急速にデジタル技術が進化する中、それらを悪用したサイバー攻撃が増加し、手口は高度化・巧妙化しています。企業がサイバー攻撃を受け、機密情報が漏洩したり、システムが破壊された場合、企業の信用低下や経済的損失など、深刻な影響を及ぼす可能性があります。
実際、サイバー攻撃により工場の生産ラインが停止したり、ウェブサイトの閉鎖を余儀なくされる事態が発生しており、その結果、数千万円規模の損害が発生した事例もあります。
効果的なセキュリティ対策を講じるためには、サイバー攻撃の手口を正確に把握することが不可欠です。サイバー攻撃の手口は多岐にわたりますが、特に警戒すべきリスクとして、次のようなものが挙げられます。

スパイウェア

スパイウェアは、PCやスマホに、情報ネットワークの利用者の意図に反してインストールされるウイルスです。個人情報やアクセス履歴などの情報を収集するプログラムで、フリーウェアをダウンロードしたり、不正なコードを埋め込まれたサイトを閲覧したりすることで侵入されるケースが多く見られます。パスワードなどのキー入力を記録して外部に送信する「キーロガー」もスパイウェアの一種です。

ボット

感染したPCやスマホを操ることを目的として作成されたプログラムがボットです。ネットワークを通じて外部から指示を受け、スパムメールを送信したり、後に述べるDos攻撃を行ったりします。これらの動作は遠隔操作によってバックグラウンドで実行されるため、利用者はほとんど気付くことができません。

DoS攻撃/DDoS攻撃

Dos攻撃（ドスこうげき）とはDenial of Service attackの略で、「サービス妨害攻撃」ともいいます。ネットワークに接続されたサーバーに大量のリクエストや巨大なデータを送りつけたり、例外処理をさせたりして過剰な負荷をかけ、Webサービスを提供できない状態に陥れるものです。

攻撃に使用されるのは、ボットに感染し遠隔操作されたPCやスマホであることも多く、デバイスの所持者が知らない間に犯罪行為に加担してしまう形もあります。また、ボットに感染した複数のデバイスから1つの標的に集中してDos攻撃を行うものが、DDos攻撃（ディードスこうげき：Distributed Denial of Service attack）で、「分散型サービス妨害攻撃」ともいいます。

標的型攻撃メール

メールを用い、標的とする特定の組織や個人を狙う手法が標的型攻撃メールです。仕事を装った偽のメールを標的へ送信し、「詳細を添付します」などと添付ファイルのクリックを促します。添付ファイルにはウイルスが仕込まれており、開封するとウイルスに感染してしまいます。

不正アクセス

システムの脆弱性やID/パスワードの漏洩により、外部から悪意を持ったユーザーが不正にシステムへ接続することを指します。操作に必要な権限を手に入れて、機密情報を持ち出したり、サービスを停止させたり、ほかの標的を攻撃するための踏み台に利用するなど、さまざまな被害が考えられます。

情報セキュリティの脅威への対策として、最近はAIを活用した不正検知システムなども登場しています。もちろん最新のセキュリティ対策を導入することも重要ですが、まずは次のような基本の対策を徹底するのが望ましいです。

1. ウイルス対策ソフトやセキュリティシステムを導入する

企業はサイバー攻撃を回避するために、ウイルス対策ソフトやセキュリティシステムを導入し、24時間365日体制でウイルス感染や不正アクセスを検知・対処することが求められます。ウイルス対策ソフトは、定期的なパターンファイルの更新とスキャンを実施し、常に最新のウイルスに対応できる状態を維持する必要があります。
セキュリティシステムの代表的な機能には、不正なサイトを検出する「Webフィルタリング」や、ネットワーク攻撃を防止する「ファイアウォール」があります。また、不正侵入を検知・防御する「IDS（不正侵入検知システム）」や「IPS（不正侵入防御システム）」も重要な役割を果たします。
これらのシステムや機能を個別に導入することは、管理の手間やコストがかかるため、統合的なセキュリティ対策の導入が望まれます。

■サイバー攻撃と法人のウイルス対策

2. OS・ソフトウェアを最新の状態に保つ

セキュリティ対策において、定期的なOSやソフトウェアの更新は重要な要素です。多くのOSやソフトウェアには、開発過程で生じた不具合やセキュリティホール（欠陥）、脆弱性が存在することがあります。
これらの弱点を放置すれば、攻撃者に狙われるリスクが高まります。これを防ぐため、OSやソフトウェアのメーカーは「パッチ（修正・バージョンアップ用のプログラム）」を提供します。
OSやソフトウェアの更新を怠ると、パッチが適用されず、ウイルス感染や情報漏洩などのリスクが増大するため、パッチが配布された際には速やかに対応することが不可欠です。
ただし、脆弱性が発見された際、その修正が行われる前に狙われる「ゼロデイ攻撃」という手法が存在するため、更新することだけでは十分ではありません。他のセキュリティ対策と併せて実施し、セキュリティ強化を図ることが求められます。

