情報セキュリティと一口に言ってもさまざまなものがあります。そこで今回は、情報セキュリティにはどのようなものがあるのか、企業として情報セキュリティ事故が起きてしまった場合どういった対応が必要となるのかを解説します。近年起きた情報セキュリティ事故の事例や、どのような対応が行われたのかも紹介します。御社のセキュリティ対策として、万が一に備えるための参考にしてください。
目次
(1) 정보 보안의 세 가지 주요 요소
정보 보안은 회사 또는 조직의 정보 자산을 보호하는 것을 말합니다 중요한 정보 자체 외에도 정보 자산에는 이들이 포함 된 파일, 이메일과 같은 데이터 및 PC, 서버, USB 및 종이 자료와 같은 데이터가 저장되는 기타 녹화 미디어가 포함됩니다
総務省の「国民のためのサイバーセキュリティサイト」では、企業や組織における情報セキュリティについて、以下のように定めています。
私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それがサイバーセキュリティ対策です。
出典:総務省「国民のためのサイバーセキュリティサイト」また、「情報セキュリティの3大要素」として、機密性・完全性・可用性が定義されています。この3つの要素を保ち維持することが、情報セキュリティにおける重要なポイントとなります。
- 기밀
許可された者のみが情報にアクセスできること
- 무결성
保有する情報が正確かつ完全である状態を保持すること
- 가용성
許可された者が必要に応じていつでも情報にアクセスできる状態
(2) 정보 보안 위험
では、情報資産を脅かすリスクにはどのようなものがあるのでしょうか。企業や組織における具体的な情報セキュリティリスクについて、主な5点を以下にまとめました。
| 情報セキュリティリスク | 具体例 |
|---|---|
| 機密情報の漏洩 | 機密情報は販売や技術に関する情報など、企業が競争力を保持するうえで欠かせないものであり、漏洩すればブランドイメージが著しく低下する |
| 個人情報の流出 | 取引先の情報や顧客リストなどの個人情報が、サイバー攻撃や内部の不正などによって流出してしまうと、大きな信頼の失墜につながる |
| 웹 사이트 변조 | 자체 회사가 운영하는 웹 사이트를 가진 공격자가 탬퍼를 찍으면 관련이없는 메시지 및 이미지가 게시되며 뷰어가 그렇게해야합니다マルウェアに感染する恐れがある |
| 業務・サービスの停止 | ウイルス感染によって社内のシステムがストップするとサービスや業務自体が滞り、その間に取引先が競合他社に乗り換えることも考えられる |
| ウイルスの感染拡大 | 회사 나 조직의 PC가 바이러스에 감염된 경우 다른 PC로 퍼질뿐만 아니라 다른 PC로도 퍼져 큰 피해를 입힐 것입니다 |
(3) 정보 보안 사고 및 대응 사례
内外に潜むさまざまなリスクとは?
