セキュリティリスク・アセスメントで必要な視点

セキュリティリスクの具体例一覧

世界各国でサイバー攻撃による被害が多発しています。年々サイバー攻撃の手口が多様化・巧妙化しているため、「セキュリティリスク・アセスメント」と呼ばれる考え方が重視されています。 セキュリティリスク・アセスメントとは、自社のITシステムやデータ、記録媒体などに関して、どのようなセキュリティリスクが存在するのか、調査して洗い出し、評価・対応を決める一連の作業のことです。 はじめに、セキュリティリスクの具体例を紹介します。

企業におけるセキュリティリスクの例

企業におけるセキュリティリスクの代表的な例は、下記の通りです。

情報漏えい

情報漏えいとは、企業で管理している機密情報や顧客データなどが何らかの要因で漏えいすることを指します。情報漏えいが起きる主な要因は、重要データが含まれているUSBメモリなどを誤って紛失して漏えいするケースや、内部の人間が重要データを故意に持ち出すケースなど、パターンは様々あります。

標準型攻撃

標準型攻撃とは、特定の企業をターゲットにしたサイバー攻撃のことを指します。ターゲットに合わせて攻撃を仕掛けるため、不特定多数を狙った攻撃よりも対策が難しい点が特徴です。 攻撃のパターンは豊富にあり、例えば、普段馴染みがある取引先の企業を装ってメールを送信し、添付ファイルを展開させてマルウェアに感染させるといった悪質な手口も存在します。

脆弱性を狙った攻撃

企業のセキュリティの脆弱性を狙った攻撃も多発しています。例えば、企業内のサーバーに不正アクセスしたり、PCに侵入してウイルスに感染させたりなど、セキュリティの脆弱さを突いて様々な攻撃を仕掛けます。

参考：脆弱性診断とは？ペネトレーションテストとの違い、ツール比較の3つのポイントを解説 | 漏洩チェッカー

セキュリティリスク・アセスメントの方法

セキュリティリスク・アセスメントは、以下の流れで進めてきます。

①管理するべき情報資産の洗い出し
②情報資産に対するリスクの識別と分析
③特定したリスクの評価（発生頻度や影響度など）
④リスクへの対応

この工程で不可欠なのが、「情報資産管理台帳」です。

情報資産の管理には台帳の活用が必須

企業内の情報資産はたくさんあり、各部署によってそれぞれ管理しています。情報資産の洗い出しを効率的に行うためにも社内共通の「情報資産管理台帳」を作成するようにしましょう。 例えば、データの格納場所ごとに分類したい場合、「ファイルサーバー」や「書棚」などと表示して分かりやすく分類できるようにします。業務ごとに分類することも可能です。

情報資産の分類が完了したら、情報資産ごとに特性を記載するようにしましょう。情報資産の利用範囲や管理者、保存先、個人情報の有無などを記載しておけば、②のリスクの識別と分析と③の特定したリスクの評価を円滑に行えるでしょう。

テレワークのセキュリティリスク

2020年頃から新型コロナウイルス感染症の拡大に伴い、テレワークを導入する企業が増加しました。テレワークの導入は、家や外出先などでも自由に仕事ができるようになったり、移動に掛かるコストを削減したり、様々なメリットをもたらしたといえるでしょう。

しかし、テレワークならではのセキュリティリスクもあり、代表的なリスクは「ネットワーク通信のリスク」と「物理的なリスク」の2つです。それぞれ解説していきます。

ネットワーク通信でのリスク

自宅・カフェなどでの公衆Wi-Fiや家庭用ネットワークの利用には、様々なリスクが存在します。公衆Wi-Fiは、場所によっては通信が暗号化されていないこともあり、悪意を持った人間がネットワークの情報を盗み見したり、悪用したりするケースがあります。

さらに、情報漏洩やデータの改ざんなどのリスクにもつながるでしょう。 家庭用ネットワークに関しても、データ通信を暗号化していなければ、ウイルスに感染したり、社内環境へ不正にアクセスされたり、様々なリスクがあります。

