Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

なにから始めれば?
ネットワークをサイバー攻撃から守るセキュリティ対策

有名な日本企業がサイバー攻撃を受け、個人情報漏えいなどの大きな被害を受ける事件が年々急増しています。有効なセキュリティ対策の必要性を感じつつも、あまりにも対策の項目が多すぎて、どこから手をつけるべきかわからないといお悩みの企業も多いのではないでしょうか。日々、高度化、巧妙化するサイバー攻撃のリアルな被害事例を交えて、いま、率先して取り組むべき有効なセキュリティ対策の取り組み方を解説します。

印刷

いまやファイアウォール、ウイルス対策ソフトのみでは機密情報は守れない!

ビジネスでインターネット、PCをビジネスで活用する以上、セキュリティ対策を欠かすことはできません。一般的な対策としてはファイアウォール、ウイルス対策ソフトが挙げられますが、これらの対策だけでは現在のサイバー攻撃を防ぎきることは困難です。たとえば特定の企業を狙って行われる標的型攻撃の一例では、顧客や取引先を装ってメールを送り、受信者に添付ファイルを開くように仕向けます。そのファイルが実はマルウェアであり、ダブルクリックすると感染し、重大な機密情報の漏洩などの被害につながってしまうケースが急増しているのです。

こうして送られてくる標的型攻撃のメールは、ファイアウォールから見ると通常の通信と見分けがつかないため遮断ができません。さらに最近では新たな手口が次々に登場していることなどから、ウイルス対策ソフトにおけるマルウェアの検出率は低下し続けています。このため従来のファイアウォール、ウイルス対策ソフトのみの対応では、たやすく突破されてしまうのです。

図:巧妙化するサイバー攻撃

そこで最近では、複数のセキュリティ機能を統合したUTM(Unified Threat Management)など、高度なセキュリティ機器が登場しています。しかし、残念ながら、これらの対策も導入しただけでは充分な効果は望めません。出力されたログをチェックして必要に応じて設定をアップデートするなど、セキュリティ対策への日々の運用が必須となるためです。効率的な運用のためにはセキュリティの専門知識を持つ専任の人材配置が必須となります。ここが一般的な企業が高度なセキュリティ対策の導入に踏み切れない最大の障壁になっているのです。

原因は人材不足による未対策?過去に起きたサイバー攻撃の被害例

そもそも、セキュリティ対策は収益につながる「攻め」の投資ではありません。万一の際に備える「守り」の投資です。このため多くの企業、組織ではどうしても優先順位が低くなってしまう傾向にあります。最新のサイバー攻撃に備えた高度なセキュリティ対策を人材不足などを理由に後回しにすると、情報漏洩などによる信用失墜、減収といった深刻な事態を招きかねません。ここでは実際に発生した、いくつかの被害事例を紹介します。

教育機関では約7万人の個人情報が漏洩

2017年12月、サイバー攻撃により、所属学生や教職員、学外関係者などの氏名やメールアドレスなどの個人情報が流出。7万人近くの情報をダウンロードされた痕跡があり、約60名の教職員宛てのメール文面内に記載された給与、人事に関する情報も漏えいした可能性があります。攻撃は不正入手された教員のIDとパスワードを使い、海外のサーバー経由で行われました。

レジャー施設では約700万円の不正カード使用が発覚

2017年7月、ECサイト内で使用しているソフトウェアの脆弱性をついた第三者からの不正アクセスがあり、同サイトを利用していた顧客のクレジットカード情報約6,800件が流出。さらに、それらのカードから約700万円が不正に使用されたことも発覚しました。

一般社団法人では約3,000件の顧客情報が流出

2019年9月、自社運営のECサイトに不正アクセスが発生しました。委託先のテストサーバーからデータを抜き取るかたちで、同サイト内に登録されていた顧客の情報約3,000件に流出の可能性があるとされています。

電機メーカーでは重要な技術情報などが漏洩

2020年1月、セキュリティソフトの既知の脆弱性を狙い、対策パッチの公開前にネットワークに対して攻撃をしかける「ゼロデイ攻撃」による不正アクセスが発生。従業員などの個人情報に加え、メーカーにとっては生命線となる技術資料などの機密情報が流出しました。