近年、情報セキュリティ事故は増加の一途をたどっています。防御する側がいくら目を光らせていても、攻撃者は巧妙に脆弱性を突いてきます。ここからは、情報セキュリティ事故の具体例と、そこでどのような対応が行われたのかを紹介します。
| 種類 | 事故の内容 | 対策 |
|---|---|---|
| 不正アクセス | 大手アパレル企業で、業務システムのサーバが不正アクセス물류 시스템의 정지 및 EC 사이트의 중단과 같은 피해를 입었습니다 | 情報漏洩の可能性のある対象者に連絡するとともに、再発防止に向け、セキュリティと監視体制の強化を実施した |
| 標的型攻撃 (※1) | 公的な運用業務を担う特殊法人が標的型攻撃のターゲットになり、125万件の個人情報が流出した | 専用の電話窓口を設置し、警察に捜査を依頼。さらに外部有識者を加えた原因調査・再発防止の委員会を設置した |
| Emotet (※2) | 여러 교수진이있는 지역 도시의 대학Emotetに感染。同大のメールサーバ経由で大量のスパムメールが送信され、個人情報などが流出した | 관련 당사자에게 연락하여 웹 사이트에서 경고하십시오 보안 조치가 검사되었고 시스템 보안 조치가 강화되었습니다 |
| ランサムウェア (※3) | 日本の電機メーカーの海外子会社が、ランサムウェアに感染。インターネット上のダークウェブ(※4)に同社の情報が掲載された | 不正アクセスを検知後、通信制限などを実施。パスワードリセット、ファイルサーバの監視強化などの措置を講じた |
| サプライチェーン攻撃 (※5) | 世界的な自動車メーカーが取引先を経由したサプライチェーン攻撃により、国内全工場が稼働停止する事態となった | 関連会社や取引先に対し、脆弱性対策の取り組み強化を促すとともに、定期的な講習を実施している |
| ゼロデイ攻撃 (※6) | 大手電機メーカーのウイルス対策システムにゼロデイ攻撃が仕掛けられ、個人情報や機密情報が外部へ流出した | 漏洩した情報に関与する顧客への早期対応および再発防止策のための組織を新設すると報告している |
| メールの 誤送信 | 中四国の地方自治体で、添付する必要のないメールアドレス一覧を誤って添付・送信し、200人以上の個人情報が漏洩した | メール送信時におけるチェック体制の見直しを実施するなど、再発防止に努めている |
| 従業員による 不正 | 全国展開する不動産管理会社で、元従業員が約5,000人の顧客情報を不正に持ち出し、第三者に提供していたことが発覚した | 再発防止策として、システムへのアクセス制限強化および従業員へのセキュリティ教育の実施を挙げている |
(4) 정보 보안 조치
自社セキュリティを強化するには?
ここまで見てきたようなさまざまなリスクに備えるためには、普段からどのようなことに気をつけておけばよいのでしょうか。ここからは、自社セキュリティを強化する方法について紹介します。
| 強化の方法 | 具体例 |
|---|---|
| パスワード管理を 徹底する | 50083_50605 |
| ソフトウェアを最新に アップデートする | ソフトウェアのバージョンを古いまま使い続けると脆弱性を狙ったサイバー攻撃を受けるリスクが高くなる。常に不具合が修正されたものにアップデートし、最新の状態を保つ |
| データを バックアップする | サイバー攻撃など、万が一に備えて重要なデータは定期的にバックアップしておく。バックアップには外付けのハードディスクやクラウドサービスなど自社にあったものを選択する |
| クラウドサービス 利用時の注意 | クラウドは便利であると同時にデメリットもあることに注意する。サイバー攻撃の対象になることを想定し、セキュリティの強固なサービスを選ぶなどの対策が必要となる |
| ウイルス対策と 感染時の対応を策定 | アンチウイルスなどのツール導入に加え、万が一ウイルスに感染した際、どのような対応をするか、誰に報告するかといったフローなどのルールを事前に策定する |
| 무선 LAN 안전 確認する | 회사 외부에서 비즈니스 PC 또는 태블릿을 사용할 때는 일반적으로 무료 Wi-Fi를 사용하지 않으며 연결하기 전에 항상 안전을 확인하십시오 |
| 웹 사이트 탐색 制限する | 탐색만으로 바이러스를 감염시킬 수있는 악의적 인 웹 사이트가 있으므로 비즈니스와 관련이없는 사이트의 시청을 제한하고 위험을 최소화합니다 |
| 情報管理の ルールを策定する | 情報を管理する担当部署や担当者を配置し、データの重要度などに合わせた管理方法や、社外持ち出し禁止などの細かなルールを策定・運用する |
| 従業員の情報リテラシー を向上する | メールの誤送信に代表される「うっかりミス」は、従業員の情報リテラシーにかかわる問題。セキュリティに関する情報発信や定期的な研修により意識を高める |
| 従業員エンゲージメント (※7)の向上 | 不正が行われてしまう要因の一つは、従業員の会社への不満が挙げられる。職場環境の改善や業務の見直しを行い、従業員の満足度やエンゲージメントの向上を図る |
このほかにも、以下のような対策が挙げられます。
- 이메일에 URL 및 첨부 파일을 조심하십시오
- メディアの持ち出しや紛失に注意する
- ハードウェアの処分時にデータを残さない
フィッシングメールや標的型攻撃이메일 및 기타 정보가 더욱 정교 해지고 실수로 URL을 클릭하거나 첨부 파일을 다운로드하여 바이러스에 감염 될 수 있습니다 또한 의도적이지 않더라도 PC, 태블릿, USB 등을 꺼내는 것은 절도 나 손실에 위험하기 때문에 운영 규칙을 설정하는 데 효과적입니다 간과하기 쉽지만 폐기 된 하드웨어情報漏洩が起きる事故も発生しています。処分時にデータを完全に消去する、もしくは専門業者に依頼することも検討しましょう。
※7 従業員エンゲージメント:従業員が会社の理念に共感し、業績向上のために自発的に会社に貢献したいと思う意欲のこと。
(5) 5 Common Q & AS 정보 보안에 관한
마지막으로, 우리는 Q & A 형식으로 "들었지만 실제로 이해하지 못한다"와 같은 정보 보안에 대한 5 가지 일반적인 질문을 소개 할 것입니다
Q1 정보 보안 정책이란 무엇입니까?
