サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

組織としてセキュリティ脅威と戦うための3つのポイント〜訓練・教育・診断は万全ですか!?〜



システムの多様化・複雑化が進む昨今、それらの運用負荷は増大しています。サイバー攻撃に関しては、メディアなどの表面上では沈静化している印象を受けますが、実態としては標的型メール攻撃を始めとする各種攻撃は減少しておらず、また巧妙な隠蔽手段を用いているものもあり、”攻撃を受けたことに気付いていないだけ”といったケースも多いのです。

攻撃者優位な現状

攻撃者は、システムのセキュリティホールをたった1つでも発見すれば攻撃が可能となるため、多様なシステムの運用・保守を行う防御側に対して「優位な立場」にあります。手軽に攻撃を繰り返し、成功すれば被害は甚大なものとなってしまうのです。

2017年11月経済産業省が発表したサイバーセキュリティ経営ガイドラインは、「侵入される前提で被害を最小化する」という考えのもと、組織が行うべき対策についてまとめられています。「100%の防御は不可能である」ということを認識し、脅威の早期発見・被害の最小化を目標に、サイバーセキュリティリスクに対応するための組織作りが求められているのです。

セキュリティリスクをめる3つのポイント

セキュリティリスクがあるのかないのか、そのリスクが高いものか低いものかを決めるポイントは3つあり、下記の3つの掛け算でセキュリティリスクの高さを決めていく必要があります。

リスク=A(守るべきもの)×T(脅威)×V(脆弱性)

  内容 意味
A 守るべきもの 価値ある資産(Asset) ネットワーク機器、端末、企業機密に関わる情報など
T 脅威 資産を脅かす要因(Threat) クラッカー、マルウェアなど
V 脆弱性 壊れやすさ、欠陥(Vulnerability) 簡易なパスワード、置き引きなど

リスク評価の方法

まず、リスクを評価する上で基本となるものは「A(守るべきもの)」です。守るべきものが明確でない場合、リスクを特定することはできません。「A(守るべきもの)」に「T(脅威)」と「V(脆弱性)」を掛け合わせることで、リスクが明確となるのです。

そしてリスクの大きさ(高さ)は、A・T・Vそれぞれの要素の大小に比例します。守るべきパソコンが1台の時よりも、100台の時の方がリスクは大きくなるということです。

サイバー攻撃の現状

近年のサイバー攻撃の特徴を見てみましょう。

1. IoTデバイス

IoT分野は急成長しています。2020年には500億デバイスが流通すると考えられており、攻撃者にとっては格好の標的です。

最近では「WEBカメラ」が狙われており、日本国内のWEBカメラ(監視カメラ)の映像が流出してしまう事案が報告されています。これは、WEBカメラの設定を「デフォルト」のまま使用していたことが原因と考えられています。

2. 仮想通貨

仮想通貨事業者に対する攻撃も活発です。2014年に発生したマウントゴックス社における約470億円分の仮想通貨消失事件は有名ですが、日本でもコインチェック社が約580億円分の大規模流出を起こしています。

3. ランサムウェア

金銭を要求するマルウェア「ランサムウェア」の被害も後を絶ちません。爆発的に広まった「Wannacry」は既知の脆弱性を悪用し、世界150か国で20万台以上のコンピューターが感染。国内でも大手企業や地方公共団体での被害が確認されました。

セキュリティ対策が推進されていない要因

サイバー攻撃の被害に遭ってしまう組織に共通する要因は下記の3点です。

  • 守るべきものが把握できていない
  • 脅威や脆弱性を認知できていない
  • リスクが明確になっていない

セキュリティ対策の必要性が理解されておらず、サイバー攻撃を受けることで想定外の甚大な被害を被ってしまうのです。

セキュリティ対策で重要なポイント

セキュリティ対策を行う上で重要なポイントと、具体的な方法について考えてみましょう。

  ポイント
1 守るべきものを知る
2 脅威を知る
3 脆弱性を知る
4 リスクを認識する
5 有効性確認・改善を行う

意識改革については、全社員が対象ではありますが、まずは役職者のセキュリティ意識向上が大切です。そのためには「訓練」と「教育」が必要となります。具体的方法としては、インシデント発生を想定した訓練の実施や、役職者研修・定期研修といった教育、セキュリティ担当者の育成などが挙げられます。

また、脆弱性を知るためには「セキュリティ診断」が有効です。既知の脆弱性やサイト改ざんのリスクを認識し、防御策を講じましょう。

アルファネットのサービス

アルファネットでは、セキュリティ対策の具体的な方法として挙げた「訓練」「教育」「診断」のそれぞれをカバーするサービスを提供しています。

1. 標的型メール訓練

擬似的な不審メールを対象者に送信し、不審メールへの対応を訓練するサービスです。不審メールからマルウェアへ感染してしまうリスクを低減するとともに、社員のセキュリティ意識向上を図ります。

アルファネットの標的型メール訓練サービス

2. サイバーセキュリティトレーニング

情報セキュリティ担当者向けのトレーニングです。実際にマルウェアを作成し攻撃を仕掛ける側と、防御する側に別れゲーム形式でセキュリティ対策を学んでいきます。

アルファネットのサイバーセキュリティトレーニング

3. WEBアプリケーションセキュリティトレーニング

ハッキング方法を知ることで、対策ができているのかを学ぶトレーニングです。セキュリティ人材の育成を目的としており、マルウェア感染・WEB改ざんのリスク低減につながります。

アルファネットのサイバーセキュリティトレーニング

4. セキュリティ診断

WEBアプリケーションに対する診断と、ネットワークに対する診断の2種類があります。「定期診断」「公開前診断」「スポット診断」があり、組織の必要に応じて選択が可能です。攻撃者のハッキング手法は日々進化しており、定期的に診断を行っていても、その都度脆弱性が発見されています。またスポット診断では、同業他社と同様の脆弱性を発見し、未然にインシデントを防ぐことが可能となります。

アルファネットのセキュリティ診断サービス





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。