サイバー攻撃の増加に合わせ、多くの企業が通常の業務のデジタル化に加え、セキュリティ対策の強化も強いられています。ただ、セキュリティを強化すると言っても具体的に何を強化すれば良いのか、そもそも自社にどのようなセキュリティリスクがあるのか、今ひとつ把握できないという方もいるで この記事では、そんなセキュリティ対策の方向性を掴むのに役立つ、セキュリティスコアリングサービスの概要について解説します。   目次 セキュリティスコアリングサービスとは セキュリティスコアリングサービスが注目される背景 企業におけるデジタル化の急速な普及 サイバー攻撃の増加・深刻化 セキュリティスコアリングサービスの導入メリット 自社に足りないセキュリティ対策を発見できる 費用対効果に優れるセキュリティ対策を実現できる 主なセキュリティスコアリングサービス ID「セキュリティスコアリングサービス」 NTT コミュニケーションズ「WideAngle」 まとめ   1. セキュリティスコアリングサービスとは セキュリティスコアリングサービスとは、その名の通り自社のセキュリティ環境を客観的に調査し、スコアに落とし込んでくれるサービスのことを指します。 セキュリティ対策は、一般的な業務効率化ツールの導入などに比べ、その効果や必要な対策の度合いなどがわかりにくいという問題があります。というのも、セキュリティ対策は実際に攻撃が行われるまで正しく機能するかどうかがわからず、その対策が必要なものかどうか、不足しているかどうかを定量的に評価することが難しいためです。 そこで活躍するのが、セキュリティスコアリングサービスです。必要に応じて自社のセキュリティ状況を多面的に評価し、既存のセキュリティ対策が正しく機能するのか、どのようなところに脆弱性を抱えているのかといった検討事項を、まとめて評価することができます。       2. セキュリティスコアリングサービスが注目される背景 セキュリティスコアリングサービスが注目されるようになった理由としては、以下のような背景が考えられます。     2-1. 企業におけるデジタル化の急速な普及 セキュリティスコアリングサービスが求められるようになった背景には、企業におけるDXが急速に進んでいることが理由として挙げられます。 DXは日本でも国が主導する重要性の高いプロジェクトであり、多くの企業がデジタル化による恩恵を享受していることから、今後も多くの企業が推進してくと考えられる取り組みです。 業務のデジタル化によるDXの推進は、魅力的なメリットを多く有する一方で、セキュリティ上のリスクも大きくしてしまうことが懸念されます。 例えば、これまでデジタルとアナログを半々で使っていた企業があったとします。このような企業ではサイバー攻撃を受けても、被害を受けるのはデジタルの部分の業務だけでしたが、全ての業務をデジタル化した場合、従来のセキュリティ対策では全ての業務がサイバー攻撃の被害を被る可能性があるからです。 業務のデジタル化が進んだということは、それだけデジタルへの依存が進み、攻撃のリスクも高まっていると言えます。サイバー攻撃も日々進化している以上、従来のセキュリティ対策では十分な防護ができない可能性もあることから、早期にセキュリティ対策を評価し、改善することが重要です。     2-2. サイバー攻撃の増加・深刻化 世界的にDXが浸透したことで、サイバー攻撃の発生件数そのものも増加傾向にあります。日本においてもこの傾向は例外ではなく、2022年のサイバー攻撃の発生件数は週平均970件と、前年と比較して29%も増加しています。 参考：https://prtimes.jp/main/html/rd/p/000000168.000021207.html また、近年はただサイバー攻撃が増えているだけでなく、金銭的な被害が深刻化している点も大きな懸念事項となっています。 従来のように企業サイトに障害が発生するような軽微なものにとどまらず、機密情報の流出や、機密情報や社内システムを人質にとった身代金の要求など、直接事業の継続性に深刻な影響をもたらす被害も多く確認されているのが現状です。 残念ながら、このようなサイバー攻撃のリスクを完全にゼロにすることは不可能ですが、被害に遭うリスクを限りなく小さくしたり、被害を受けた際の損失を最小限に抑えることはできます。そのための有効な対策方法を検討するのに使用するのが、セキュリティスコアリングサービスです。       3. セキュリティスコアリングサービスの導入メリット セキュリティスコアリングサービスを導入することで、企業は以下のような導入メリットを期待できます。     3-1. 自社に足りないセキュリティ対策を発見できる セキュリティスコアリングサービスは、自社に不足しているセキュリティ対策を発見する上で非常に有効です。 社内全体のセキュリティ状況をスコアで算出し、減点の対象となっている領域が、なぜそのようなスコアになっているのか、何をすればスコアを改善できるのかというプロセスで、効果的に改善施策を検討できるでしょう。 セキュリティ担当者の主観ではなく、セキュリティの専門家によって客観的に評価してもらえる点もポイントです。社内のセキュリティ担当者の主観に頼ることなく、最新のサイバー攻撃の事情を踏まえた対策を検討できます。     3-2. 費用対効果に優れるセキュリティ対策を実現できる セキュリティスコアリングサービスの利用には費用がかかりますが、結果的には費用対効果に優れるセキュリティ対策にも役立つでしょう。 