セキュリティ対策の重要性

1. 社内サーバーとクラウドの異なる点は？

多くの企業ではこれまで、社内にサーバーを設置しサーバーの保守管理をしてました。しかしそれでは、サーバーを導入する際のコストが必要になりますし、日常的にサーバーの保守・運用などをする管理要員も必要になります。

それだけでなく、地震や洪水、火事などの災害が発生した場合、社内サーバーへも被害が及んで重要データが消失したり、その企業の業務が中断したりする危険があります。

これらのデメリットをすべてクリアするのがクラウドです。社内にサーバーを設置してファイルなどのデータを保存するのと比べて、クラウドにデータを保存することで多くのメリットを得られるようになります。

クラウドの場合、社外のデータセンターに企業のデータを保存します。サーバーの管理業務やトラブルの対応などはすべて、クラウドを提供しているベンダー側が行ってくれます。そのため、社内に管理要員を置く必要はなくなります。

データセンターは耐震性、耐災害性などを備えた建物に収容されていますので、災害によるデータ消失を心配する必要はありません。万が一、自社の社屋が災害によって被害を受けたとしても、事業継続が可能になるわけです。

また、クラウドの料金は利用したリソース分の請求がくる従量課金方式です。従って、導入コストも安価に済むようになります。

一方、クラウドにもデメリットがないわけではありません。クラウドは、社外にデータを置きインターネットを使ってそのデータへとアクセスを行います。そのため、様々なサイバー攻撃にさらされる可能性は高くなります。

クラウドを利用する際には、外部からの脅威に対抗するセキュリティ対策を取っておく必要があります。

2. サイバー攻撃の種類

クラウドに対するサイバー攻撃には様々な手口が存在します。以下に主なサイバー攻撃の手法を紹介します。

標的型攻撃

特定の組織に対して行われるサイバー攻撃方法です。組織の特定の社員や職員に対して、ついクリックしてしまうように巧妙に仕立てているコンピューターウイルス添付メールを送る手法が代表的です。

マルウェア攻撃

悪意のあるソフトウェアを総称してマルウェアと呼びます。攻撃相手の組織がわからないうちにマルウェアをインストールできれば、悪意のある人物が裏で操り、機密情報を盗み出すことや攻撃相手のパソコンやサーバーを破壊できるサイバー攻撃方法です。

コンピューターウイルス、トロイの木馬、ワームといったマルウェアが有名です。近年では、感染後にパソコンを利用できないようにし、解除するために身代金を要希求するランサムウェアと呼ばれるマルウェアも増えています。

ゼロデイ攻撃

ソフトウェアのぜい弱性を狙ったサイバー攻撃のことです。ソフトウェアの修正プログラムを配布する際、そのプログラムの脆弱性に対して攻撃を仕掛けてきます。Windows OSの修正プログラムが狙われることが多くなっていますが、その他、Microsoft社を始めとした大手ベンダーのソフトウェアが標的となります。

不正アクセス攻撃

特定のサーバーやWebサイトなどに外部から不正にアクセスし、機密情報の漏洩やWebサイトの内容の改ざん、サーバーに負荷をかけるような大量アクセスで機能を停止させるといったサイバー攻撃手法です。

不正に取得したIDやパスワードで不正にログインする「パスワードリスト攻撃」。様々なパターンのパスワードを総当たりで試すことで不正にログインする「総当たり（ブルートフォース）攻撃」。複数のコンピューターから大量のアクセスをし、狙われたWebサイトのサービスを停止させてしまう「DDos（Distributed Denial of Service attack）攻撃」などといった種類があります。

3. 不正アクセスが起こる原因

様々なサイバー攻撃の中でも不正アクセスは年々増加しています。警察庁、総務省、経済産業省が2020年3月5日に発表した報告書によりますと、2019年1月1日～12月31日までの不正アクセス行為は2,960件でした。2018年1月1日～12月31日までが1,486件ですから、1年でほぼ倍に増えたわけです。

不正アクセスを起こす原因の大半は金銭目当てです。機密データを盗み出した場合でも、その機密データを不正に売買することで金銭を得ることが目的になります。

数は少ないですが、自分が持っている不正アクセス技術（ハッキング技術）を世間に対して誇るために行われる場合もあります。2018年1月に発生した仮想通貨交換業者に対する約580億円相当の仮想通貨流失事件は後者だと言えるでしょう。

