2023年に入っても、マルウェア、不正アクセスなど、巧妙なサイバー攻撃が後を絶ちません。被害が出てしまうと、その影響は社内にとどまらず、社外にも広がっていきます。そこで、今後の情報セキュリティ対策を立てるうえでも、最新の動向について知っておくことが大切です。後編となる今回は、様々な脅威への対策の検討方法や具体的な対策についてお伝えします。
今回のお悩み さまざまな情報セキュリティ関連のニュースが耳に入ってくる。セキュリティインシデント(※1)が起きてしまう前に、最新の動向を把握したうえで必要な対策を立てたい。
私が解説します! IPA가 발표 한 "10 Great Information Security Threats 2023"을 기반으로 최신 위험과 사례를 포함하여 어떤 종류의 이니셔티브가 효과적인 지 설명 할 것입니다
(6) 사용 방법 "10 주요 정보 보안 위협 2023"
IPA는 10 가지 주요 정보 보안 위협을 사용하는 방법에 대한 정보를 제공하고 위협에 대한 대응을위한 참조 자료로 정보 보안 위협을 제공합니다
「情報セキュリティ10大脅威 2023」を活用した対策の検討方法
IPA는 "10 주요 정보 보안 위협"이라고 말합니다
- 順位に捉われず、立場や環境を考慮する
- ランクインした脅威が全てではない
- 「情報セキュリティ対策の基本」が重要
組織や環境によって重要度の高い脅威は異なるため、順位に左右されることなく自社に必要な対策を検討する必要があると説明しています。自社にとって優先度の高い脅威と対策を検討する4つのステップを紹介します。
| ステップ | 検討内容/詳細 | |
|---|---|---|
| 1 | 守るべきものを明確にする | 自社の業務プロセス、情報・データ、システム・サービス、機器など |
| 2 | 脅威を抽出する | 守るべきものに対して大きな損害・損失が想定される脅威を抽出し、優先順位をつける |
| 3 | 対策候補(ベストプラクティス)を洗い出す | 各々の脅威に対して有効と考えられる対策候補(ベストプラクティス)を列挙する |
| 4 | 実施する対策を選択する | 洗い出した対策候補の一つひとつ に対して 、 実施状況( 「実施済み」「一部実施」「未実施」 のいずれであるかを 評価する |
(7) 정보 보안 조치의 기본 사항
世の中には「情報セキュリティ10大脅威」にランクインしたもの以外にも、さまざまな脅威が存在しますが、攻撃者の利用する「攻撃の糸口」には古くから知られているものが使用されています。
- 脆弱性を悪用する
- ウイルスを使う
- ソーシャルエンジニアリングを使う
これらの「攻撃の糸口」を5つに分類し、それぞれに該当する対策を「情報セキュリティ対策の基本」と定めており、継続的に行うことで被害リスクの軽減が図れます。
【情報セキュリティ対策の基本】
| 攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
|---|---|---|
| ソフトウェアの 脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する |
| ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
| パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する |
| 設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする |
| 誘導 (罠にはめる) | 脅威・手口を知る | 手口から重要視すべき対策を理解する |
複数の脅威に有効な「共通対策」
また、脅威の種類は多岐にわたるものの、対策については複数の脅威に対して有効なものもあります。
【複数の脅威に有効な対策集】
- パスワードを適切に運用する
- 情報リテラシー、モラルを向上させる
- 이메일 첨부 파일, 이메일, 소셜 미디어 또는 URL에 대한 링크를 열지 마십시오
- 適切な報告/連絡/相談を行う
- インシデント体制を整備し、対応を行う
- サーバやクライアント、ネットワークに適切なセキュリティ対策を行う
- 適切なバックアップ運用を行う
(8) 현재 어떤 정보 보안 조치가 필요합니까?
ここまでの内容を踏まえ、具体的にどのようなことに取り組めばいいのかを紹介します。
社内管理体制の強化(ルールづくりを適切に行う)
普段からどのようなことに気をつけて業務を行い、もしものことが起きた場合にはどうやって被害防止に努めるか。またインシデントが発生したときには、誰に報告や相談をすればよいのか。こうしたルールづくりを適切に行うことが、社内管理体制の強化につながります。
情報セキュリティ教育の実施(従業員の意識向上を図る)
内部に潜むリスクに備えるためには、従業員への教育・研修が必要です。月に一回など定期的に研修や教育を行うことで、徐々に従業員の意識は向上していきます。あわせて、経営層の意識・態度の変容も欠かせません。「そうは言ってもサイバー攻撃や情報漏洩は起こらないだろう」という思い込みは捨て、どんな企業にもセキュリティリスクは付きものであることを理解しておくことが重要です。
適切なツールの導入(サイバー攻撃に対応できるツールを選ぶ)
更新プログラムの適用をはじめ、さまざまなマルウェアや不正アクセスに対応できる、適切なツールの導入も重要です。セキュリティソフトや不正侵入を検知・防止するシステムなど、自社に適したツールの選定・運用を行いましょう。
"UTM"단 하나의 장치만으로 고급 대책을 허용하는 "UTM"
しかし正直なところ、中小企業にとって複数のソフトやツールを組み合わせて多層防御を行うのは現実的ではありません。人材的なリソースに限りがある企業も少なくないでしょう。そこで、注目していただきたいのがUTMです。 UTMは、さまざまな機能をオールインワンで搭載し、集中管理を行うツールです。マルウェアや不正アクセスなどのサイバー攻撃、さらに内部機器からの不正アクセス, 바이러스 확산 및 부적절한 사이트 탐색 방지, 외부 위협뿐만 아니라 내부에 숨어있는 위험에 대해서도 준비 할 수 있습니다 하나의 장치를 사용하면 고급 정보 보안 조치가 가능하며 전용 IT 직원이 필요하지 않습니다 選定にあたっては、使いやすさ、耐久性、サポート体制などをしっかり比較検討することが大切です。中にはサイバー保険が標準で付いているものもあるので、事前に確認しておくとよいでしょう。自社のニーズに合ったUTMを選ぶことで、サイバー攻撃や情報漏洩から自社を守るだけでなく、顧客や取引先もしっかり守りましょう。
(9) 요약
이 시점까지 IPA (독립 행정 기관) 記事の中でも述べたように、近年のサイバー攻撃の特徴として情報セキュリティ対策が比較的手薄な中小企業を狙う傾向があります。ますます巧妙化する攻撃に備えるには、管理体制の見直し、従業員への教育とあわせて、適切なツールの導入が必須です。また、リスクは内部にも潜んでいることが、最新のランキングからは見て取れます。だからこそ、さまざまなリスクにオールインワンで対応できるUTMの導入をおすすめします。
サクサでは、さまざまな情報セキュリティ機器のご提案を通して、中堅・中小企業の課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