セキュリティ対策は、ただセキュリティサービスを色々導入すれば良いというものではなく、自社の脆弱性を解消できる効率的な対策を実行しなければなりません。 自社の脆弱性が正しく把握できていないと、すでに対策済みの領域のセキュリティを強化して、余計にセキュリティコストがかかってしまったり、肝心の脆弱性を見逃してしまい、セキュリティホールが放置されてしまったりする事態に発展するからです。 このような事態を回避するためにもセキュリティスコアリングサービスを利用し、正しく自社のセキュリティ状況を把握する必要があります。       4. 主なセキュリティスコアリングサービス セキュリティスコアリングサービスは、日本でもさまざまな企業から提供されています。ここでは、主なサービスを紹介します。     4-1. ID「セキュリティスコアリングサービス」 インフォメーションデベロップメントが提供するセキュリティスコアリングサービスは、クライアント企業の情報収集を徹底して行い、攻撃者も取得するであろう情報に注目し、セキュリティ診断を行うサービスです。 サプライチェーンを踏まえた脆弱性の洗い出しと、セキュリティコンサルタントによりアドバイザリーで、クライアントのセキュリティ強化に努めます。 公式サイト：https://www.idnet.co.jp/service/ssc.html     4-2. NTT コミュニケーションズ「WideAngle」 NTT コミュニケーションズのWideAngleは、中小企業向けに提供しているセキュリティスコアリングサービスです。インターネット上のクライアント企業の公開情報などからセキュリティ評価を行い、独自の解析レポートを提供します。 調査対象のドメインを表示するだけでセキュリティを評価してもらえるので、比較的利用しやすいサービスと言えます。 公式サイト：https://www.ntt.com/business/services/security/security-management/wideangle/securityscorecard.html         まとめ この記事では、セキュリティスコアリングサービスの概要や導入メリット、主なサービスについて解説しました。 セキュリティ対策の重要性については理解していても、正しくセキュリティ対策を行うためには外部の手を借りることが大切であり、そこから得られる情報には大きな価値があります。 セキュリティの強化を検討している場合は、上記で紹介したサービスを利用するなどして、自社のセキュリティ状況を正しく把握する時間を設けることが大切です。       EXOセキュリティのご利用料金はこちら EXOセキュリティの無料トライアルはこちら

皆さん、こんにちは。 EXOセキュリティサポートセンターです。   最近、企業で個人情報の流出や、管理不備によってセキュリティ事故が発生することが連日ニュースになっています。 多くの企業がこれによって数百億単位の投資を逃したり、数十億の過料を払わなければならない状況に置かれたりもしました。 国内だけでなく世界的にも個人情報保護法が強化され、企業内の個人情報の管理が重大な話題となっています！ 今日は、変化しつつある個人情報保護法の内容から、企業が対応する方法までご紹介します。   個人情報保護法とは？   法人ではなく、生きている個人の情報を保護する法令で、氏名、住民登録番号及び映像などを通じて、個人を特定できる情報を保護することをいいます。 個人情報の主体は人でなければならず、法人または団体の情報は該当しません。   個人情報 – 個人識別番号など   旅券番号、マイナンバー、免許証番号、その他DNA、指紋など、個人の識別のために個人ごとに一つずつ付与される情報で、重要度が高い情報となっております。 本人と特定できる映像や音声なども個人情報に分類されます。   個人情報 – 要配慮個人情報   思想、信念、人種および宗教観、健康診断結果、病歴、犯罪経歴、遺伝情報、身体・知的・精神障害など、不当な差別や偏見を生じさせるような可能性のある情報、私たちのプライバシーを侵害する恐れがある情報。これらの情報を取り扱う場合は、事前に本人の同意を得る必要があります。   個人情報保護法は社会が次第にデジタル化され、次第に強化される傾向に流れています。 米国では連邦個人情報保護法案 ADPPA (American Data Privacy and Protection Act)を連邦法として発議され、欧州連合では一般データ保護規則が制定されているGDPR (General Data Protection Regulation)　をすでに施行しています。 このようなグローバル傾向を受け、日本の個人情報に対する規定や法案も強化される方向に進んでいます。   改正個人情報保護法 – 2022年4月   国内でも持続的に個人情報保護に関する法律は強化されています。 3年ごとに検討、必要に応じて改正されることになっている日本の個人情報保護法ですが、最近では、2022年4月に下記5つの視点によって改正されました。   ①   個人の権利利益保護 ②   外国事業者によるリスク変化への対応 ③   保護と利用のバランス ④   AI・ビッグデータ時代への対応 ⑤   国際的潮流との調和   ■改正内容ポイント １．