このようなサイバー被害は氷山の一角にすぎません。被害が社内に限定される表面化しない軽微なケースも含めれば、その被害件数は膨大なものになると考えられます。人手不足などを理由に後回しにするのではなく、最優先で取り組みたい施策といえるのではないでしょうか。

複数対策の並行実施で安全性を強化!率先したいセキュリティ対策4選

巧妙化するサイバー攻撃の背景と実際の被害事例を解説してきましたが、最新のセキュリティ対策ではこれらをどう防いでいるのでしょうか。ネットワーク経由のサイバー攻撃から自社の情報資産を守るためのセキュリティ対策は、単一の対策だけでは効果は限定的です。複数の対策を並行して実施することが重要になり、優先すべき対策は以下の4つに大別できます。

ウイルス対策

外部からのコンピューターウイルスの侵入を防止する対策です。フィッシングサイトなどの危険なサイトへの接続を防ぐWebフィルタリング、不正侵入の検知、ネットワークの入り口でウイルスをブロックする機能などを備えたUTM(統合脅威管理)による対策が有効です。

通信の暗号化

ウェブサイトを安全に運用するためには、SSLによるサイトの暗号化が不可欠です。SSLはサイトでやりとりされる通信内容を暗号化して、通信内容が悪意ある第三者に解読されることを防ぐ技術です。インターネットを利用する場合、通信の暗号化はセットで考えるべきです。

認証プロセスの設定

企業ネットワークでは外部からの無関係なアクセスを拒否する認証技術は欠かせません。認証のプロセスでは、自社サーバーなどへのアクセス時にあらかじめ登録されたユーザーID、パスワード情報を照合し、合致するユーザーのアクセスのみを許可します。さらに社内のデータについても、個人や事業部門ごとにアクセス可能なデータを制御するための認証を行います。

不正侵入防止

不正アクセス対策には「IDS(不正侵入検知システム)」と「IPS(不正侵入防御システム)」の2つがあります。IDSは不正アクセスや異常な通信を検知したときに管理者に通知するシステムです。ただし管理者が通知を受け取り、対応を実施するまでの間に被害が広がってしまうおそれがあります。一方IPSは、不正アクセスや異常な通信を検知すると同時に自動で通信を遮断するシステムです。IDSよりリアルタイムな対応ができるため被害拡大を防ぐ効果があります。

人材・技術不足でもセキュリティ対策ができる!

いざ、最新の脅威に備えた総合的なセキュリティ対策を実施したいと考えても、社内にセキュリティに詳しい人材がいない、あるいは運用にリソースを割けないケースは少なくありません。そこで検討したいのが、セキュリティ対策を含めた総合的なサポートをアウトソーシングきるNTTコミュニケーションズの「Network Support Services(NSS)」です。

実績豊富なエンジニアによるきめ細かいコンサルで既存ネットワークシステム環境の課題を洗い出し、新たな環境の導入検討から設計・実装、さらに導入後の運用保守まで一元的にサポート。自社の状況に最適なネットワーク設計やセキュリティ対策が可能になります。もちろん、先に挙げた4つのセキュリティ対策を含む、最新の脅威を想定した仕組みの構築、継続的な改善、運用までをワンストップでお手伝い。サイバー攻撃に関する人員、稼働を不要にします。

「セキュリティ対策の必要性を感じながらも、具体的な対応策がわからない」「慢性的な人材不足で人的リソースが足りない」「最新の脅威に備えて、継続的にセキュリティ対策の強化したい」といった課題をお持ちのお客さまには、このようなアウトソーシングサービスを活用して安全、安心なネットワーク環境を構築、運用されてみてはいかがでしょうか。

※Arcstar Universal Oneまたは法人向けOCNサービスのご利用が本サービス提供の対象になります。

関連サービス

社内共有資料にお役立てください

ネットワーク環境
印刷用ページ

印刷用ページはこちら

ネットワーク環境
導入検討 ご相談

お問い合わせはこちらから