スタートアップにもセキュリティ対策は必要?何ができる?セキュリティソフトでも守れない脅威とは??
導入するだけでは意味がない?!セキュリティソフトの必要性や選択基準について専門家が徹底解説
企業の大事な情報資産を守るため、セキュリティソフトを利用するのは当然になってきています。
しかし、セキュリティソフトの効果を実感することができなかったり、コストの大きさに悩んでいたりする経営者やIT担当者も多いのではないでしょうか。
本記事では、スタートアップ段階の企業におけるセキュリティソフトの役割や、主なセキュリティ問題とその対策などについて、IPA(情報処理推進機構)のセキュリティ資格を持つ筆者が解説します。
※この記事を書いている「創業手帳」ではさらに充実した情報を分厚い「創業手帳・印刷版」でも解説しています。無料でもらえるので取り寄せしてみてください
この記事の目次
まずは情報セキュリティ脅威と被害を把握しよう
セキュリティソフトを検討する前に知っておきたい情報セキュリティ脅威や要因別の被害内容などを紹介します。
何が自分にとっての脅威になるのか。どこを強化すべきなのかを考えながら見ていきましょう。
IPA「情報セキュリティ10大脅威2020」
まず、最近の主な情報セキュリティ脅威について見てみましょう。
経済産業省が管轄するIPAでは、毎年「情報セキュリティ10大脅威」を決定、公開しています。これは情報セキュリティ上の問題について個人と組織に分け、問題発生数や影響度などから専門家の投票によって作成されたランキングです。
2020年のランキング(2019年の出来事をまとめたもの)は以下のようになっています。
テレワークの普及で個人と組織の境界があいまいに
スタートアップ企業にとって特に注目すべきは表中の赤字の項目です。
個人事業や中小企業は大企業と比べて公私の区別が曖昧になりやすい面がありますが、現在普及しているテレワークやBYOD(個人パソコンやスマートフォンのビジネス利用)によって個人と組織の境界は、さらにあいまいになりつつあります。
そのため、セキュリティ対策では個人や組織を区別せずに考える必要があると言えるでしょう。
セキュリティ被害には「内部要因」と「外部要因」がある
セキュリティ被害には、大きく分けて内部要因と外部要因があります。
内部要因とは、「パスワードを書いた付箋をパソコンに貼ってある」「興味本位で怪しいサイトにアクセスしてしまった」など、ミスや不注意、知識の不足から生じるリスク要因です。セキュリティ被害の原因の8割は、この内部要因が占めている
7と言われています。
外部要因とは、外部の悪意ある攻撃者がサイバー攻撃を行うもので、システムへの不正アクセスやマルウェアの配布、データの不正な情報収集などです。
一般的に「セキュリティソフト」と呼ばれるソフトは、外部要因への対策を主にしたもので、内部要因に対してはミス防止のために警告が出るくらいです。そのため、セキュリティソフトを導入してもカバーしきれないリスクを警戒する必要があります。
企業でセキュリティ対策が必要な部分
情報セキュリティ対策を行う場合、まずは企業の情報資産を洗い出し、その中で重要度や優先度を設定して対策を行っていきます。
企業が守るべき主な情報には次のようなものがあります。
個人情報
氏名や住所、写真などによって個人を特定できる情報です。個人情報保護法は企業が収集した個人情報を適切に扱うための法律で、現在は企業の規模やデータの数によらず、すべての事業者に個人情報の保護が義務づけられています。
企業では顧客情報や従業員の履歴書などの個人情報を保有しているため、しっかりとした保護が必要です。
口座情報
企業が利用している金融機関口座の口座番号や暗証番号などの情報です。経理担当者に的を絞ったフィッシングメールや、役員・上司になりすましたメール、従業員の不正などの手口で情報が漏えいすることがあります。
取引先情報
取引先の名前や所在地はもちろん、取引内容や取引金額などの情報が外部に漏えいすると大きな問題になることがあります。営業用の顧客リストやネットサービスの利用者情報なども同様です。
その他機密情報
機密情報とは「企業が外部への開示を予定していない情報」のことで、企業によってその内容はさまざまです。当然、上記の情報も機密情報に含まれます。
他にも、技術情報や新商品のリリース情報、係争中の問題に関する情報など、企業にはさまざまな機密情報があります。外部に漏えいした場合、自社はもちろん関係者に不利益を与える可能性があるため注意が必要です。
ケース別・セキュリティ対策方法
企業にはさまざまな機密情報がありますが、それらをどのように守ったらいいのでしょうか。
スタートアップが特に注意すべきケースを情報セキュリティ10大脅威の中から選び、セキュリティ対策の方法と合わせて紹介します。
フィッシング攻撃