本人の権利保護強化 「保有個人データ」の定義変更 →6ヶ月以内に消去する短期保存データも「保有個人データ」の対象。 ２．事業者への責務追加 　個人情報の漏洩によって個人の権利利益が侵害される場合、「本人の通知」だけでなく「個人情報保護委員会への報告」も義務付け。(不正アクセス被害等の場合も含む) ３．特定分野を対象とする団体の認定団体 制度創設 情報保護が行う個人情報保護委員会が認定する民間の「認定団体」の拡張。 →企業の特定分野・部門を対象とする団体も「認定団体」として登録可能。 ４．データ利活用の促進 　他の情報と照合しない限り特定の個人を識別できないようにする「仮名加工情報」の新設。 →加工が簡単で詳細な分析も可能なので、情報の利活用によるイノベーション促進が期待できる。 ５．法令違反に対するペナルティ強化 　企業規模に関係なく、個人情報の利活用を行っているすべての事業者対象に、罰金額を引き上げ。 ６．外国事業者に対する報告徴収・立入検査などの罰則追加 海外企業であっても日本在住の人(国籍問わず)の個人情報を取り扱っていれば、報告徴収や立入検査の対象、罰則も適用。   ■報告義務があるのは、具体的にどんな状況？どんなとき？   ・財産的被害が発生するおそれがある場合 　クレジットカード番号やインターネットバンキングのID・パスワード情報など ・故意による漏洩 　二次被害が発生する恐れのある不正アクセスや従業員による持ち出しなど ・大規模な情報漏洩 　内容が個人情報でなくても一定数以上の大規模な漏洩(※1000人基準) ・「おそれ」がある場合 漏洩の懸念があり漏洩が確定していない段階   企業内の個人情報管理方法   これからは必ず気をつけなければならない個人情報保護、どうすればうまくできるでしょうか？   ■本人の同意が必要 本人の同意なしによる第三者への個人データ提供は禁止。 ■個人情報の利用目的通知・公表 個人情報を取得する際には、利用目的を明示する必要があります。 ■個人情報管理 必ず個人データを安全に管理し、従業員や委託先も監督。 ・個人情報暗号化 : 個人識別番号は必ず暗号化して保管 ・悪性コード防止 :企業向け悪性コード防止ソリューションを業務に参加するすべてのPCにインストール ・印刷時保護措置 :個人情報印刷時、印刷記録及びウォーターマーク挿入等の保護措置 ・アクセス統制 : 異常な流入、非認可アクセスを防止する統制ソリューションが必要 個人情報流出に対する被害は日増しに増え、法の規制はさらに厳しくなっています。 複雑な個人情報流出を一度に処理してくれるオールインワンPCセキュリティサービスEXOセキュリティで安全なPCセキュリティを実現してみてはいかがでしょうか。   よろしければ、下記記事も合わせてご参考になさってくださいませ。 https://exosp.net/personal_data_protection/ お問い合わせは、こちらから↓ ■メールでのお問い合わせ   　　：exo@jiransoft.jp ■チャットボットでのお問い合わせ ：https://exosecurity.channel.io

セキュリティソフトとして知られるファイアウォールですが、都合上、無効化にしている、あるいは無効化にしたいと考えている方もいるのではないでしょうか。 しかし、結論からいうとファイアウォールを無効化にするのは危険であり、多大なリスクを伴います。気づかぬうちにファイアウォールを無効化していると、さまざまな被害が起こり、結果として自社・自身に大きな損失を生んでしまうでしょう。 そこで今回は、ファイアウォールを無効化にするのは危険なのか、おこりうるリスクを解説します。ぜひ本記事を参考にして、ファイアウォール無効化のリスクについて身につけていきましょう。   目次 ファイアウォールとは？種類について パケットフィルタリング型 ゲートウェイ型 サーキットレベルゲートウェイ型 ファイアウォールの無効化は推奨できない理由 ファイアウォールを無効化することで起こりうるリスク 不正アクセスを受けやすくなる コンピュータの乗っ取り 情報の改ざん ファイアウォールの無効化が必要なタイミング ファイアウォールだけではセキュリティ対策は不十分 まとめ   1. ファイアウォールとは？種類について ファイアウォールとは、ネットワークの通信におけるフィルターの役割を果たすセキュリティシステムの1つです。 外部ネットワークからの不正アクセスやマルウェア感染などの様々な危険から、内部ネットワークおよびコンピュータを守ります。 外部ネットワークからの通信許可および拒否の判断は、通信の送信元および宛先の情報で決まります。 また、ファイアウォールは細かく種類が分かれているので、それぞれ特徴について見ていきましょう。     1-1. トロイの木馬企業のDX推進 パケットフィルタリング型は、IPによって分割されたパケットを監視するファイアウォールです。定めたルールに基づき、パケットごとに解析して問題ないかを判断し、通信の許可を行います。 ルールに反する通信があった場合には拒絶し、外部からの脅威を防ぐ仕組みです。 パケットフィルタリング型はさらに3種類に分けられます。 ①スタティックパケットフィルタリング スタティックパケットフィルタリングは、パケットのヘッダ（データの送信元や宛先など）を参照し、アクセス許可の判断をします。 