記事公開日
最終更新日
サイバーセキュリティ対策の進め方
~サイバーセキュリティ対策は企業の品格、製品の品質を守るための取り組み!セキュリティ対策のポイントをご紹介~
“蓄積されたノウハウを活かし、最適なシステムをトータルサポート”として様々なソリューションを提供している住友電設情報通信システム事業部が、製造業等に向けて様々な情報をお届けしたいと思っております。
今回は中小企業のサイバーセキュリティ対策の進め方について解説したいと思います。
昨今は工場のIT化や働き方の多様化によって様々な機器がオンライン化され、社外で業務をする機会が増えてきています。そのような中、サプライチェーン全体がネットワークに繋がり、社外での業務で情報を取り扱う機会が増えています。一方でサイバー攻撃は巧妙化しており、サイバーセキュリティ対策は急務です。AIの登場によりますます高度化するサイバー攻撃に合わせたセキュリティの重要度が非常に高まってきています。
■目次
1. サイバーセキュリティ対策の必要性とは?
2. 社内把握と人員確保・育成
3. サイバーセキュリティ対策の進め方~行政からの支援・補助、委託の選定~
4. 実際の対策と実施方法について解説
5. まとめ
1. サイバーセキュリティ対策の必要性とは?
◆サイバーセキュリティの必要性
現代社会において、サイバー攻撃はもはや珍しいものではありません。企業の機密情報漏洩、システムダウン、さらには製品の品質低下に繋がる可能性も孕んでいます。サイバーセキュリティ対策は、単なるコスト削減策ではなく、企業のブランドイメージ向上、顧客からの信頼獲得、そして持続的な成長に不可欠な要素なのです。
トレンドマイクロ株式会社の2024年12月発表では、「過去3年間で70.9%がサイバー攻撃を経験、3年間の累計被害額は平均1.7億円、ランサムウェア被害経験企業では平均2.2億円」※という記事で示す通り、なんと70%超の企業が何らかのサイバー攻撃を受けた経験があり、被害のなかった企業は38.3%と2023年の調査の27.5%より増えており、一定の対策をしている企業が増えている一方で、被害のあった企業の累計被害額は1.7億円となっており、2023年の同調査より約4,400万円も増加しています。つまり1件当たりの被害額が増えていることがうかがえます。対策を講じている会社とできていない会社とで大きな被害の差が出てくることがうかがえます。今後もサイバー攻撃は上昇する可能性が高いため、早急なサイバーセキュリティ対策が必要な状況です。
※参照記事:トレンドマイクロ株式会社「セキュリティ成熟度と被害の実態調査 2024」
https://www.trendmicro.com/ja_jp/about/press-release/2024/pr-20241210-01.html
◆なぜサイバー攻撃が危険なのか?
サイバー攻撃に合うことでどのようなリスクが存在しているのかを知ることが重要です。主に以下のようなリスクが存在します。
■ 情報漏洩
サイバー攻撃による情報流出や企業秘密、顧客情報などの漏洩は、企業の信用失墜に繋がり、多大な損害をもたらします。また最近は大手企業のサイバーセキュリティ対策が強固になったことで、大手企業にネットワークで繋がっている中小企業を入口にするための中小企業向けの攻撃が急増しているので今や「大手企業がすること」ではなくなっています。
■ システムダウン
サイバー攻撃によるシステム障害等で業務を止める必要性があると事業停止による生産性低下は、売上減少や顧客離れに直結します。2024年のトレンドマイクロの実態調査※では、最も被害の大きかったサイバー攻撃の被害による業務停止期間の平均は6.1日となっており、前年調査4.8日より1.3日も増える結果になっています。複雑化するサイバー攻撃に対処する時間が増え、その分システムダウンの時間も増えることで売上減少も大きくなってくることが予想されます。
■ 製品の品質低下
サイバー攻撃によって知らない間に製品設計データの改ざんなどされると、製品の安全性を損なう可能性があり、企業の社会的責任問題に発展する恐れがあります。
■ ランサムウェア攻撃
近年増加が激しいランサムウェア攻撃は、ネットワークに侵入後にデータを暗号化され、復元のために身代金を要求される攻撃です。顧客情報や個人情報がある場合は、対策をしている間は企業活動を麻痺させられ、直接的な金銭被害もあり得ます。また2024年のトレンドマイクロの実態調査※では、ランサムウェア攻撃に限ると復旧までの平均日数は10.2日となっており、その期間企業活動が滞るため損失は計り知れません。