物理的なリスク

テレワークでは、PCの盗難・紛失などの物理的なリスクも存在します。例えば、席を離れたときにPCを盗まれたり、PCが入っているカバン置き忘れてしまったり、様々な被害が考えられます。 さらに、紛失したPCに企業の機密情報等が入っていた場合、拾った人がその情報を悪用する可能性も十分に考えられるでしょう。

汎用的なツールのセキュリティリスクと対応法

業務を行う上でツールやクラウドサービスの利用は欠かせません。 ここでは、業務で使う機会が多いツールのセキュリティリスクと対応法について解説します。

Zoomのセキュリティリスク

ZoomはWeb会議を行うツールとして広く浸透しましたが、普及した当初はセキュリティ面でのリスクが見られました。 iOSでZoomを使用すると、ユーザー情報が勝手にFacebookに送信されてしまうという問題が過去にありました。ユーザーの知らないところでデータが送信されていたことで問題になりましたが、2020年3月にリリースされたiOS版のZoom「ver4.6.9」ですぐに修正されました。

現在は目立った脆弱性はありませんが、利用する際には下記の点に気をつけていきましょう。

■ 接続する際にフリーWi-Fiは極力使用しない
■ VPNを接続する
■ 最新版にアップデートする
■ 第三者が会議に入らないように、パスワードを設定する

参照：ZoomのFacebookへのデータ転送（停止済み）で集団訴訟 - ITmedia NEWS

Teamsのセキュリティリスク

Teamsはテレワークでよく利用されるツールの一つであり、どの端末からでも自由にアクセスできる点が特徴です。自由にアクセスできる反面、外部の人間が簡単に侵入しやすくなる点がデメリットにもなります。 例えば、外出先でスマートフォンを紛失してしまい、そこから自社のTeamsにアクセスされるといった可能性が考えられます。

また、セキュリティレベルが低い公共のWi-Fiで自社のTeamsに接続すれば、ネットワークへの不正アクセスなどにつながるでしょう。 Teamsには、これらのセキュリティリスクに対応する機能が搭載されています。例えば、下記の搭載機能を有効的に活用しましょう。

■ ファイル暗号化
送受信されるファイルに対し、自動的に暗号化する機能です。外部の人間が自社のTeamsに不正アクセスし、データを盗み見ようとしても、簡単に読み取れないようにできます。

■ アクセス制限
社内のメンバーにアクセス権限を設定できる機能です。さらに、ファイルの追加・変更・削除などの操作を可能にしたり、閲覧のみ可能にしたり、メンバーごとに詳細に設定することもできます。

参照：Teamsに潜むセキュリティリスクとセキュリティの初期設定について解説 | LANSCOPE

Google フォームのセキュリティリスク

Google フォームとは、Googleが提供しているフォーム作成ツールのことです。誰でも簡単に様々なタイプの入力フォームを作れます。

入力フォームの場合、入力した個人情報が漏えいするリスクがありますが、Google フォームでは安全性が高いセキュリティ機能を搭載しています。例えば、ネットワーク間のデータを盗用できないように「SSL/TLS」の仕組みを採用したり、24時間365日の徹底した監視体制を整えていたり、強固なセキュリティ体制を構築しています。ただし、セキュリティリスクにつながる可能性はゼロではありません。Google フォームを活用するためには、下記の点に注意した上で利用しましょう。

■ ファイアウォールで保護する
ファイアウォールとは、不正なプログラムの侵入を防火壁のようにシャットダウンする対策のことです。検知システムを設けて、悪質な攻撃や不正アクセスを遮断します。

■ IPSの利用
IPS（Intrusion Prevention System）とは、ネットワーク間の不正な通信を排除するシステムのことです。IPSも設置すれば、不正アクセスなどをより防止できるようになります。

VPNのセキュリティリスク

VPN（Virtual Private Network）は、ネットワーク上に仮想の専用線を設けて安全に通信が行える仕組みのことです。

VPNの仕組み自体はセキュリティ対策の1つとして有効ですが、VPN機器そのものに脆弱性があると、そこからサイバー攻撃などを受ける可能性が高くなります。 そのため、VPNを利用する際には、ログイン時にスマートフォンなどによる二段階認証を取り入れたり、ウイルス対策を導入したりしてセキュリティレベルを高めましょう。

