サイバーセキュリティ対策とは？企業が実施すべき対策を分かりやすく解説

ネットワークを介してさまざまな情報をやり取りするようになった現代において、年々増加しているサイバー攻撃による被害件数や被害額は、無視できない規模になっています。インターネット上のさまざまな脅威から身を守るためには、コンピュータやサーバ、データなどを保護するサイバーセキュリティの強化が欠かせません。

本記事ではサイバーセキュリティの概要、企業で起こり得るリスク、効果的な対策について詳しく解説します。サイバーセキュリティの強化を検討している企業の方は、ぜひ参考にしてください。

サイバーセキュリティとは？

サイバーセキュリティとは、ネットワークを通じて行われるサイバー攻撃から、デジタル機器やデータ、重要な情報などを守る手段や対策のことです。

IT化が進んだ現代では、いつでもどこでも情報にアクセスできる一方で、ネットワークを介しているためサイバー攻撃の標的となるリスクも高まっています。米連邦捜査局（FBI）の発表によると、2024年におけるサイバー攻撃の被害額は約2兆3,240億円（1ドル＝140円換算）で、前年の約1兆7,500億円を大幅に上回りました。

サイバー攻撃は年々巧妙化・高度化しており、被害件数・被害額は今後も増加することが予想されます。企業におけるインターネットの安全性を高めるには、下記3つの状態を確保してサイバーセキュリティを強化することが重要です。^※1

機密性	アクセス権限があるユーザだけが情報にアクセスできる状態
完全性	データが改ざん・消去・破壊されていない状態
可用性	アクセス権限のあるユーザが、必要なときに中断することなく情報にアクセスできる状態

情報セキュリティとの違い

情報セキュリティは、デジタルデータだけでなく、紙の書類や会話の内容など、企業が保有する「すべての情報資産」を守る広い概念です。対してサイバーセキュリティは、情報セキュリティの中でも特に「サイバー空間（デジタル領域）」の脅威への対策に特化しています。つまり、情報セキュリティという大きな枠組みの中に、サイバーセキュリティという専門領域が含まれているイメージです。

実務では、デジタル化が進んだ現在、両者はほぼ同義として扱われることも増えていますが、対策の手段が「物理的な施錠」なのか「通信の暗号化」なのかという点で区別されます。

サイバーセキュリティ基本法

サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項などを規定する法制度として、サイバーセキュリティ基本法が、2014年11月に成立しました。^※2

サイバーセキュリティのリスクと最近の動向

効果的にサイバーセキュリティを強化するには、企業で起こり得るリスクを理解し、未然に防ぐための対策の検討が必要です。ここでは、企業で発生しやすいリスクと、近年注目を集めている手口を詳しく紹介します。最近の動向を押さえてサイバーセキュリティ対策に生かしましょう。

企業で起こり得るリスク

企業で起こり得るサイバーセキュリティのリスクには、以下のようなものがあります。

• 不正侵入やハッキングにより社内ネットワークに侵入され、データが盗まれる
• システムやサーバに不具合が生じ、サービスが停止する
• ヒューマンエラーや内部不正により、社内データが外部に漏えいする
• 端末がウイルスに感染し、社内全体に広がる
• 自然災害により、データが破損・消失する

企業は個人情報や機密情報を保有しているため、攻撃に遭うと自社だけでなく取引先やサービスの利用者にも影響が広がります。

被害を未然に防ぐには、情報セキュリティポリシーの策定、セキュリティ対策ツールの導入、利用者の認証設定、社員へのセキュリティ教育など、サイバーセキュリティを強化するためのさまざまな対策を実施する必要があります。

リスクが高まっている自動車サイバーセキュリティ

近年、サイバー攻撃の標的として注目されているのが自動車です。

事故の際に自動で通報する機能や、車両の位置を特定する機能など、ネットワークを介した便利な機能を持つ自動車が増えています。しかし、ネットワークを利用しているため、サイバー攻撃の対象となる可能性も高まっています。自動運転が搭載された自動車がハッキングされれば、走行中の動作を制御できなくなり、事故に直結する恐れもあるでしょう。