※参照記事:トレンドマイクロ株式会社「セキュリティ成熟度と被害の実態調査 2024」
https://www.trendmicro.com/ja_jp/about/press-release/2024/pr-20241210-01.html
◆サイバーセキュリティ対策の重要性
上記のようなリスクを踏まえて対策が急務なサイバーセキュリティ対策ですが、対策を行う上では人的・費用的なコストが必要になります。しかし最近のサイバー攻撃を鑑みると事業活動に対しての下記のような項目で重要性が増しています。サイバーセキュリティ対策が企業の成否を左右する時代といえます。
■ 企業の品格向上
サイバーセキュリティ対策実施による顧客情報保護への取り組みは、企業の社会的責任を果たす姿勢を示し、ブランドイメージ向上に繋がります。
■ 製品の品質保証
製品開発におけるセキュリティ対策は、製品の信頼性を高め、顧客満足度向上に貢献します。
■ 事業継続性の確保
サイバー攻撃に備え、事業の継続計画を策定することで、リスクを最小限に抑える体制整備を行うことで事業の安定性を社内・社外に伝えることができます。
■ 法規制への対応
個人情報保護法などの法規制への遵守は、企業の社会的責任や金銭的な被害から企業を守る上で不可欠です。
2. 社内把握と人員確保・育成
サイバーセキュリティ対策を成功させるためには、まず自社の現状を正確に把握したうえで、最適なシステムの構築とそれを維持管理していくための適切な人員を確保・育成することが重要です。
◆現状把握
■ リスクアセスメント
自社が抱えるサイバー攻撃のリスクを洗い出し、発生の程度と発生時の被害度を定め重要度を評価し対策の優先順位をつけることです。
■ セキュリティ体制の現状分析
既存のセキュリティ対策がどの程度有効に機能しているか、ギャップを明確にします。
独立行政法人情報処理推進機構(IPA)から「5分でできる!情報セキュリティ自社診断」というチェックリストが出ていますので一度確認をしてみてはいかがでしょうか・
参考情報:IPA 「5分でできる!情報セキュリティ自社診断」
■ 従業員のセキュリティ意識調査
どんなに強固なシステムセキュリティ対策を行っても、従業員のちょっとしたミスで対策が無になってしまうことがあります。むしろ従業員一人一人のルールの順守やモラルの向上が実は最も重要で最も難しいポイントです。リスクを洗い出すうえでは、従業員のセキュリティに関する知識や意識レベルを把握してください。また人員確保の上でも参考になります。
◆人員確保・育成
セキュリティ対策を行っていくうえでは専門人材を確保するか、既存人材の育成も必要になっていきます。下記のような対応を検討してください。
■ セキュリティ専門家の採用
高度な専門知識を持つセキュリティ人材を確保できるのがベストです。ただし、専門知識を持つセキュリティ人材は日本国内では不足気味です。採用強化などを行っていく必要があります。経済産業省が人材確保の手引きを2022年6月に発表していますので参考にしてみてください。
参考情報:経済産業省「サイバーセキュリティ体制構築・人材確保の手引き(第2版」」
■ 従業員へのセキュリティ教育
全従業員を対象としたセキュリティ教育を実施し、セキュリティ意識の向上を図ります。セキュリティ強化には一定の不便さが伴うことが多い取り組みです。それを実際に実行できないと意味がなくなるので実行性の確保が重要になります。そのためにも従業員への教育は継続的に行っていくことが重要です。
■ 外部専門家との連携
必要に応じて、外部のセキュリティコンサルタントやベンダーに相談し、専門的な知識や技術を活用します。人材確保を前提にしているとサイバー攻撃対策が後手に回り自社のみならず顧客や取引先への影響も懸念されるので、まずは外部の専門家に相談することが重要です。そのうえで外部専門家共に教育や育成を行っていくのも一つの方法です。
セキュリティ対策では今までのやり方を変える必要が多く、一定の部分で従業員からすると「不便になった」「仕事がやりにくい」と感じることが多いです。そのような変更を社内だけで行うと怒りの矛先が社内の取り扱い部署に集中してしまいます。社外専門家や社外人材を使うことでその矛先を社内から切り離す(「社外の専門家が言っている」ということで推し進める)ことで対策が進めやすくなる側面もあります。