SharePointのセキュリティリスク

SharePointは、クラウド上でファイルの保管・共有が可能なファイル・情報の共有サービスです。 社内の人間との情報共有だけではなく、招待機能を使えば社外のユーザーとも情報共有できます。

SharePointを利用して外部ユーザーとやりとりをする場合、アクセス権限などの権限設定を念入りに行いましょう。 社内データを受け渡す際には、情報漏えいのリスクも考慮した上で慎重に行う必要があります。

海外関連会社のセキュリティリスク

海外関連会社は、セキュリティ対策が行き届かないケースもあります。また、サプライチェーンの中にあるセキュリティレベルが低い企業がターゲットにされたり、海外関連会社に所属している従業員が情報漏えいを引き起こしたり、様々なリスクがあるため注意が必要です。

▼参照
海外拠点で取るべきセキュリティ対策。日本より大きい情報漏洩のリスク
海外拠点におけるセキュリティのリスクと対策を徹底解説｜Global Reach

海外拠点のセキュリティ対策

海外拠点のセキュリティ対策として最も重要なのが、「境界型セキュリティの強化」です。 境界型セキュリティとは、外部からの悪意ある攻撃に対して、内部ネットワークとの境目に障壁を作り、内部ネットワークの安全性を保つ仕組みです。 例えば、ネットワークの外からのアクセス方法を厳重化したり、アクセスできる情報に対して制限を行ったりなど、外部からのアクセスに対して基準を1段階上げることが重要になります。

セキュリティリスク・アセスメントのサービス、ツール

セキュリティリスクに対して適切な対策方法をアドバイスするサービスやツールも存在します。 ここでは、セキュリティリスクのアセスメントサービスやツールの例を紹介します。

セキュリティリスク・アセスメントのサービス例と特徴

セキュリティリスクのアセスメントサービスは、経験豊富なコンサルタントがセキュリティ対策の導入・運用の方法を、お客様に適した形で支援するサービスです。 コンサルティングや脆弱性診断など、幅広いサービスを提供します。

コンサル型サービスを提供する会社の例

■「SECURE YOUR SITE」
経験豊富なコンサルタントが「セキュリティアセスメント」や「セキュリティ規定の作成」、「CSIRT構築支援」など幅広いサービスを実施します。

■「NRIセキュアテクノロジーズ株式会社」
セキュリティに関する調査や分析、戦略立案からソリューションの導入・運用、人材教育までトータル的に支援します。

■「PwCJapan」
「セキュリティアセスメント」や「オペレーション戦略」、「デジタル戦略」など、企業の要望に適したコンサルティングサービスを提供しています。

ツール型と比べた特徴

コンサル型サービスは、専門のコンサルタントから適切なアドバイスしてもらえる点がメリットです。社内にセキュリティに精通している社員が少ない場合、コンサル型サービスの利用をおすすめします。

セキュリティリスク・アセスメントツールの例と特徴

ツールの場合、セキュリティリスクアセスメントで必要なリスクの登録などを、クライド上で管理できる点が特徴です。Excelなどを利用する必要もなく、社員間の共有も簡単に行えます。

ツールを提供する会社の例

■「LRM」

■「Verizon Communications」

コンサル型と比べた特徴

ツールの場合、コンサル型よりも自由度が高く、簡単にセキュリティチェックや分析等を行える点が魅力です。自社に適したセキュリティ対策をスムーズに構築できます。 ただし、社員全員がツールの操作を覚える必要があり、使いこなすまでには時間が掛かるでしょう。

まとめ

自社のセキュリティレベルを高めるためには、「セキュリティリスク・アセスメント」が重要です。 まずは、社内にどのようなセキュリティリスクが存在するのかを洗い出すことから始める必要があります。 企業内で全て対応できない場合は、コンサルやツールなどの活用もおすすめです。自社に適したやり方で、セキュリティレベルを高めていきましょう。

関連記事：サイバーセキュリティ経営ガイドラインVer3.0とは？3原則や重要10項目を解説 | 漏洩チェッカー