加害者にならないためのサイバー攻撃防止法（第6回）止まらない脅威の多様化。対策概要を解説

公開日：2017.05.31

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　企業が取り組むべき情報セキュリティー対策が多岐にわたっている。情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2017」（2017年3月）によれば、企業などの組織への脅威としては「標的型攻撃による情報流出」が1位となった。2016年に7位だった「ランサムウェアによる被害」が2位に急浮上、以下「ウェブサービスからの個人情報の窃取」「サービス妨害攻撃によるサービスの停止」「内部不正による情報漏えいとそれに伴う業務停止」と続く。第8位には「IoT機器の脆弱性の顕在化」が入り、話題のIoTに対する情報セキュリティー対策も考慮しなければならない。多様化し続ける攻撃に、企業としてどう対策を施すべきなのだろうか。

脅威ごとに必要な対策も変わる

　特定の組織に狙いを定めて、さもありそうなシナリオを作って社員をだます「標的型攻撃」、悪意を持ったプログラムでパソコンなどを使えなくさせて身代金を取ろうとする「ランサムウエア」、Webサイトのセキュリティー上の弱点を狙って個人情報を盗み取る「脆弱性攻撃」と、主要な脅威だけでもその攻撃手法は異なる。

　脅威の手法が異なると、それを防御する仕組みも当然違ってくる。標的型攻撃に遭っても被害を最小化できるようにメールの添付ファイルをいったん隔離する、ランサムウエア対策にバックアップソリューションを活用する、脆弱性攻撃にはアクセスログのリアルタイム分析を導入する、などが考えられる。専任の担当者が24時間365日監視を行うSOC（セキュリティーオペレーションセンター）と呼ばれる組織を活用するといった施策もある。

自社でツールを選んで導入するのは難しい …

　標的型攻撃に対応するために情報セキュリティー対策を考えると、さまざまなツールが選択肢に挙がる。次にランサムウエア対策ツールを選ぼうとすると、これまた他に多くのツールがあることに気づくだろう。

　多様な攻撃に対し、情報セキュリティーの専門家でもない普通の企業がこれらのツールを選び、自分で組み合わせて導入するのはハードルが高い。そこでツールの導入を支援する事業者や、情報セキュリティー対策全体をサービスとして提供する事業者が存在する。

　具体的には、情報セキュリティー対策のための社内体制やツール導入のアドバイスを行うコンサルティング会社、ベンダーからツールを調達して導入を支援するシステムインテグレーター、クラウド形式も含めたパッケージ製品などで情報セキュリティー対策を提供するサービス提供事業者などがある。

対策にはネットワークの観点が欠かせない

　コンサルティング会社を活用すれば、第三者視点から自社に適切なツールや運用方法を提案してくれる。しかし、コンサルティング費用を含めたコストは安いとはいえない。

　大企業が情報セキュリティー対策を導入する場合に多いのが、システムの開発や運用を委託しているシステムインテグレーターを利用するケースだ。大企業では日ごろから付き合いがあるので安心感があるし、情報セキュリティー対策ツールもスムーズに導入できる。

　しかし、中堅・中小企業では普段から付き合っているIT企業がないところが多く、また、どこまで手厚く対応してくれるのか分からない不安が付きまとう。そこで注目したいのが、情報セキュリティー全体を見てくれるサービス提供事業者だ。

　情報セキュリティー対策のサービス提供事業者に絞ったとしても、さまざまな事業者が見つかるだろう。事業者選びの注意点を挙げるとすれば、情報セキュリティー対策にはネットワークの観点が欠かせない点だ。パッケージ製品を導入したとしても、ネットワーク周りの情報セキュリティー対策は別会社に頼まなくてはならないケースもある。

　多様化する脅威に対応するには、総合的な情報セキュリティー対策が不可欠だ。ネットワークも含めた広範囲にわたる対策を確実に行える事業者をいかに選ぶかがカギとなる。情報セキュリティー対策のパートナー選びに自信のない企業は、ネットワーク周りの対策を行えるサービス提供事業者から探してみてはどうだろうか。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

執筆＝高橋秀典

【MT】

あわせて読みたい記事

最新情報セキュリティ対策総覧（第1回）
保存版！対策が見えてくる「脅威の分類」
ネットワークセキュリティデータ保護・バックアップ
2017.09.06
Biz Clip調査レポート（第7回）
通信事業者セキュリティーイメージ調査2017
ネットワークセキュリティ
2017.05.29

「脅威・サイバー攻撃」人気記事ランキング

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

加害者にならないためのサイバー攻撃防止法

企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
ダウンロード
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
ダウンロード
その対策は効果ナシ！セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が崩れ始めています。本当に必要な対策とは何か？情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。
ダウンロード