弊社では、「サイバーセキュリティワンストップサービス」というサービスを提供しています。これはクライアントと伴走しながらサイバーセキュリティ対策についてコンサルティングからセキュリティポリシーや運用設計、インフラ構築、運用支援、さらには対応状況の評価や継続教育まで、求められるサイバーセキュリティガイドラインへの対応・推進をワンストップでご支援するサービスとなっています。
自動車工業会のサイバーセキュリティガイドラインの改定にも順次対応し、ご利用企業へ運用改善と情報提供を行っています。
弊社では、「サイバーセキュリティワンストップサービス」というサービスを提供しています。これはクライアントと伴走しながらサイバーセキュリティ対策についてコンサルティングからセキュリティポリシーや運用設計、インフラ構築、運用支援、さらには対応状況の評価や継続教育まで、求められるサイバーセキュリティガイドラインへの対応・推進をワンストップでご支援するサービスとなっています。
■サイバーセキュリティワンストップサービス動画 ※クリックでYoutube動画が再生されます。
※サイバーセキュリティワンストップサービスの活用の事例を下記のリンクでご紹介します。是非ご確認ください。
事例 :https://www.sem.co.jp/inet/result/detail/3
事例紹介動画:サイバーセキュリティ対策ソリューションで達成した効果とそのプロセス
3. サイバーセキュリティ対策の進め方~行政からの支援・補助、委託の選定~
■ 行政からの支援・補助
■ 中小企業向けの支援制度
各地域の商工会議所などでは、サイバーセキュリティ対策に関する相談や補助金に関する相談やセミナー等が提供されています。商工会議所に加盟していれば相談は概ね無料で受けられるので、積極的に相談や情報収集を行ってみてはいかがでしょうか
■ 国の支援事業
経済産業省などでは、サイバーセキュリティ対策に関する各種支援するためにIPAを通して各種情報の発表や対策のためのガイドラインの発表等を実施しています。
またIT導入補助金の様にサイバーセキュリティ対策に使える補助金も実施しているので補助金を上手く活用しサイバーセキュリティ対策を実施していきましょう。
参考:経済産業省「中小企業のサイバーセキュリティ対策」
参考:経済産業省「サイバーセキュリティ政策」
関連記事:「中小製造業向けIT導入補助金スタートガイド」(別記事のリンクを貼ってください)
■ 委託先の選定
自社だけでサイバーセキュリティ対策を行うのは知識や対策を担う人材確保の問題もあり直ぐに動き出せないか、動き出したとしてもどのように優先順位を付ければ良いかわからないことも多々あります。サイバーセキュリティ対策では社員への教育も重要なので、外部の専門家への委託を検討することがコストや時間の確保をするうえでも最良の選択になることは多いです。外部に委託する上でのポイントをお伝えします。
■ セキュリティベンダーの選定
豊富な実績と専門知識を持つセキュリティベンダーを選びましょう。サイバーセキュリティ対策では、ネットワーク機器の選定や構築等のインフラの整備も必要な場合が多くあります。教育やシステム改修だけでなくインフラ整備にも知識や実績が豊富な方が結果として早く安全な体制を構築できるので、システム・インフラ両方に精通した業者を選定することも重要です。
■ 委託範囲の明確化
外部の専門家やベンダーに委託する際は、その範囲や責任を明確にすることが重要です。そのため、委託契約書などの書面でしっかりと取り決めましょう。
■ 定期的な評価
外部専門家等に委託した場合は、すべてを任せっぱなしにするのではなく、そのサービス品質を定期的に評価し、改善を促しましょう。必要に応じて他の専門家の意見を聞くことや、委託先を決める過程で数社の話を聞いておき他の業者の手法や精度を確認していくことが重要になります。
4. 実際の対策と実施方法について解説
サイバーセキュリティ対策を実行していくための具体的な対策としては、以下のものが挙げられます。
■ 技術的な対策
■ ファイアウォール
ファイアウォール(Firewall)とは、企業などの社内ネットワークにインターネットを通して外部から侵入してくる不正アクセスや、社内ネットワークから外部への許可されていない通信から守るための“防火壁”のことを指します。ファイアウォールはネットワークへの不正アクセスを防止します。より高いセキュリティを保てるよに付加機能を持っているものが多く、様々なネットワークに柔軟に対応できるようになっています。しかしこのファイアウォールを突破するのがサイバー攻撃で、そのための対策が高度化してきています。常に最新の情報と最新の機能を維持するための体制作りが重要です。
■ IDS/IPS