シンプルな仕組みでフィルタリングされている分、高速処理ができるものの、偽装されたパケットは判断できない点がデメリットです。 ②ダイナミックパケットフィルタリング ダイナミックパケットフィルタリングは、クライアントとサーバーの通信時のみポート番号を開放する仕組みです。 不要時には閉鎖しているため、第三者への不正アクセスを事前に防ぐ役割を持っています。 ③ステートフルパケットインスペクション ステートフルパケットインスペクションは、コンテキスト（文脈）からパケット通信の脅威を判断する仕組みです。過去の通信記録から、パケットが正当な手順で送信されているかを認識し、不正アクセスから防ぎます。 スタティックパケットフィルタリングよりも堅牢な分、管理の手間が多く、意図的に過剰な負担をかけるDos攻撃に弱い点がデメリットです。     1-2. ゲートウェイ型 ゲートウェイ型は、外部通信を内部コンピュータとの間にはいり監視する仕組みです。 パケットの詳細を分析できるため、偽装されていても見抜き、アクセス拒否できるメリットをもちます。 パケットフィルタリング型よりも堅牢性が高く、汎用性もあることから、マルウェアや不正アクセスを防ぐ入り口対策として用いられる場合が多いです。     1-3. サーキットレベルゲートウェイ型 サーキットレベルゲートウェイ型は、パケットフィルタリング型にポート指定・制御が付随されたタイプのファイアウォールです。 詳細設定ができるため、アプリやソフトウェア、システムごとに通信制御ができます。       2. ファイアウォールの無効化は推奨できない理由 正直なところ、よほどのことがない限りは、ファイアウォールを無効化にすべきではありません。上記でお伝えしたように、ファイアウォールは外部通信からの脅威をフィルタリングしてくれる役割があります。 例えるなら、ファイアウォールの無効化は、周りにサメがいる状態の海に投げ出されるのと同じです。そのくらいコンピュータを危険に晒してしまうので、基本的には無効化はしないようにしてください。       3. ファイアウォールを無効化することで起こりうるリスク ファイアウォールを無効化すると、さまざまなリスクが起こりえます。では、具体的にどのような危険性・リスクを伴うのかについてみていきましょう。     3-1. 不正アクセスを受けやすくなる ファイアウォールがなければ、外部通信を脅威かどうか問わず内部コンピュータに送ってしまうため、不正アクセスを受けやすくなります。 不正アクセスを受けると、パソコン内部にある機密情報や個人情報が筒抜けになってしまうため、甚大な被害が予測されるでしょう。     3-2. コンピュータの乗っ取り 不正アクセスによってコンピュータのパスワードを窃取されると、第三者によって乗っ取られてしまう可能性が高いです。 コンピュータが乗っ取られると、不正な活動や詐欺に悪用されるだけでなく、カメラやマイクをオンにすれば社内の情報窃取が可能になります。     3-3. 情報の改ざん 個人情報が窃取されると、情報の改ざんが容易となり、様々な悪用が行われるでしょう。例えば、顧客のクレジットカード情報を窃取されると、不正利用による補填や信用性の低下が考えられます。 自社への損失だけでなく、顧客への損害も考えられるため、目的・理由のないファイアウォールの無効化はリスクが大きいです。       4. ファイアウォールの無効化が必要なタイミング ファイアウォールはできるだけ有効化しておくべきですが、ときには無効化が必要なタイミングがあります。それは、ファイアウォールから拒絶してしまうソフトウェアをインストールする際です。 信頼できるソフトウェアであることが前提ですが、中にはファイアウォールに拒絶されてしまうものがあります。その際は、ファイアウォールを一時的に無効化し、インストール後に有効化しておきましょう。       5. ファイアウォールだけではセキュリティ対策は不十分 ファイアウォールを有効にしたからといって、セキュリティ対策は十分ではありません。なぜなら、ファイアウォールの防御対象は外部からの不正アクセスがメインであり、ウィルスやスパイウェアのマルウェア対策には不十分だからです。 緻密な設定を施せば、マルウェア対策も不可能ではありませんが、専門知識が必要になります。 上記を考えるなら、セキュリティソフトを導入するのが最も効果的です。 セキュリティ対策ソフトを導入すれば、ファイアウォールを無効化している間でも、外部ネットワークからの脅威を守れます。また、ファイアウォールの防御対象外のカバーもできるので、より幅広くセキュリティ対策が可能です。 ファイアウォール+セキュリティソフトで、厳重な対策をしておきましょう。         まとめ 今回は、ファイアウォールを無効化にする危険性やリスクについて解説しました。基本的にはファイアウォールの無効化は推奨できず、特定のタイミングでのみ使用すべきです。 ファイアウォールの種類についても触れたので、より防御範囲について理解してもらえたでしょう。まとめとしては、ファイアウォールだけではセキュリティは不十分なので、より厳重に対策を行うなら、セキュリティソフトの導入がおすすめです。 ぜひ、外部の脅威から守るために、正しくファイアウォールを使い、セキュリティを強化していきましょう。       EXOセキュリティのご利用料金はこちら EXOセキュリティの無料トライアルはこちら

