ネットワークセキュリティ
セキュリティ対策は三幸堂ビジネスにお任せ下さい!
みなさんは、このように思っていませんか?
- ウィルス対策ソフトを入れているから、うちは大丈夫
- 怪しいサイトには(アダルト、ギャンブル等)に行かないから、問題ない
- わざわざこんな田舎の会社がサイバー攻撃で狙われるわけがないよ
- 不正送金被害にあっても銀行が何とかしてくれるでしょ
- 盗られて困るような情報は持ってないから大丈夫
- いざとなればインターネットなんか使わなければいい
- 実際にサイバー攻撃でやられたなんて聞いたことがないよ
今、日本企業のセキュリティ被害が相次いでいる理由は、多くの企業がこのように思い込んでいるからです。
実態を把握していないがために、経営リスクに陥ってしまう中小企業が急激に増えているのです。
情報漏えい、ネットバンキングの不正送金など、テレビや新聞、インターネットで多くの被害事例が取り上げられております。
経済産業省の統計では、従業員数1名~250名規模の事業者に対するサイバー犯罪の比率が、2011年に18%だったのが、2013年には31%に増加しているとのことです。
その理由は、小規模事業者のセキュリティ対策が甘いからなのです。
インターネットやスマートフォンの普及、IoT(Internet of Things:モノのインターネット)、電子マネーの普及、マイナンバー制度、東京オリンピックなど、これからの社会の流れが情報セキュリティ被害の増加を生むことは間違いありません。
セキュリティと言うと分かりづらい専門性の高い分野、進化の激しい分野というイメージがあると思います。
しかし、企業経営において欠かせない重要な情報になっております。
当社では、平成28年4月には国家資格である「情報セキュリティマネジメント」を8名が取得。
セキュリティ対策に精通した担当者がお客様に分かりやすく、役立つ情報をワンストップでお届けいたします。
経済産業省 情報処理技術者試験
情報セキュリティマネジメント試験 8名 合格
本当にあった被害事例
○ランサムウェア(身代金ウィルス)
ある設計会社が、ランサムウェア(身代金ウィルス)に感染。
※ランサムウェアとは、通称「身代金ウィルス」と呼ばれるマルウェアの一種で、これに感染すると、パソコンやサーバに保存されているデータを暗号化し、開けなくさせたり、開けても文字化けになってしまうウィルス。そのデータを復元する鍵と引き換えに身代金を要求される手口で、2016年から全国の企業や個人で被害が激増している。
日本の場合、要求金額は3万円から30万円が多く、支払ったがデータが元通りになる場合とならない場合がある。
原因は、Webサイト閲覧中にドライブ・バイ・ダウンロード攻撃で感染したと思われる。
※ドライブ・バイ・ダウンロード攻撃というのは・・・Webサイトやバナー広告を改ざんされ、気づかずに閲覧した人の端末にマルウェアがダウンロードされてしまう巧妙な手口。
感染経路は正確には特定できていないようだが、不審なメールを開いた形跡がないことから、Webサイトを閲覧中に感染してしまったのではないかと思われる。
結局この会社は、パソコンをすべて初期化し、データを削除するしかなくなってしまった。
当然、大手メーカーとの取引データであるため、信用問題に関わる状況になった。二度とこのような問題が起こらないよう、すぐに統合脅威管理システム(UTM)という対策を施し、
体制自体を見直した。
○Webサイト改ざん
ある従業員数約20名の不動産賃貸会社。
インターネット広告とWebサイトで物件を紹介していた。
4LDK、敷金・礼金なし。家賃は月98,000円。
これをインターネット広告に載せ、サイトにアクセスしてもらい来店を促していた。
ところが、セキュリティが脆弱だったため、知らない間にウィルス感染。
さらに広告とWebサイトの物件情報が改ざんされ、家賃が「月9,800円」というあり得ない破格の表記に勝手になっていました。
そして、この広告を見たという男性が来店し、「実際の価格と違う!こうやってネットで広告も出ているし、
サイトにも9,800円と載っているじゃないか!」と主張。
その怒りはやがて、SNSへの書き込みという形にも現れました。
Facebookなどで、「この会社に記載されていた金額より膨大な金額の家賃を要求された」などという内容の書き込まれてしまったのです。
これによって会社の評判はガタ落ち。
警察が捜査してみると、いくつかある近隣の同業他社のうちのどこかの会社から、
標的型のメール攻撃でウィルス(トロイの木馬)に感染した可能性があるとのことで、Webサイトとインターネット広告を改ざんされてしまったのです。
そして結果的にこの会社は、元々資金が潤沢にあったわけでもなかったこともあり、この事件によって、余儀なく廃業せざるを得なくなった。
○セキュリティ対策について
標的になっている中小企業こそ、セキュリティ対策が必要!