IPS(Intrusion Prevention System)/IDS(Intrusion Detection System)とは通信の監視および管理者への通知、不正な通信の遮断を行うセキュリティシステムのことです。IDSは「不正侵入検知システム」と呼ばれ、通信の監視と管理者への警告を行うシステムのことです。IPSは「不正侵入防止システム」と呼ばれ、IDSの機能に加えて、通信の遮断までを行うシステムのことです。ネットワークへの不正なアクセスを検知して知らせたり遮断することで攻撃の影響を最小限に抑えるためのものです。
■ VPN
VPNとは”Virtual Private Network”の略称で、日本語にすると「仮想専用通信網」と呼ばれます。VPN接続では、専用ネットワークとは言いつつも物理的な専用回線を用いるのではなく、「仮想」専用通信網というように、共用の回線を諸々の技術によって仮想的に独立した専用回線であるかのようにしているものです。コロナ過でのリモートワークの増加によってパブリック回線からの不正アクセスから切り離すために普及が拡がった方法になります。
■WAF
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつで、Webアプリケーション内に直接実装するものではなく、Webアプリケーションの前面やネットワークに配置し、脆弱性を悪用した攻撃を検出・低減する対策のことです。WAFは直接管理・改修することができないWebアプリケーションに対策を施したい場合や、Webアプリケーションの脆弱性を修正することが難しい場合に有効になる手法です。それ以外には、修正は可能だが、時間が掛かるために一旦対処を施す場合にも役立つ方法です。
暗号化
暗号化とは、元のデータや通信内容を不規則な文字列に変換する処理のことです。暗号化することで暗号キー等がない限り仮に個人情報が流出したとしても、データはランダムな文字列で表示されるため、第三者による解読や悪用を防止できます。パスワード等の暗号化や2段階認証以外は、セキュリティ対策としては、侵入や流出された時に被害を軽減する目的が主なもので、対策根本的な対策ではないので、それ以外の対策を並行して進める必要があります。
■ 組織的な対策
■ セキュリティポリシーの策定
HP等で社外的に表示してあるものもあると思いますが、自社の情報セキュリティに関するルールを明確化することです。HPのセキュリティポリシーはその中の一部ですので、まずは全社的なポリシーを作ることが重要です。
■ 従業員教育
サイバー攻撃はセキュリティの脆弱な部分をつくのがセオリーです。どんなにシステムを強固にしても最後に人が脆弱な部分になってしまうことが多くあります。実際にセキュリティ対策はしていたが、運用のしやすくを考え、管理者ID・PWを使いまわすことで攻撃者に狙われた事例があるように、セキュリティの導入の際の教育とその後の定期的なセキュリティ教育を実施し、実施を確実にする仕組みと意識向上を維持していくことが最も重要な対策です。
■ インシデント対応計画
サイバー攻撃は手法がどんどん高度化してきています。いつ何時自社に影響があるかわかりません。そのため、常に万が一発生した場合に備えて、対応手順を事前に定めておきます。またその内容も現状に合わせて常に改善をしておく必要があります。リスクマネジメントとクライシスマネジメントに分けて対応計画を事前に決め、訓練をしておくことが重要です。
■ 定期的なセキュリティ監査
システム上のセキュリティ対策が適切に実行されているかの定期的な監査を実施します。それ以外にもインシデント対応計画に基づいた対応が実行できるかも監査しておくと万が一の際に安心です。これは企業の避難訓練と同じようなものなので、あまり頻度が多かったり時期が一定だと効果が薄れることもあるので慣れすぎず、対応には慣れるように計画をして実行することが重要です。
5. まとめ
サイバーセキュリティ対策は、いまや、企業の存続に関わる重要な課題となってきました。本記事では、サイバーセキュリティ対策の必要性や具体的な対策について解説しました。記事内にある診断リスト等を活用しながら自社の状況を把握し、実情に合わせた適切な対策を検討することが重要です。特にサイバー攻撃の進化は早いので常に最新の情報や手法を知って対策を講じる必要があります。その点を踏まえて専門社員の採用や外部専門家の活用なども検討して確実に実行していく必要があります。今後は取引先からセキュリティ体制を求められることも大いにありますので、サイバー攻撃から企業を守り、自社の持続的な成長を実現しましょう。
