どうする?ランサムウェア(セキュリティ)対策
2021年06月28日 16:43
近年、デジタルトランスフォーメーション(以下DX)が企業の目下の課題となっています。
そのため、多くの企業では「DXの担当者」「DX専属部署」を設置し推進しているのではないでしょうか。
DX推進に付随して、基幹システムの刷新やSaaS(software as a service)の導入も進み、企業全体として多くのシステムを活用している状況かと思います。また、企業としてだけでなく、価格面やクラウドサービスによっては、部門ごとでの導入もされている状況があるようです。昔からあるランサムウェアのようなウイルスが最近は社会を騒がせていますが、セキュリティ対策は万全でしょうか。
日本におけるセキュリティ対策の課題も併せて、個人情報を含むあらゆるデータを扱う企業として「何ができるのか」をお伝えできればと思います。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
<目次>
ーーーーーーーーーーーーーーーーーーーーーーーーーーーー
◆セキュリティ対策における日本の現状
毎日、膨大な量のサイバー攻撃がおこなわれている昨今、日本のセキュリティ対策における現状はどのようなものなのでしょうか。
多くのシステムを連携しながら、業務効率化を図り、気が付けばセキュリティ対策がおろそかになっている、といったような企業もいらっしゃるかと思います。
最近、取り上げられているランサムウェアの説明から、システムにおける攻撃ポイントなど、セキュリティ対策における現状をお伝えします。
⑴ランサムウェアとは
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」の名前を合わせたコンピュータウィルスの一種です。(警察庁)PCを感染させ、それにより、PCロックをしたり、ファイルを暗号化することによって開けなくするようなウイルスとなっています。それにより、サイバー攻撃をする事業者が元に戻すことと引き換えに「身代金」を要求している実態があります。
日本の企業でも、大手のゼネコン企業やゲームソフト企業が被害を受け、機密情報が公開されたり、個人情報が流出した被害が出ています。
デジタル化が進み、テレワークも普及している中で、警察庁が「ランサムウェアに注意」と注意喚起をしています。
⑵システム連携における穴
”オンプレミスシステム”から”クラウドシステム"へ移行することが「価格の安さ」や「導入のしやすさ」などからトレンドとなっています。
もちろん、クラウド化によってセキュリティが甘くなるというわけではなく、オンプレミスシステムとの連結において、穴ができるのです。
連結部分が多いほど、ウイルスの侵入口が多くなり、標的になりやすくなります。
その穴の一部しか認識できていない企業が多いのが現状です。
加えて、導入のしやすさから、「野良クラウド」というような、企業のシステム/IT管理部門が管理できていないクラウドシステムが部門ごとに合ったりする現状もあります。
特にシステム/IT管理部門がない、また人員が足りていない中小企業としては目下の課題となっています。
◆セキュリティ対策における人的課題
総務省の調査で下記のようなことを明らかにしています。
・19万人もの情報セキュリティ人材が不足している。
・中小企業の過半数で、情報セキュリティ担当者がいない。
・本業が忙しく、情報セキュリティにまで人材が割けない。
そもそも、セキュリティ人材には「セキュリティ関連」の知識に加えて、「社内システム周りのインフラ関連」、「サービス・システム開発」の知識など横断的な知識が必要となっており、一朝一夕で育て上げることが難しい領域となっています。
また、サイバー攻撃における技術進歩のスピードが速すぎるため、最新技術の知識を保有している人材がいないということも起因しています。日本のみならず、世界的にセキュリティ対策における人的リソース不足という課題が企業に重くのしかかっています。
◆企業として何ができるのか
上で述べたように人的リソースが不足しているセキュリティ対策という領域で、
日々進化するサイバー攻撃やDX推進による標的の増加に対応するために、企業として何ができるのでしょうか。
⑴セキュリティ人材育成
まずは、いかに人材を育成するかという点です。以下のことが考えられます。
①社内で育成プログラムを策定し、運用する
⇒社内で育成することによって、企業内部にあわせた人材育成をすることができます。
独自での策定が難しければ、
外部のプロ人材に壁打ち相手となってもらいながら進めるというのも選択肢の一つです。
②育成プログラムを外部へ依頼する
⇒官民問わず様々なセキュリティ関連人材育成プログラムがあります。
③外部の育成された人材また外部プロフェッショナルな人材を活用する。
⇒自社内で人材育成することはどうしても長期的に考える必要があります。
人材企業ではすでに自社で育成プログラムを策定し教育研修をしている企業が多いので、
相談してみてはいかがでしょうか。
⑵注目されているSOCのアウトソーシング
SOCとは、「セキュリティオペレーションセンター」の略です。
センターでは24時間365日体制で専門家が監視、異常が起きれば即座に対応していきます。
なかなか自社ではセキュリティ管理体制が組めない企業では、何か問題が起きたときにここに相談できるような仕組みをつくることをお勧めします。
自社だけのセキュリティ対策に加えて、より高度なセキュリティ対策の実現、
かつ、高コストな専門人材やセンターの運用をせずセキュリティ対策コストを抑えることを可能にします。
とはいえ、国としてセキュリティ人材の不足は前述したとおりですので、まずはご相談を。
⑶人材対応以外にできること
人材リソースの不足から、「人材対応以外にできることはないのか」と思う方もいらっしゃるのではないでしょうか。
企業の対応として、別途できることをしていく必要があります。
①社員のセキュリティ教育
こちらは多くの企業様が大小はあるかと思いますが、実施されているのではないでしょうか。
個人情報保護やセキュリティ研修をe-learningで行ったり、
IT/システム管理の部署から偽の標的攻撃方メールを送付し、注意を促すなど、基本的な意識改革をしていくことも大切です。
②自社システムの実態把握そして一本化
重ねてにはなりますが、多くの企業でシステムの多様化やオンプレミスシステムとクラウドシステムの併用・連結が進んでいます。
その中で、企業全体として
「どのようなシステムが使われているのか」「システムとシステムがどうつながっているのか」「脆弱なシステム連結はないか」など、自社システムの実態を把握することが重要となります。
実態を把握することにより、「野良システム」「野良クラウド」のようなものをなくし、
セキュリティとして守るべき部分はどこなのかを明確にすることができます。
付随して、"コスト削減/効率化"また"DX推進"にもつながります。
自社でノウハウがない、人員がいないということであれば外部の人材に依頼し、第三者の目で的確に実態を把握し、具体的にアクションすることが重要です。
◆まとめ
サイバー攻撃の高度化、企業のDX推進やシステムの多様化により、セキュリティ対策は企業にとって目下の課題となっています。
その中で、日本のみならず世界的にセキュリティ人材の不足が課題となっています。
国を挙げて、セキュリティ人材の育成は推進していくことと思いますが、一社一社でもできることをしていくことが大切です。
まずは、人材不足の中、自社のシステム実態を把握することからはじめてはいかがでしょうか。
UI/UX、サイト制作、基盤のインフラ構築まで貴社のサービスを支援します。
https://info.pasona.co.jp/DL_PG_BIZ_applicationdevelopment
クラウドシステム(salesforceなど)の導入を支援します。
https://info.pasona.co.jp/DL_PG_BIZ_gyoumukaizenPlatform