自動車を標的としたサイバー攻撃を防止するため、国連欧州経済委員会は対策を義務付けた「UN-R155」というサイバーセキュリティ法規を策定しました。日本でも2021年1月に導入され、徐々に規制適用が始まっています。2022年7月にOTA（無線通信経由での受送信）に対応した新型車、2024年1月に無線通信に未対応の新型車の生産に法規が適用されました。2024年7月にはOTA対応の継続生産車、2026年5月にOTA未対応の継続生産車にも法規が適用される予定です。

サイバー攻撃の種類や具体的な事例については以下記事で解説しています。

企業が意識すべきサイバーセキュリティ

被害に遭いやすい企業の特徴

サイバー攻撃の被害に遭いやすい企業は、以下のように考えている傾向があります。

• 外部からのサイバー攻撃にのみ対策すればいい
• 既知のリスクに備えておけば万全
• 基本的な対策をしておけばどのような攻撃手法にも対応できる
• 自社の業界・企業規模なら攻撃対象とならない

このようにサイバーセキュリティの重要性を甘く見ていると、被害に遭う可能性が高まるでしょう。

被害の防止に役立つ考え方の1つに、ゼロトラストセキュリティがあります。ゼロトラストセキュリティとは、社内外すべての通信を信頼しないことを前提に、セキュリティ対策を行う考え方です。

クラウドサービスやテレワークの普及、デバイスの多様化に伴い、情報の境界線は社内・社外の2つに限定できなくなっています。そのため、特に現代では社内か社外かを問わず、あらゆる通信が侵害されることを想定するゼロトラストセキュリティに基づいた対策が必要です。

セキュリティ対策のポイント

セキュリティ対策にはさまざまな種類があります。攻撃のスキを作らないようにするには、以下に挙げる対策を実施して網羅的にセキュリティを強化することが重要です。

対策	概要
ネットワークセキュリティ	ネットワークに接続しているサーバやコンピュータなどのデバイスやシステムと、それらに格納されている情報をサイバー攻撃から守る
アプリケーションセキュリティ	オンプレミスやクラウドで稼働するアプリケーションの保護や、アプリケーションを狙ったサイバー攻撃の防止、アプリケーションの設計の欠陥や脆弱性を防ぐ
クラウドセキュリティ	クラウド上に保管されたデータを暗号化し、部外者が閲覧できないようにする
情報セキュリティ	個人情報や機密情報を守り、データの改ざんや漏えいを防ぐ
モバイルセキュリティ	スマートフォンやノートパソコンなどのモバイル端末を適切に管理し、保護する
事業継続計画（BCP）	サイバー攻撃や災害などに遭遇したときのために、損害を最小限に抑える対応を記載した計画書を作成する
ユーザ教育	不審なメールは開封しない、私用のデバイスをコンピュータに接続しないなど、ユーザのセキュリティ意識を向上させる教育を実施する

サイバーセキュリティを強化するための対策

OSやソフトウェアを定期的に更新する

サイバー攻撃を防ぐには、OSやソフトウェアを定期的に更新し、脆弱性がない状態を維持し続けることが大切です。脆弱性を放置したままにすると、サイバー攻撃の標的になるリスクが大幅に上がります。

OSやソフトウェアの開発元は脆弱性が見つかり次第プログラムを修正するため、パッチが配布されたら速やかに適用しましょう。

推測されにくいパスワードを設定する

単純な文字列や企業名・創立年などを含んだパスワードは解析されやすいため、推測が難しい複雑なパスワードを設定しましょう。ただし近年では、パスワードの強度を高めるだけでは十分とは言えなくなっています。パスワードはアルファベットの大文字・小文字、数字、記号を組み合わせた10桁以上のものが望ましいです。

また設定したパスワードは、他のシステムやサービスで使い回さないよう注意喚起してください。近年では、パスワード漏えいを前提とした攻撃が増加していることから、多要素認証（MFA）の導入が強く推奨されています。MFAを導入することで、仮にパスワードが第三者に知られた場合でも、不正アクセスを防止できる可能性が高まります。

また、フィッシング攻撃による認証情報の窃取を防ぐため、フィッシング耐性のある認証方式の採用も注目されています。生体認証を用いたパスワードレス認証など、パスワードに依存しない仕組みを取り入れることで、より強固なセキュリティ対策が実現できます。

ウイルス対策ソフトを導入する

ウイルス対策ソフトを導入するとマルウェアを検知・排除してくれるため、コンピュータを脅威から保護できます。また、ウイルス対策ソフトは以下のような機能も備えています。