中小企業の多くは、社内にシステムに詳しい担当者がいない為、適切なセキュリティ対策を判断しづらい、大手企業のように莫大な投資ができない、という状況があると思います。
とはいえ、それが理由でセキュリティ状態が脆弱で、そこを突いたサイバー攻撃が増えているのも事実です。
しっかりと情報収集し、今求められているセキュリティ対策を施していくのがとても重要です。
これからのセキュリティ対策は、「多層防御」が必要!
これからのセキュリティ対策に欠かせなくなるキーワードがあります。
それは、「多層防御」というものです。「多層防御」というのは、巧妙化するサイバー攻撃の手口の進化により、「これをやっておけば絶対に大丈夫!」という対策は現実的には難しくなってきているため、あらゆるリスクを想定した複数の対策を施して、被害に遭ってしまう可能性を極力減らしていくという考え方です。
「多層防御」を前提として、おすすめのセキュリティ対策方法をご提案致します。
おすすめのセキュリティ対策方法
1、ウィルス対策(アンチウィルス)ソフト
お使いのパソコンやサーバなど、社内ネットワークの中にある端末にインストールし、ウィルスやスパイウェアなどのマルウェアを検知・駆除する対策方法です。
1日に約40万種類のペースで新種のウィルスが生み出されているとも言われていますので、これからも確実に利用していただきたい対策方法です。
とはいえ、ソフトメーカーも多岐に渡りますが、検知率には多少のバラつきもあります。
これから増えてくると予測される攻撃手法を考えると、以下のよう製品がより好ましいと言えます。
①セキュリティパッチが常に最新に自動で更新される
②未知のマルウェアに対応する機能がある
③端末に入っているソフトウェアの脆弱性を見える化できる
2、UTM(統合脅威管理)
UTM(統合脅威管理)は、社内のインターネット回線の出入り口部分で、外部からの脅威から会社の情報を守るための防御壁です。
アンチウィルス、アンチスパムメール、ファイアウォール、IPS(不正侵入防御)、URLフィルタリングなどの複数の対策を、ひとつの機器で施すことができます。
イメージ的には、「ルータのセキュリティ強化版」です。
UTM(統合脅威管理)の機能としては、手動でセキュリティパッチを最新にしなくても、勝手に自動更新してくれるので、社内のセキュリティ体制を常に最新に保つことができるのも、システム管理者がいない中小企業にとっても大きなメリットと言えます。
端末1台1台に対策を施すものではなく、インターネット回線にひとつ設置すれば良いので、中小企業にとってもコストパフォーマンスが高く、これから必須の対策のひとつと言えるでしょう。
メーカーは多岐に渡りますが、セキュリティの強さや処理スピード(スループット)や価格には多少のばらつきがあります。
以下のような条件で選定するのが良いでしょう。
- セキュリティパッチの信頼性が高く、他より強度である
- セキュリティの機能や強度を落とさなくても処理スピード(スループット)が速い
- ログレポートを出力できる
- スマホやタブレット端末などにも使用可能
- アフターフォローが充実している(リモート保守、不具合時のセンドバック体制など)
「UTMを施せば、ウィルス対策ソフトは要らない!」と主張する取り扱い企業もいるようですが、それは間違いです。どちらも必要です。
なぜかというと、USBメモリやCD-ROMによる感染はUTMでは防げないからです(ただし社外への拡散は防ぐ)。
また、昨今攻撃が巧妙化しているため、「多層防御」が前提となっているためです。
3、データバックアップ
データを暗号化して「直して欲しければ金を払え」と、金銭を要求する身代金ウィルス(ランサムウェア)という手口に留まらず、データ破壊やパソコン自体を破損させるようなランサムウェアに変貌を遂げながら益々増加しています。金銭を支払ってもデータが元通りになる見込みは薄いと言われていますので、パソコンが感染しファイルが最悪失われてもデータの復元ができるようにしましょう。感染してしまったパソコンが社内ネットワークにあると他のパソコンにも感染してしまいます。