3. IDとパスワードを厳重に管理する

近年、業務システムやクラウドサービスが広く利用され、さまざまなサービスが連携しているため、IDとパスワードが漏洩すると被害が一気に拡大するリスクがあります。
さらに、パスワード管理においては、予測可能なパスワードを使用しないことが重要です。例えば、初期設定のパスワードをそのまま使用したり、短い文字数や簡単な配列で設定したりすることは、容易に破られる危険性があります。
複雑で推測困難なパスワードの設定をルール化して徹底し、複数のシステムやサービスで同一のパスワードを使い回さないこと、また定期的にパスワードを更新することが、セキュリティ強化に有効です。

4. 従業員ごとの権限設定を適切に行う

情報流出の原因はサイバー攻撃だけでなく、従業員のミスや不正によるケースもあります。
情報の内容に応じて、アクセス権限を厳格に管理する必要があります。例えば、社内規則は全従業員に、個人情報や業務マニュアルは関連部署の従業員のみにアクセス権限を与えるなど、適切な権限設定を行い、無断でのアクセスを防止しましょう。
また、データの改ざんを防ぐために、編集権限の管理も重要です。機密性の高いデータや重要なデータの編集権限は、管理者層に限定し、その他の従業員には閲覧権限のみを付与することが推奨されます。

5. 情報セキュリティに関するルールを策定する

ITおよびセキュリティのリテラシーには個人差があるため、情報セキュリティに関するルールを策定し、雇用形態や勤務形態に関わらずすべての従業員雇用形態や勤務形態に関わらず、すべての従業員の意識を高めることが不可欠です。
ルールを策定するだけでは浸透しないため、定期的な研修や情報発信が重要です。また、研修後にはテストを実施し、内容が理解されたかを確認することが求められます。

日々高度化・巧妙化するセキュリティの脅威に対して、セキュリティ対策を講ずることは必須です。経済産業省も「サイバーセキュリティ経営ガイドライン」を設け、企業へのセキュリティ対策を要請しています。

しかし、セキュリティ対策の必要性を認識していながら、さまざまな理由によって取り組めていない法人も少なくありません。法人のセキュリティ対策が不完全となってしまう理由はどこにあるのでしょうか。

何をどこまでやれば十分なのかよくわからない

スパイウェアや不正アクセス、情報漏洩など、企業を取り巻くセキュリティの脅威は多岐にわたります。「何を」「どのレベルまで」対策すればいいのかわからず、対策自体が進まないケースも存在します。

セキュリティ専門の人材が社内に存在しない

特に中小企業では、人手が足りないため情報システム部門にリソースを割くことができず、ほかの業務と兼任しているケースも珍しくありません。セキュリティ専門の人材が存在しないため、セキュリティ対策も担当の従業員の裁量に任され、日々巧妙化するセキュリティの脅威に対して対応できないケースも発生します。

サイバー攻撃の発生に気付けていない

サイバー攻撃は常に高度化・複雑化しており、ウイルス感染を悟られることなく攻撃をするものもあります。そのため、外部からの指摘によって被害が発覚するなど、自分たちで気付けていないケースも少なくありません。

「セキュリティへの投資は高い」と考えてしまう

セキュリティ導入にあたり費用対効果が不透明なため、期待される成果に対してコストが高いと感じる傾向も見受けられます。
その結果、法人においては、ウイルス対策やセキュリティ対策として、個人向けのウイルス対策ソフトのみを導入して終わってしまっているケースが少なくありません。
総務省情報流通行政局が発表した「令和5年通信利用動向調査報告書（企業編）」によれば、セキュリティ対策に対応している企業の内、ウイルス対策ソフトを導入している企業は80%以上に達していますが、それ以外のセキュリティ対策を実施している企業の割合は急激に減少しています。

■企業における情報セキュリティ対策の実施状況

参照元：https://www.soumu.go.jp/johotsusintokei/statistics/pdf/HR202300_002.pdf

セキュリティの脅威への対策として、近年注目されているのがUTM（統合脅威管理）です。UTMとは、ファイアウォールをはじめ、有害サイトのブロック、不正侵入の検知・防御（IDS/IPS）といった、法人にとって必要なセキュリティ機能をパッケージ化したサービスです。

最近では、インターネット回線とクラウド型UTMがセットで提供されるサービスもあります。こういったサービスは、事業者側で推奨するセキュリティ設定を行うため、設計・設定の負担を軽減することが可能です。また、クラウド型であるため、導入が迅速かつ事業者側で運用を行うため、最新のサイバー攻撃にも対応できます。

急速なデジタル化の中で、サイバー攻撃はかつてないほど重大な影響を及ぼすリスクを伴います。適切なセキュリティ対策を講じなければ、社会への損害を引き起こす可能性があり、その結果、法人としての経営責任や法的責任が問われることもあります。
これらのリスクを防ぐためのセキュリティ対策は単なる「コスト」ではなく、将来の事業活動を支え、成長を促進するための重要な「投資」として位置付けるべきです。この視点を持つことで、セキュリティ対策がより戦略的な意味を持ち、企業の競争力強化にもつながるでしょう。