「フィッシング攻撃」とは、メールやSMSなどを利用して偽サイトなどへ誘導し、アカウント情報やカード情報、口座情報などを抜き取る攻撃手口です。セキュリティソフトは怪しいリンク先の情報を集めており、遷移の際に警告を行ったりアクセスをブロックしたりできるため効果的です。
しかし、ユーザーが自身で操作した場合にはセキュリティソフトではブロックできない場合がほとんどです。フィッシング手口では、上司や同僚など信頼ある個人になりすましてメールを送り、本物そっくりのサイトまで用意して誘導します。
機密情報の入力を求めるなど、怪しい内容のメッセージを受信した場合はリンクをクリックせず、差し出し人に確認することが最も確実な対策です。
内部不正による情報漏えい
HDDやUSBメモリでの持ち出し、クラウドサービスへのコピー、内部の従業員が不正を行って情報を漏えいさせてしまう事故も多いです。特に組織内のデータに対するアクセス権の強い従業員が行うケースでリスクが大きくなります。
対策としては、機密情報へのアクセス権をしっかり管理することが基本です。また、情報漏えいが発覚した場合の罰則を厳しくし、明示しておくことで牽制につながります。
普段から従業員のモラルやストレスに注意し、不満や不信感を持っている従業員を早めにケアすることも大切です。
ビジネスメール詐欺
「ビジネスメール詐欺」とは、取引先や自社の経営者層、弁護士等になりすまし、偽の電子メールを送って入金を促す詐欺のことです。
「極秘の案件で資金が急に必要になった」「従来の口座が不正取引に利用されて凍結されてしまった」などと理由をつけ、経理担当者の判断で普段と違う口座に入金させようとします。
手口はフィッシング攻撃と同じですので、基本的には対策も同じです。確認が取りやすいよう、経理の担当者とは普段からコミュニケーションを意識しておくとよいでしょう。
サプライチェーンの弱点を悪用した攻撃
近年増えているサイバー攻撃の方法で、スタートアップ企業も注意が必要です。セキュリティ体制がしっかりした大企業(ターゲット企業)ではなく、セキュリティの脆弱な企業をサプライチェーンの中から探して機密情報の窃取や攻撃の起点作りを試みます。
自社のセキュリティをしっかり固めることはもちろん、他社のセキュリティ体制も関わってくるため、セキュリティ体制の整備はもちろん、取引先選びも大切です。スタートアップの場合、取引先の不安を取り除くためにもセキュリティソフトの導入は必須でしょう。
ランサムウェアによる被害
「ランサムウェア」とは、「Ransom(身代金)」と「Software(ソフトウェア)」からなる造語で、パソコンやシステムを勝手に暗号化したりロックしたりして使えなくし、復旧と引き換えに要求に従わせようとする高度なサイバー攻撃です。
業務用システムはもちろん、外部向けのWebサービスなどが使えなくなることがあり、事業への影響は非常に大きいです。ランサムウェアは不正なファイルを開いたり、不正なサイトを開けた際にダウンロードされます。
ランサムウェアの事例や特徴からダウンロードや実行を防いでくれるセキュリティソフトは効果的な対策ですが、防御をかいくぐるものもあり過信は禁物です。ランサムウェアが侵入するきっかけになるため、不正なファイルやサイトは開かないようにしましょう。
不正アプリによるスマートフォン利用者への被害
スマートフォンのアプリの中には不正なプログラムが混入されることがあり、端末内部の情報や利用者の個人情報を取得する場合もあります。BYODの企業では個人のスマートフォンから取引先情報や業務資料などの機密情報が漏えいすることもあるため厳重な注意が必要です。
企業が端末やアプリを管理するMDM(※1)やMAM(※2)のシステムを導入するのが最も適切な対策ですが、従業員個人も怪しいアプリを入れないように努めることが大切です。
※1 MDM:モバイルデバイス管理
※2 MAM:モバイルアプリケーション管理
不注意による情報漏えい
企業では不注意による情報漏えいが後を絶ちません。USBメモリの紛失や、離席中にパソコンの画面をロックするのを忘れて機密情報を見られてSNSに公開されるといったトラブルが毎日のように起こっています。
不注意はシステムによる対策が難しいため、ルール作りや従業員教育を行って意識を向上させるようにしましょう。
インターネット上のサービスからの情報漏えい
個人・組織を問わず、インターネット上のサービスから情報が漏えいするトラブルが後を絶ちません。特に金融関係のサービスのログイン情報が外部に流出した場合、金銭面や信頼面で大きな問題が生じます。
サービス利用者ならアカウント情報を適切に管理することが大切です。企業がサービスの提供・運営元なら多段階認証やWAF、IDS/IPSの導入などで不正アクセスを防ぐよう整備しましょう。
スタートアップにセキュリティソフトは必要?