サイバー攻撃が増加している今日において、もはやサイバー攻撃のリスクを全くのゼロにすることは困難であると考えられています。つまり、サイバー攻撃はいつ自分の属する組織に向けて行われるかはわかったものではなく、明日、あるいは数分後には行われる可能性が常に存在しています。 このような脅威が身近になった時代では、従来のサイバーセキュリティ対策では不十分であり、時代の変化に合わせた新しいセキュリティ対策が必要です。 この記事では、現代のセキュリティ対策の概念として注目を集めるサイバーレジリエンスについて、その概要や注目の背景を解説します。   目次 サイバーレジリエンスとは サイバーレジリエンスと従来型のセキュリティ対策の違い サイバーレジリエンスが注目される背景 企業のDX推進 サイバー攻撃の増加・多様化 復旧コストの増大 サイバーレジリエンスを踏まえたセキュリティ対策のあり方 社内の情報資産の洗い出し セキュリティリスクの評価・分析 サイバー攻撃を局所に抑えるための仕組みづくり 回復力の向上 サイバーレジリエンスに有効な施策とは サイバーレジリエンス特化のワンストップソリューション システム監視体制の強化 隔離されたバックアップの実装 まとめ   1. サイバーレジリエンスとは サイバーレジリエンスとは、企業がサイバー攻撃を受けた場合やその他の脅威にさらされた場合も、自社のシステムを迅速に復旧したり、業務の継続性を確保したりする力を指します。 サイバー攻撃や障害にはさまざまな種類がありますが、被害が甚大になると、サーバーやシステムそのものが駄目になってしまい、新たに体制を構築しなければならないというケースも珍しくありません。 このような事態に陥った場合、企業は再びシステムを構築するために莫大なコストを支払うばかりか、システムの復旧まで業務を継続することができず、ビジネスが成り立たない事態にも陥ります。 このような事態を避けるために、サイバーレジリエンスの概念が存在します。レジリエンス、つまり回復力をあらかじめ確保しておくことで、何らかの被害を受けても素早く復旧し、事業そのものへのダメージを小さく抑えられるわけです。       2. サイバーレジリエンスと従来型のセキュリティ対策の違い サイバーレジリエンスの考え方は、比較的新しく、従来のセキュリティ対策にはなかった概念とされています。従来型のセキュリティ対策とサイバーレジリエンスの違いを理解する上では、サイバー攻撃を前提としているか否かが挙げられます。 従来のセキュリティ対策におけるスタンダードとなっていたのが「境界防御」と呼ばれる考え方です。これは、社内のネットワークと社外のインターネットを意図的に分離し、外部ネットワークとの接点を制限することで、サイバー攻撃のリスクを回避しようというものでした。 一方、サイバーレジリエンスにおいて重視されているコンセプトは「ゼロトラスト」です。ゼロトラストとはその名の通り、社内外の全てを「信用できないもの」と考え、サイバー攻撃はいつでも起こり得るという前提でセキュリティ対策を行います。 従来型のセキュリティ対策は「サイバー攻撃のリスクをゼロにする」考えに基づきますが、サイバーレジリエンスは「サイバー攻撃を受けた際にどうするか」という考えが重視されており、攻撃を受けても柔軟に対応できる環境づくりが求められます。       3. サイバーレジリエンスが注目される背景 サイバーレジリエンスの考え方が重視されるようになったのは最近のことですが、その背景には以下のような理由があります。     3-1. トロイの木馬企業のDX推進 企業のDXがここ数年で急速に進んだことは、生産性向上の観点からは望ましい変化である反面、疎かになっているのがセキュリティ対策です。 多くの業務や情報がデジタル化したことにより、企業のデジタルへの依存度は高まっていながら、十分なセキュリティ対策のアップデートが進まず、多くのリスクを抱えながら運用しているというケースが散見されます。 デジタルへの業務の依存度が高まっているということは、それだけ攻撃を受けた際の被害も甚大になるということです。業務のデジタル化に合わせてサイバーレジリエンスを踏まえた対策を施さなければ、攻撃を受けた際には多大な損害を被るかもしれません。     3-2. サイバー攻撃の増加・多様化 企業のデジタル化が進んだことで、サイバー攻撃の件数が増加しているのはもちろん、攻撃の方法も複雑化・多様化しています。攻撃の多様化に合わせてセキュリティソフトも進化はしているものの、次々と新しい攻撃方法が開拓され、その全てを防ぐことはできないのが現状です。 そのため、従来のような境界防御型のセキュリティ対策だけではリスク低減においては不十分であり、もはや攻撃を受ける前提でシステムを脅威から保護する必要があるでしょう。     3-3. 復旧コストの増大 DXにより企業のシステム化が進んだことで、サイバー攻撃を受けた際の復旧にかかるコストも以前よりはるかに大きくなっています。 復旧にかかる費用はもちろん、その日数も無視できないものとなっており、その間業務が行いとなると、企業にとっては多大な損失を招きかねず、場合によっては事業を畳まなければならないということもあるでしょう。       4. サイバーレジリエンスを踏まえたセキュリティ対策のあり方 上記のような脅威を退けるためにも、サイバーレジリエンスを踏まえた新しいセキュリティ対策の導入が必要です。