個別クライアントパソコンの対策が使用している社員任せでは最新の状態にするアップデートやバックアップ管理が疎かになってしまうのは仕方のないことです。「社員がやっている」はずだから…で社員任せではたして良いものでしょうか?1年前と比べて社内ネットワークに接続する端末はパソコンだけではなくなりスマホ・タブレットと増えていき、社員数×2倍から3倍になっているはずです。そのすべてが有効なウィルスソフト入っているか確認しているでしょうか?もはや社員任せではなく管理者に当たっている人が一元管理できる仕組みを是非取るべき時期になっていると考えます。
会社のデータバックアップお勧め対策
- サーバー(NAS)で社内データ管理する。
個別のパソコンへの保存は避け、会社内の紛失して困るデータ・共有すべきデータは集中してバックアップを取る。 - USBメモリはバックアップ先として用いない。
書き込み回数に制限があり、データ紛失や外部からウィルスを持ち込む原因となるので使用しない。やむを得ずデータ移動で用いる場合はウィルス対策措置されているものを使用する。 - 「3-2-1の法則」に沿って社内運用ルールを考える。
A: 3つ以上のデータを作る
B:2種類以上の記録メディアを使う
C:バックアップの1つは離れた場所に保管する
※日常業務場所が近年の災害に見舞われてしまいことも珍しくありません。絶対安全な保障も場所も無いと言い切っても何ら間違いありません。保険だけで「まさか」自社の損害は賄えるかもしれませんが、得意先のへの対応はいち早く復旧させる以外ありません! - 自動でバックアップを取る仕組みで運用
バックアップソフトや復元ソフトを利用:パソコンの電源が入っていれば、自動でスケージュール設定通りバックアップを取ります。 - イメージバックアップソフトですぐ業務再開できるようにする
バックアップソフトには①ファイルバックアップソフトと②イメージバックアップソフトの2つがあります。お勧めはイメージバックアップソフトです。パソコン丸ごと環境(設定、アプリケーション)とデータをバックアップします。そのため個別ファイルの復元は勿論、ハードディスクの破損やパソコン本体の故障時も他のHDやパソコンに速やかに復元し業務再開できます。
バックアップ環境
「3-2-1の法則」+自動バックアップ+イメージバックアップ
4、ソフトウェアの最新化
使用しているソフトウェアの中には、脆弱性(セキュリティ上の欠陥)が見つかっているものがあります。
その脆弱性を突いてウィルスを侵入させるような攻撃手法があります。
たとえば、Adobe Flash PlayerやJavaなどのソフトウェアの脆弱性を突いて、Webサイトを閲覧していただけで
バナー広告から感染する攻撃などがあります。このような攻撃を、ドライブ・バイ・ダウンロード攻撃と言います。
これは実質、Webサイトを見ているだけで感染してしまうのです。
このような、ソフトウェアの脆弱性を突いた攻撃から守るためには、常にお使いのソフトウェアが最新のバージョンに更新しておくことが重要です。ウィルスソフトの中には、このようなソフトウェアの脆弱性を見える化できるものもありますので、管理者が定期的に、各端末におけるバージョンの更新状況を把握し更新を促していくのが有効です。
5、情報資産管理システム
情報資産管理システムとは、管理者の目が行き届きにくい、社内のデータの管理や各クライアントPCの利用状況等を管理するための、管理者向け情報管理ツールです。アクセス権限を設けたり、ファイル閲覧のログを取ったり、USBメモリ等による情報の持ち出しを禁止するなど、あらゆる情報資産の管理をワンストップで行うことができます。