特にスタートアップの場合、コスト増やパフォーマンスへの悪影響を理由にセキュリティソフトの導入を迷っている方も多いのではないでしょうか。
セキュリティ対策の必要性やセキュリティソフトにできること、使う側が気を付けるべきことなどをより具体的に見ていきましょう。
セキュリティソフトはセキュリティの一部分だが欠かせない
セキュリティソフトの最も重要な機能は、ウイルスやスパイウェアといった不正プログラムの検知・ブロック・削除です。基本的に一部の外部要因に対する防御を提供するもので、セキュリティ問題の全体をカバーするわけではありません。
しかし、マルウェア(※)への感染はネットワーク内のシステムや、インターネット上のさまざまな関係者に大きな被害を与える可能性があるため、企業が大きなリスクを回避するために欠かせない存在です。
(※)マルウェア:害を加えることを目的とした不正ソフトウェアの総称。潜伏・感染などの特徴を持つコンピュータウイルスや、情報収集を主とするスパイウェアなどを含む。
セキュリティソフトの導入はビジネスマナーと考える
セキュリティソフトは自社内だけでなく、取引先や関係者を守るためにも貢献しています。相手に安心を与え、良好な関係作りを支援するものですので、ビジネスマナーのようなものだと考えておくのがよいでしょう。
「ウチは小さな企業だからセキュリティは関係ない」という人もいますが、近年はサプライチェーン攻撃が増えているため、取引先のためにも最低限の対策は行っておくべきです。
セキュリティソフトは組織で提供するべき
業務で使うデバイスのセキュリティソフトは必ず組織で提供すべきです。企業向けのセキュリティソフトには管理者用の機能があるため、問題の発見・分析・対応を早く行えるようになります。また、スケールメリットも出て安価になることが多いです。
BYODでは各デバイスの管理が個人任せになっている企業も見られます。その場合、一部の防御機能しか持たない無料ソフトや格安ソフトを利用したり、更新が行われていなかったりするケースも多いです。
費用はかかりますが、セキュリティに穴を作らないためにも組織でソフトは準備しましょう。
スタートアップのセキュリティ対策の軸は「教育」と「仕組み作り」
セキュリティソフトは最も致命的なマルウェア感染の被害を防ぎますが、万能の対策ではありません。高度なサイバー攻撃はセキュリティソフトを回避するためのさまざまな方法を駆使してくるため、システムによる防御には限界があることも覚えておくべきです。
企業のセキュリティ対策として最も重要なのは「教育」です。昨今のサイバー攻撃はシステムの堅い守りを破るのではなく、意識の低い個人を利用して行われています。攻撃の手口の種類を知り、セキュリティ意識を高めることが重要です。
また、アクセス権や機密情報の管理ルール、セキュリティの相談窓口、取引先のセキュリティ要件を定めるなどの「仕組み作り」も大切です。教育や仕組み作りをしっかり行うことができれば、高価なセキュリティシステムを導入するよりもずっと効果的です。
スタートアップは社員数も少なく、教育にコストや時間がそれほどかからないため、比較的容易に仕組み作りを行うことができるでしょう。
セキュリティは漸進的に改善・強化すべきもの
企業にとってセキュリティは大切ですが、一度で完全を目指す必要はありません。サイバー攻撃の手口や守るべき情報、システムは時間とともに変わっていくため、完全にセキュリティ対策を講じてもまた穴ができてしまいます。
そのため、定期的に見直し、漸進的な改善・強化を続けていくことがより重要です。
特にスタートアップでは、セキュリティの強化のために避ける予算は多くありませんし、より優先度の高い部分から投資を進めるべきです。セキュリティソフトなど最低限の部分に投資し、不足している部分は仕組み作りや教育でカバーするのが現実的でしょう。
セキュリティソフトだけでなく教育を重視しよう
情報セキュリティは企業規模を問わず大きな経営課題です。テレワークやBYODを行っている場合は、企業のセキュリティリスクも高いため特に注意しなくてはなりません。
スタートアップ企業のセキュリティ投資はセキュリティソフトなど最低限に絞り、セキュリティ教育や仕組み作りを重視した方が、効果的で社内リソースを有効に使えるでしょう。
創業手帳(冊子版)は、資金調達や販路拡大など起業後に必要な情報を掲載しています。無料で配布しておりますので、起業間もない時期のサポートにぜひお役立てください。
(編集:創業手帳編集部)