サイバーレジリエンスをセキュリティ対策に取り入れる上では、以下のポイントを押さえておくことが求められます。     4-1. 社内の情報資産の洗い出し サイバーレジリエンスを高める上では、まず社内にはどのような情報資産が、どれくらいあるのかについて把握する必要があります。 サイバー攻撃から守らなければならない情報資産を明らかにしておけば、どのような対策が有効なのかを正しく分析できるようになるからです。     4-2. セキュリティリスクの評価・分析 洗い出した情報資産をもとに、現在のセキュリティリスクを客観的に評価します。現在どのような領域にリスクを抱えているか、そのリスクが表面化することで、どれくらいの被害が想定されるか、被害から復旧するのにどれくらいの期間や費用が発生するかなど、多くのデータを得ることが可能です。 正しくリスク評価と分析を行えば、有効な対策を確実に実行することにつながります。     4-3. サイバー攻撃を局所に抑えるための仕組みづくり サイバーレジリエンスを実現する上で大切なのが、サイバー攻撃の局所化です。つまり、サイバー攻撃を受けたら社内のシステム全部が被害を受けるような体制ではなく、攻撃を受けた箇所のみで被害を食い止められるような仕組みを構築する必要があります。 サイバー攻撃を局所に抑えられれば、それ以外のシステムへの被害の拡大を防ぎ、スピーディにシステムを復旧することが可能です。     4-4. 回復力の向上 サイバー攻撃を受けた後も素早く攻撃被害を回復させ、システムをもと通りに復旧できる力は、サイバーレジリエンスの獲得においては重要です。 バックアップなどを確保しておけば、被害を受けたとしても攻撃の影響を小さく抑え、復旧と通常業務を並行して実施できるでしょう。       5. サイバーレジリエンスに有効な施策とは 有効な対策方法は各社がどのようなリスクを抱えているかにもよりますが、サイバーレジリエンスを獲得する上では以下のような施策が有効とされています。     5-1. サイバーレジリエンス特化のワンストップソリューション 近年のサイバーレジリエンス需要の拡大に伴い、必要な対策をワンストップで得られるサービスが登場しています。 リスク評価からセキュリティコンサルティング、システム監視対策の整備に至るまで、必要な対策を一貫して受けられるため、一度こういったサービスに目を通しておくのも良いでしょう。     5-2. システム監視体制の強化 サイバー攻撃の被害を抑える上で有効なのが、攻撃や不審な動きがあった際に迅速に対応できる監視体制の実装です。 検知機能を強化し、初動対応までを任せられるシステムを導入すれば、被害を最小限に抑え、復旧へ移行できます。     5-3. 隔離されたバックアップの実装 通常のシステムとは隔離されているバックアップの用意も、サイバーレジリエンスの観点からは必要な取り組みです。 普段のシステムと切り離された環境でバックアップを確保しておかないと、サイバー攻撃を受けた際にバックアップまで被害を受ける可能性があり、バックアップとしての役割を果たせないことがあるためです。         まとめ この記事では、サイバーレジリエンスが注目される背景や、サイバーレジリエンスの獲得に向けて知っておきたいポイント、必要な対策例を紹介しました。サイバー攻撃はもはや誰にでも起こり得る災害であり、被害を受けても回復できるかどうかが鍵を握ります。 サイバーレジリエンスを強化し、被害を最小限に抑えられる体制を整えておくことで、事業を未知の脅威から守りましょう。       EXOセキュリティのご利用料金はこちら EXOセキュリティの無料トライアルはこちら

皆さん、こんにちは。 EXOセキュリティサポートセンターです。   さて、突然ですが、皆さんの企業では内部脅威への対策をとっていますでしょうか？ 内部脅威を管理することは、実際、非常に難しいです。 ------------ ※内部脅威とは 企業内の個人が、企業の機密データやシステムにもたらすセキュリティ脅威のです。 内部脅威には、偶然と故意に引き起こされる脅威があります。   偶発的脅威：端末・資料の紛失やメールミスなど 意図的脅威：機密データを改ざん、窃取、不特定多数に売却など ------------ しかし、企業で内部脅威を軽減するために、企業でとることのできる、いくつかの対策がございます。 今回は、セキュリティポリシーを管理する企業の担当者の方に参考にしていただける、いくつかの対策をご紹介いたします。   1. ポリシーおよび実施手順 企業は、セキュリティインシデント発生時の処理方法を定義するポリシーおよび手順を決める必要があります。 これには企業で容認してはならない行動を定義し、それらに対する指針と対応方法などを含める必要があります。   2. 従業員の教育実施 従業員は、セキュリティの重要性と潜在的内部脅威の影響について教育を受ける必要があります。 教育内容には、内部脅威を構成する要素とそれを認識する方法、内部に報告する方法に関する内容を含めることをおすすめします。   3.ツール導入（技術的保護措置実装） ツールを導入し、デバイスを制御することで内部の脅威を検出し、防止できます。 たとえば、組織は監視およびログによって疑わしい操作を検出し、機密データへのアクセスを制御したり、重要なファイルを暗号化して保管したりするなどの技術的措置をとることができます。 