• 不審なメールが受信された場合に警告文を出す
• 社内データの持ち出しを制御する
• 不正なWebサイトへのアクセスを制限する

近年は、既知のマルウェアだけでなくEDR （Endpoint Detection and Response）をはじめ、振る舞いを検知することで未知のマルウェアも検出できるウイルス対策ソフトもあります。マルウェア感染の被害件数は多く、今後も新たなマルウェアが台頭する可能性も否定できません。ウイルス対策ソフトはサイバーセキュリティを強化する上で欠かせないツールだと認識し、導入を進めましょう。

IAMを導入する

IAM（アイアム／アイエーエム）とは、システムやサービスを利用するためのアカウントを統合管理するための仕組みです。

シングルサインオンや多要素認証などの機能が備わっており、不正アクセスやなりすましを防ぐ際に役立ちます。アカウントを1個にまとめられるためID・パスワードの管理が楽になり、利便性が向上するのがメリットです。

また「誰が・何を目的に・どのような操作で」アクセスするのか都度確認できるため、ゼロトラストセキュリティの実現にも役立ちます。

社員のセキュリティ意識を高める

内部脅威を防ぐのに重要なのが、社員のセキュリティ意識を高めることです。社内でセキュリティ研修を実施し、以下のような内容を周知するといいでしょう。

• スマートフォンやUSBメモリなどの私物を社内端末に接続しない
• 心当たりのないメールのURLを開かない、ファイルを開封しない
• 公共施設の無料Wi-Fiに接続して社内情報にアクセスしない
• パスワードを他者から見える場所で管理しない

実際にあったサイバー攻撃の事例を共有し、危機意識を持ってもらうことも有効です。セキュリティ研修は定期的に実施し、理解度確認テストを行って知識がしっかり定着するようにしましょう。

サイバーセキュリティ対策に活用できる公的ガイドライン

中小企業が独力ですべての対策を講じることは、現実的に容易ではありません。国や公的機関が提供しているガイドラインや支援制度をうまく活用して、効率的に対策を進めましょう。

IPAの中小企業向けガイド

IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」^※3は、専門用語がわからなくても取り組めるよう、非常に分かりやすく作られています。特に「情報セキュリティ5か条」は、最低限やるべきことがシンプルにまとまっており、最初の一歩として最適です。まずはこのガイドラインを読み、自社の現状と照らし合わせてみてください。無料でダウンロードできるため、コストもかかりません。

経産省の支援制度活用

経済産業省が推進する「SECURITY ACTION」^※4は、自社がセキュリティ対策に取り組んでいることを対外的に宣言できる制度です。ロゴマークを名刺やHPに掲載できるため、取引先へのアピールになります。また、「サイバーセキュリティお助け隊サービス」^※5という制度では、安価で信頼できる民間のセキュリティサービスを紹介しています。相談窓口や保険が付帯しているものも多いため、専任担当者がいない企業にとって強力な助っ人となります。

サイバーセキュリティを強化して安全性を高めよう

IT化が進み、ネットワークを介して情報を取り扱う機会が増加したことで、サイバー攻撃の被害に遭うリスクも高まっています。企業で起こり得るリスクを回避するには、セキュリティ対策ツールや社員へのセキュリティ教育、セキュリティ関連資格の取得奨励など、サイバーセキュリティを強化するさまざまな対策が考えられます。本記事で紹介した対策で未実施のものがあれば、早急に対応しましょう。

どのように対策を進めたらいいのか分からない場合は、セキュリティの専門家に相談するのがおすすめです。ラックはサイバー攻撃の調査やコンサルティングなど、企業ニーズに合わせてさまざまなサポートを提供しています。自社のサイバーセキュリティを強化したい企業の皆さまは、ぜひご相談ください。

参考情報

※1 サイバーセキュリティ初心者のための三原則 | 国民のためのサイバーセキュリティサイト

※2 サイバーセキュリティ基本法 | 国民のためのサイバーセキュリティサイト

※3 中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

※4 SECURITY ACTIONとは？ : SECURITY ACTION セキュリティ対策自己宣言

※5 あなたの会社を守ります！　―サイバーセキュリティお助け隊サービス― （METI/経済産業省）