多い職種で、社外ネットワーク以外のネットワークを活用しなければいけない場合は、会社でモバイルWi-Fiを準備したり、暗号化されないフリーWi-Fiからの通信情報をきちんと暗号化してくれるVPN接続を導入したりするなどの対策が必要です。

2.8. IPA「中小企業情報セキュリティ対策ガイドライン」の活用

よりしっかりとセキュリティ対策をしていきたい！という場合は、IPA 独立行政法人 情報処理推進機構が公開している「中小企業情報セキュリティ対策ガイドライン」をチェックしてみるのもおすすめです。

最近では、社用携帯もスマホを活用し、スマホから業務アプリに接続するケースも増えています。ここからは見落としがちな社用スマートフォン（以下、社用スマホ）のセキュリティ対策についても触れていきますね。

3.1. 公衆Wi-Fi（フリーWi-Fi）を使わない

社用スマホはパソコンに比べて、ついつい公衆Wi-Fiに接続してしまいやすいです。しかし、たとえスマホであっても、「2.7. 公衆Wi-Fi（フリーWi-Fi）を使用して重要な情報にアクセスしない」でお伝えした情報漏洩の危険性があることは変わりないため、パソコン、社用スマホともに公衆Wi-Fiに接続しないようにしましょう。

3.2. OSやアプリを常に最新の状態に保つ

「2.4.OSやアプリケーションは常に最新の状態に」でもお伝えしたように、スマホでもパソコン同様に、定期的なバージョンアップが行われており、その目的にはセキュリティ対策も含まれています。パソコンのアップデートだけでなく、社用スマホのアップデートについても、きちんと社員に対応を呼びかけていくことが大切です。

3.3. 画面ロック・パスワードを設定する

スマホは、パソコンに比べて紛失しやすく、万が一紛失してしまった場合に、第三者に情報を見られてしまう危険性があります。社用スマホに対しても「2.2.適切なパスワード運用」でお伝えした適切なパスワード運用を実施していくことで、情報漏洩のリスクを軽減できます。

3.4. セキュリティアプリを入れる

最近では、パソコンだけにとどまらず、スマホにもセキュリティソフトを導入する企業が増えています。

どうしてもパソコンに比べて、社用スマホへのセキュリティ意識は低くなりがちですが、社用スマホの利用が多い場合は、導入を検討してみると良いでしょう。

3.5. 業務用以外のアプリをインストールさせない

スマホは、手軽に様々なアプリをインストールできますが、中には悪意のある不正なアプリも存在しています。うっかり危険なアプリをダウンロードしてしまうと、そこからウィルスに感染してしまう危険性があります。

そのため、業務で使用しないアプリのインストールは禁止するなどのルールを設けるのが良いでしょう。

3.6. 端末の使いまわしをしない

1つの端末を複数人で利用してしまうと、パスワードの流出のリスクが高まるだけでなく、万が一その端末から情報が持ち出されてしまった場合に、誰がそれをおこなったのかを特定するのが難しくなってしまいます。

そのため、利用する端末は1人1台が理想です。パソコンは1人1台支給しているけれど、利用頻度が低い社用スマホは部署内で共有している…などのケースは注意が必要です。

3.7. MDMやMAMの導入

社用スマホの導入台数が増えてくると、社員全員にルールを徹底させることが難しくなったり、管理者が一括して社用スマホの設定をおこないたい場面が増えてきたりします。そういった場合に役に立つのが、MDMやMAMになります。

■MDM（モバイルデバイスマネジメント）とは

---

MDMとは、モバイルデバイスマネジメントの略で、業務利用するスマホなどの携帯端末を一元管理することができるツールです。

社員一人ひとりのリテラシーに依存することなく、管理者側で一元的にセキュリティ管理ができる点がメリットとなります。万が一、社用スマホを紛失した場合でも、遠隔で紛失したスマホのロックや初期化ができます。

最近では見やすいUIで作られたツールも多く、特別な知識がない場合でも簡単に利用できるものが増えています。

■MAM（モバイルアプリケーションマネジメント)とは

---

MAMはモバイルアプリケーションマネジメントの略で、スマホ端末にインストールされたアプリを管理する仕組みのことを指します。MAMを活用すると、社用スマホの内部を「業務用領域」と「プライベート領域」に分け、「業務用の領域」のみを組織で管理する、といった使い方が可能です。

MDMはデバイス全体のセキュリティ対策に適していますが、アプリ単位での管理まではカバーできないため、アプリの管理に特化したMAMを導入することでより効果的なセキュリティ対策が可能です。

いかがでしたか？今回は、企業が知っておくべきサイバーセキュリティ対策について解説してみました。

これからも加速していくIT化の時代のなかで、大切なのは「自分事として捉えること」だと感じます。今回挙げた対策を基準にできることから準備をしてみながら、自社に合ったセキュリティ対策を継続的に考えていくことが大切なのではないかと思います。

また、会社全体でサイバーセキュリティに対する意識やITのリテラシーを高める試みをしていくこともと大切です。ぜひ、定期的な情報収集や情報発信を心掛けてみてくださいね！

名古屋から愛知全域にて企業専門のホームページ制作をしています
株式会社 WWG（ダブルダブルジー）
愛知県 名古屋市中村区名駅5-16-17　花車ビル南館5F（企画）＆9F（制作）

お電話でもホームページの制作相談ＯＫ： 052-890-7007
※ホームページ制作のお問い合わせフォーム（24時間365日受付）はコチラから
HP活用サポートだけでも大丈夫です。気軽にご相談・ご質問くださいませ。