a : 회사 및 조직이 구현 한 정보 보안 조치 수행에 대한 정책 및 지침을 나타냅니다 우리는 어떤 종류의 정보 자산이 어떤 위협을 보호 할 것인지, 그리고 어떤 종류의 구조, 운영 규정, 기본 정책 및 반대 모습 표준으로부터 어떤 종류의 정보 자산을 보호 할 것인지 구체적으로 요약 할 것입니다
Q2 정보 보안 시점에 대해 조심해야합니까?
a 본문에서 언급 한 바와 같이, 정보 보안과 관련하여 명심해야 할 것은 세 가지 주요 요소, "기밀성", "무결성"및 "가용성"을 확고하게 유지하는 것입니다 회사와 조직 이이 세 가지 사이의 균형을 잡는 동안 정보 보안 조치를 취하는 것이 중요합니다
Q3 정보 보안 감사 란 무엇입니까?
a : 정보 자산을 보호하기 위해 회사 나 조직에서 보안 시스템이 올바르게 작동하고 있습니까?サイバー攻撃にしっかり対応できるかなどを第三者視点で検証・評価することを指します。監査の方法には内部監査のほか、外部の監査人に頼む外部監査があります。
Q4 5 가지 정보 보안 규칙은 무엇입니까?
정보 보안 IPA (Independent Administrative Corporation)를 보장하기 위해 회사가 취해야하는 5 가지 기본 이니셔티브
- 1 : 항상 OS와 소프트웨어를 최신 상태로 유지하십시오!
- 2:ウイルス対策ソフトを導入しよう!
- 3:パスワードを強化しよう!
- 4:共有設定を見直そう!
- 5:脅威や攻撃の手口を知ろう!
Q5 정보 보안의 문제는 무엇입니까?
광범위하게 말하면 "サイバー攻撃による被害」、「従業員や関係者の過失(または不正)によって起きる情報漏洩」、「システム障害による事業機会の喪失」ということになります。3つ目のシステム障害には、単なる内部要因によるシステム障害だけでなく、地震、豪雨など自然災害による障害も含まれます。企業としては、こうしたリスクに備えることが大切です。
(6) 요약
ここまで、情報セキュリティについて総まとめ的に紹介してきました。何となく理解していたものが、「そういうことだったのか」と納得いただけたのではないでしょうか。 企業にとって情報セキュリティを強化することは、企業経営において欠かせない取り組みです。情報セキュリティを怠ると、サイバー攻撃はもちろん、思いがけないトラブルに見舞われるリスクが高まり、甚大な被害が発生する恐れがあります。そのためにも、まずは情報セキュリティの知識を高め、自社の現状を把握・見直しをすることが重要です。
サクサでは、サイバー攻撃をはじめとする中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。 また、最新セキュリティレポートや情報漏洩対策チェックリストなど、さまざまなお役立ち資料もご提供していますので、ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
