企業ネットワークのクラウド化が進み、これまで以上にインターネットの活用が進む中で、ネットワーク関連のセキュリティ対策はますます重要なものとなっています。一口に「コンピューターウイルス」や「サイバー攻撃」といっても多種多様であり、手口も高度化・巧妙化しているのが現状です。まずは代表的なセキュリティの脅威についてまとめました。

・スパイウェア

スパイウェアは、PCやスマホ、情報ネットワークの利用者の意図に反してインストールされるウイルスです。個人情報やアクセス履歴などの情報を収集するプログラムで、フリーウェアをダウンロードしたり、不正なコードを埋め込まれたWebサイトを閲覧したりすることで侵入されるケースが多くあります。パスワードなどのキー入力を記録して、外部に送信する「キーロガー」もスパイウェアの一種です。

・ボット

感染したPCやスマホを操ることを目的として作成されたプログラムがボットです。ネットワークを通じて外部から指示を受け、スパムメールを送信したり、後に述べるDos攻撃を行ったりします。これらの動作は遠隔操作によってバックグラウンドで実行され、利用者はほとんど気付くことができません。

・DoS攻撃/DDoS攻撃

Dos攻撃（ドスこうげき）とはDenial of Service attackの略で、「サービス妨害攻撃」ともいいます。ネットワークに接続されたサーバーに大量のリクエストや巨大なデータを送りつけたり、例外処理をさせたりして過剰な負荷をかけ、Webサービスを提供できない状態に陥れるものです。
攻撃に使用されるのは、ボットに感染し遠隔操作されたPCやスマホであることも多く、デバイスの所持者が知らないあいだに犯罪行為に加担してしまう形もあります。また、そうしたボットに感染した複数のデバイスからひとつの標的に集中してDos攻撃の行われるものが、DDos攻撃（ディードスこうげき：Distributed Denial of Service attack）で、「分散型サービス妨害攻撃」ともいいます。

・標的型攻撃メール

メールを用い、標的とする特定の組織や個人を狙う手法が標的型攻撃メールです。仕事を装った偽のメールを標的へ送信し、「詳細を添付します」などと添付ファイルのクリックを促します。添付ファイルにはウイルスが仕込まれており、開封するとウイルスに感染してしまいます。

・不正アクセス

システムの脆弱性やID/パスワードの漏えいにより、外部から悪意を持ったユーザーが不正にシステムへ接続することを指します。操作に必要な権限を手に入れて、機密情報を持ち出したり、サービスを停止させたり、ほかの標的を攻撃するための踏み台に利用するなど、さまざまな被害が考えられます。

取りうるべきセキュリティ対策

こうしたセキュリティの脅威に対して、セキュリティソフトの導入やOS/ソフトウェアの更新のほか、不正なWebサイトを検出する「Webフィルタリング」、不正侵入を検知・防御する「IDS（不正侵入検知システム）」や「IPS（不正侵入防御システム）」、ネットワーク攻撃をブロックする「ファイアウォール」などの対策が必要不可欠です

■サイバー攻撃と法人のウイルス対策

日々高度化・巧妙化するセキュリティの脅威に対して、セキュリティ対策を講ずることは必須です。経済産業省も「サイバーセキュリティ経営ガイドライン」を設け、企業へのセキュリティ対策を要請しています。
しかし、セキュリティ対策の必要性を認識していながら、さまざまな理由によって取り組めていない法人も少なくありません。法人のセキュリティ対策が不完全となってしまう理由はどこにあるのでしょうか？

何をどこまでやれば十分なのかよくわからない

スパイウェアや不正アクセス、情報漏えいなど、企業を取り巻くセキュリティの脅威は多岐にわたります。「何を」「どのレベルまで」対策すればいいのかわからず、対策自体が進まないケースも存在します。

セキュリティ専門の人材が社内に存在しない

特に中小企業では、人手が足りないため情報システム部門にリソースを割くことができず、ほかの業務と兼任しているケースも珍しくありません。セキュリティ専門の人材が存在しないため、セキュリティ対策もその担当社員の裁量に任され、日々巧妙化するセキュリティの脅威に対して対応できないケースも発生します。

サイバー攻撃があっても自分たちで気付くことができない

サイバー攻撃は常に高度化・複雑化しており、ウイルス感染を悟られることなく攻撃をするものもあります。そのため、外部からの指摘によって被害が発覚するなど、自分たちで気付けていないケースも少なくありません。

「セキュリティへの投資は高い」と考えてしまう

「何をどこまでやれば十分なのかわからない」ことは、セキュリティへ投資する判断を鈍らせることにもつながります。また、費用対効果が見えづらいため、期待される結果に対してコスト高に感じる傾向もあります。そのため、ウイルス対策・セキュリティ対策として、個人向けウイルス対策ソフトを導入するだけの法人も多く見られます。

■企業における情報セキュリティ対策の実施状況

※出典：総務省「通信利用動向調査」http://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html

セキュリティの脅威への対策として、近年注目されているのがUTM（統合脅威管理）です。UTMとは、ファイアウォールをはじめ、有害サイトのブロック、不正侵入の検知・防御（IDS/IPS）といった、法人にとって必要なセキュリティ機能をパッケージ化したサービスです。

最近では、インターネット回線とクラウド型UTMがセットで提供されるサービスもあります。こういったサービスは、事業者側で推奨するセキュリティ設定を行うため、設計・設定の負担を軽減することが可能です。また、クラウド型であるため、導入が迅速かつ事業者側で運用を行うため、最新のサイバー攻撃にも対応できます。

クラウド化により、社内ネットワークがインターネットと密接なものとなった現在、サイバー攻撃の脅威はかつてよりも重大な影響を及ぼしかねなくなっています。適切なセキュリティ対策を取らずに社会に対して損害を与えてしまった場合、その法人の経営責任や法的責任が問われる可能性も出てきます。

昨今では、ITを活用して利益を生み出すビジネスモデルも増えています。それを踏まえて、セキュリティ対策を「コスト」ととらえるのではなく、将来の事業活動を発展させるために必要な「投資」と位置付けてみてはいかがでしょうか？