定期的な教育が難しい場合は、ツール導入などによるデバイス制御により、セキュリティ意識を高めることもできます。 4. バックグラウンドの確認 従業員および入社予定者へのバックグラウンドやリファレンスチェックなどを行うことで、企業の潜在的なセキュリティリスク回避に役立ちます。   5.内部通報制度の実施 従業員に疑わしい行動を報告するよう奨励することは、内部者の脅威を識別し、解決するのにかなり効果的な方法になり得ます。 この時、匿名で情報提供できるようにすることをおすすめしますが、各企業の規程などを確認し、慎重にアプローチ、検討することをおすすめします。 企業に内部通報による規程がない、もしくは不明な場合は、弁護士等と相談してみましょう。   6.セキュリティポリシーを定期的に検討および更新 企業は、セキュリティポリシーおよび実施手順が有効であることの確認を続け、新たに発生する可能性のある脅威に対処できるよう、企業の環境と状況に応じた形でもセキュリティポリシーが運営されるよう、定期的に検討し管理していくことが必要です。 このような対策により、企業は内部脅威から企業をしっかり保護し、発生する潜在的な被害を最小限に抑えることができます。 EXOセキュリティが必要な理由 EXOセキュリティは、外部からのハッキング攻撃、内部の情報流出に対して統合的に備えることができる制御ツールを、一つのサービスでまとめてご提供します。 企業に必須のセキュリティ対策を手軽に運営でき、効率的な方法で企業の資産を守ることができます。 このように、技術的保護措置が可能なEXOセキュリティを活用して、内部脅威を軽減し、予防してみてはいかがでしょうか？   ■EXOセキュリティで内部脅威を予防できる機能一覧 ・個人情報・機密データの暗号化および保有量調査、モニタリング ・USBなどのデバイス制御、モニタリング、ログ照会 ・チャットツールなどのアプリケーション制御、ファイル持ち出し制御 ・画面キャプチャ制御 ・印刷制御および透かし文字表示印刷 ・部署別ポリシー適用、退職者のみ制御なども可能 お問い合わせは、こちらから↓ ■メールでのお問い合わせ   　　：exo@jiransoft.jp ■チャットボットでのお問い合わせ ：https://exosecurity.channel.io

サイバー攻撃の脅威が大きくなる中、理解を深めておきたいのがマルウェアについてです。マルウェアの種類は多様化しており、それぞれの脅威に応じた対策方法を知っておくことが求められます。 この記事では、そんなマルウェアの種類について解説しながら、具体的なリスクの内容や、有効な対策方法について、紹介します。   目次 マルウェアとは マルウェアとウイルスの違い マルウェアの種類 トロイの木馬 ワーム ランサムウェア スパイウェア 急スケアウェア マルウェア感染で懸念されるリスク 業務の停止 金銭的被害 ブランド力の低下 事業の停止 マルウェア感染の対策アプローチ 基本的なセキュリティソフトの導入 セキュリティ研修の徹底 定期的なセキュリティチェックの実施 まとめ   1. マルウェアとは そもそもマルウェアとはハードウェアにインストールし、ハードの所有者などの第三者にとって有害な影響を与えたり、不当に攻撃者が利益を得ようとしたりするために動作する、悪意あるソフトウェアやコードを指す言葉です。 マルウェアを動作させるためには、基本的に標的へソフトをインストールする必要があります。近年はこのソフトをインストールさせるための手口が高度かつ巧妙になってきているため、より一層の注意が求められています。       2. マルウェアとウイルスの違い マルウェアと合わせて使われる似たような言葉に、ウイルス（コンピュータウイルス）と呼ばれるものがあります。 ウイルスも標的なハードに侵入し、何らかの不具合を引き起こさせる存在として古くから脅威とされてきましたが、結論から言うとウイルスはマルウェアの一種です。 上でも紹介しましたが、マルウェアは攻撃者によって作成された、悪意あるソフトウェアの総称です。メールソフトや書類作成ソフトと同じく、独立したソフトとしてインストール先で起動し、ハードに対して攻撃を行います。 ウイルスもまた悪意あるソフトの一種ですが、特徴的なのはその攻撃方法です。ウイルスは感染した先の対象となるソフトなどのコードを勝手に書き換え、ファイルを削除したり、勝手に暗号化してしまったりという被害をもたらします。 また、ウイルスは一台のハードに感染して終わりではなく、感染したデータやハードと接続した別のデバイスにも感染を拡大させる能力を有しています。そのため早い段階でウイルスを隔離しなければ、攻撃が次々と拡散してしまうのが恐ろしいところです。       3. マルウェアの種類 コンピュータウイルスの他にも、マルウェアにはいくつかの種類があります。ここでは世界各国で被害が報告されている、主なマルウェアの種類を紹介します。     3-1. トロイの木馬 トロイの木馬は、マルウェアの代表格とも言える悪質なソフトです。一見すると害のないソフトのように見せかけておきながら、ダウンロードしソフトを起動すると、途端にハードへの攻撃を開始します。 マルウェアの存在が今ほど知られていなかった頃、多くのユーザーが安全なソフトと勘違いしてトロイの木馬に感染してしまうケースが多発していました。今でも有名なソフトを偽ってダウンロードさせようとする手口は廃れておらず、依然として脅威レベルの高いマルウェアと言えます。     