こちらは、外部からのセキュリティ対策ではなく、内部からの情報漏えいを防ぐ内部対策として有効な方法です。
6、常に最新情報を入手する
常に最新情報を入手することが重要です。日々、情報セキュリティという分野は進化していきます。
技術が進歩して利便性が高まるということは、ハッカーにとっても利便性が増すということなのです。
とはいえ、情報セキュリティというのは専門性が高くて分かりづらいので、信頼性のおける分かりやすい情報を発信してくれる情報源を持っておくというのはとても大切なことです。
三幸堂ビジネス セキュリティセミナー開催実績
| セミナー演題 | 開催日 | 開催地 | 会場 | 摘要 | |
|---|---|---|---|---|---|
| 1 | 中小企業が被害にあってしまった!最新ネット犯罪・内部漏洩20事例 | 2016年2月12日 | 二戸 | カシオペアメッセ なにゃーと | ※webで希望者に配信 |
| 2 | 中小企業向けサイバーセキュリティ勉強会(岩手県警本部生活環境課 サイバー犯罪対策室様と合同) | 2016年9月8日 | 盛岡市 | 岩手県民会館 | 船井総合研究所サイバーセキュリティチーム講師 |
| 3 | UTMレポート活用セミナー | 2016年11月17日 | 二戸市 | UTMレポート 活用セミナー |
ネットブレインズ共同開催 |
| 4 | 中小企業向けサイバーセキュリティ勉強会(青森県警本部 サイバー犯罪対策室様と合同) | 2016年11月21日 | 八戸市 | 八戸市総合福祉会館 | 船井総合研究所サイバーセキュリティチーム講師 |
| 5 | 中小企業向けサイバーセキュリティ勉強会(岩手県警本部生活環境課 サイバー犯罪対策室様と合同) | 2017年2月16日 | 一戸町 | 一戸コミュニティ センター |
船井総合研究所サイバーセキュリティチーム講師 |
| 6 | 中小企業「経営者」向け情報セキュリティ対策セミナー「新しい個人情報保護法」私たちがやるべきこととは? | 2017年6月21日 | 三戸町 | 三戸町スポーツ文化複合施設 (あっぷるドーム) |
青森県警察本部サイバー犯罪対策室様 |
| 情報漏えい事件における賠償事例などを解説 | 八戸シティ法律事務所木村弁護士様 | ||||
| 中小企業のサイバーセキュリティのプロがアドバイス | 船井総合研究所サイバーセキュリティチーム宮増様 | ||||
| 被害の実態と対策を徹底解説(生でハッキング実演) |
三幸堂ビジネスは年々多様化・深刻化を増すサイバーセキュリティ被害から岩手県二戸市近郊(一戸町、九戸村、軽米町、八幡平市)と盛岡近郊(岩手郡、滝沢市、矢巾町、紫波町)そして青森県八戸近郊(八戸市、三戸町、南部町、五戸町、おいらせ町、田子町、新郷村、階上町)の中小企業を守るため、ネットワークセキュリティ対策システム提案をするだけでなく定期的に勉強会を行っています。
不正送金被害だけではなくデータ抜き取りやデータ人質を引き起こすマルウェアに遭遇した場合のリスクを最小にするお手伝いをいたします。
深刻な被害として自社内システム停止だけに留まらず、情報流失による社会的制裁や経済的な負担を負う事態にもなってきており、重大な経営リスクを未然に防ぐためにも自社のセキュリティレベル棚卸をされてはいかがでしょうか?
中小企業向けのネットワークセキュリティ勉強会を以下のように実施するだけでなく、定期的に最新のサイバーニュース(被害事例や傾向など)をお渡しするなど継続的に活動しております。
無料診断を随時受け付けております。
対応可能地区
岩手県:二戸市、一戸町、九戸村、軽米町、八幡平市、
盛岡市、岩手郡、滝沢市、矢巾町、紫波町
青森県:八戸市、三戸町、南部町、五戸町、おいらせ町、田子町、新郷村、階上町
お気軽にお問い合わせください。0195-23-8181受付時間 9:00-18:00 [ 土・日・祝日除く ]
お問い合わせ お気軽にお問い合わせください。