3-2. ワーム ワームは各ソフトやOSの脆弱性を利用し、攻撃を仕掛けるマルウェアです。特徴的なのはウイルスのように自己増殖が可能な点で、ユーザーの働きかけがなくともハードからハードへ増えることができます。     3-3. ランサムウェア ランサムウェアは、感染したユーザーに対して身代金を要求する悪質なマルウェアです。ランサムウェアに感染すると、ハード上にある特定のファイルや全てのシステムをロックし、身代金の支払いがあるまで一切の操作を受け付けなくなります。 近年のサイバー攻撃における主流の手法となっており、例え身代金を支払ってもロックが解除される保証はなかったり、システムが復旧してもデータそのものは流出させられたりと、甚大な被害を被る攻撃です。     3-4. スパイウェア スパイウェアはユーザーに対してあからさまな攻撃は行わないものの、水面下で情報を流出させたり、コンピュータのリソースを勝手に使用したりするマルウェアの一種です。 攻撃者はユーザーのハードの使用履歴などを全てリアルタイムでモニタリングすることができ、やりとりされた情報についても筒抜けとなってしまうため、重大な情報漏洩を引き起こすことがあります。 スパイウェアに感染しているかどうかはユーザーが目視で確認することが極めて困難であるため、気づかない間に甚大な被害を被っていることもあるでしょう。     3-5. スケアウェア スケアウェアとは、ユーザーに対して「あなたのパソコンがウイルスに感染しています！」などと煽り立てて、セキュリティソフトなどを偽ったソフトをインストールさせるものです。 特段セキュリティ面での効果がないセキュリティソフトを有料で購入させたり、セキュリティソフトを偽ったマルウェアに感染させたりと、悪質な攻撃手法として知られています。       4. マルウェア感染で懸念されるリスク マルウェアへの感染によって、具体的にどのようなリスクに標的は晒されるでしょうか。     4-1. 業務の停止 マルウェアによって会社のシステムがダウンしてしまうと、復旧が完了するまでは業務を続けることはできません。近年は業務のデジタル化が進んだこともあり、セキュリティ対策をおろそかにしていると、いとも簡単に業務を止められてしまいます。 このような被害は病院などの公共サービスや重要なインフラを提供している組織にとって致命的であり、時として人命に関わる大惨事を引き起こす可能性もあるでしょう。     4-2. 金銭的被害 ランサムウェアなどによってシステムがロックされると、金銭を支払うまでは基本的に復旧は見込めません。現金を仮想通貨などに変換の上支払う必要があり、運転資金を大幅に損なう可能性があります。     4-3. ブランド力の低下 サイバー攻撃を受けた、あるいは被害を被ったということは、少なくとも日本においては警察などに報告することが求められています。公にサイバー攻撃被害を発表することはブランド価値を損なう可能性がありますが、被害を受けたことを隠すことはより大きなブランド力の低下にもつながります。 サイバー攻撃をゼロリスクにすることはできない以上、もしもの時に攻撃に対して被害を小さく抑えられたことを発表できるよう、対策を進めておく必要があるでしょう。     4-4. 事業の停止 サイバー攻撃によって情報の流出や金銭の支払い、システムの停止などが引き起こされると、最悪の場合復旧ができず、そのままビジネスを停止しなければならない事態も想定されます。 一つの攻撃によってこのような事態を招かないためにも、日頃から徹底してサイバーセキュリティを強化しておくことが大切です。       5.マルウェア感染の対策アプローチ マルウェア感染のリスクを少しでも低下させるためには、どのような対策アプローチを検討すべきなのでしょうか。     5-1. 基本的なセキュリティソフトの導入 マルウェア感染のリスクをゼロにすることはできませんが、可能性を小さくする上ではセキュリティソフトの導入が欠かせません。 多くの攻撃は一般的なセキュリティソフトをインストールしておくだけで、簡単に回避することができます。無闇にリスクを高めないためには、基本的なソフトの導入を進めておくことが大切です。     5-2. セキュリティ研修の徹底 マルウェアの感染は、従業員によるヒューマンエラーによって引き起こされることも多いものです。 システム面の強化はもちろん、それを利用する従業員向けのセキュリティ研修も丁寧に行うとともに、ルールの遵守を徹底し、リスクを回避しましょう。     5-3. 定期的なセキュリティチェックの実施 毎日行う必要はありませんが、定期的にメンテナンスを行ったり、専門の第三者機関を招きセキュリティを評価する取り組みも重要です。 専門家から現場の分析と改善ポイントを聞いておくことで、どのような対策が必要なのかを高いレベルで検討することができます。         まとめ この記事では、マルウェアの種類や有効な対策について解説しました。どのような攻撃手法があるのかを理解しておけば、未然に感染を防いだり、リスクを小さくするための取り組みを前向きに考えられたりします。 まずは自社の対策状況を確認し、どのような改善点があるのか、洗い出してみると良いでしょう。       EXOセキュリティのご利用料金はこちら EXOセキュリティの無料トライアルはこちら