不正アクセスを起こしてしまう原因は、その企業のセキュリティ体制にある場合もあります。

不正アクセスと聞けば、悪意を持つハッカーによる攻撃を思い浮かべるかもしれません。しかし実際には、パスワードの設定や管理の甘さにつけ込んだ事件がもっとも多くなっています。

具体的には、パスワードがわかりやすかったり長期間変えていなかったりするなど、不適切なパスワードの運用がされていることが挙げられます。

4. セキュリティ対策の必要性とツール

企業のクラウドに不正アクセスされWebサイトの改ざんや機密情報の漏洩が発生した場合、ブランドイメージの低下は避けられません。それだけでなく、顧客の機密情報が漏洩したときには計り知れない賠償金額が必要になる場合もあります。

それを防ぐためには、セキュリティ対策を行うことが重要になります。対策と言ってもパスワードを複雑なものにしたり定期的に変更したりといったことだけでは不十分です。

不正アクセスだけでなく、マルウェア感染など、他のサイバー攻撃にも対応するセキュリティソフトはインストールしておきましょう。

セキュリティソフトはクラウドであるか否かに関わらずインストールしておきたいセキュリティ対策ですが、クラウドに特化したセキュリティ対策もあります。

総合サーバーセキュリティ対策

クラウドに対するセキュリティ課題をトータルに解決してくれるセキュリティ対策です。複数の機能が搭載されていますが、統一したセキュリティポリシーで管理できるために、導入後もシンプルに運用を行うことができます。

統合サーバーセキュリティには、以下のようなセキュリティ対策機能が搭載されています。

• ウイルス対策
• Webレピテーション（不正URLへのアクセスブロック）
• 不正侵入検知・防止
• ファイアウォール（不正アクセスのブロック）
• セキュリティログ監視（セキュリティインシデントの早期発見）
• ファイルやレジストリなどの変更監視

総合サーバーセキュリティ対策の詳細

WEBサイト脆弱性診断

WEBサイトに潜むセキュリティ上の脆弱性をサイバー攻撃者の視点から調査し、サイバー攻撃されるかどうかのリスクを診断します。Webサイトへの不正アクセスによる情報漏洩被害などを未然に防ぐために、有効なセキュリティ対策です。

WEBサイト脆弱性診断の詳細

ペネトレーションテスト

システムに対して攻撃者の視点から侵入。そのシステムのセキュリティ上の脆弱性を探し出すテストです。そのテストにより脆弱性が見つかれば、それがサイバー攻撃者のシステム侵入などの要因になり得るか特定します。

ペネトレーションテストによりシステムの脆弱性が見つかれば、サイバー攻撃を予防するための対策を取れるようになります。

クラウドを利用している企業にとって、総合サーバーセキュリティ対策、WEBサイト脆弱性診断、ペネトレーションテストを実施しておくことは必須だと言えるでしょう。

ペネトレーションテストの詳細

5. 管理担当者や社員に対する注意点

セキュリティ対策はセキュリティソフトやWAFに任せるとは言っても、最低限、守っておきたい注意点はあります。

パスワードは複雑に

最近では簡単なものではパスワードを設定できないことも多くあります。しかし、もし簡単なパスワードを設定しているのであれば以下を見直しておきましょう。

• 最低でも8文字以上にする
• 大文字だけでなく、小文字、数字、記号すべてを含める
• 地名やビル名といった固有名詞をパスワードにしない
• 誕生日や名前など、個人情報に紐付いたものにしない

退職した社員のアカウントは削除

退職した社員のアカウントはすぐに削除しましょう。存在しない社員のアカウントはパスワードを変更されることがありませんから、そこを突いて不正アクセスされる可能性もあります。

OSやソフトウェアは常に最新の状態へ

OSやソフトウェアにセキュリティ上の脆弱性が見つかる場合がありますが、それを解消するアップデートはすぐ行われます。そこで、そのアップデートをできるだけ早くインストールして、OSやソフトウェアは常に最新の状態に保っておくようにしましょう。

社員の意識改革をする

不正アクセス事件は、どの会社に起こってもおかしくありません。そのことを社員全員が認識しておく必要があります。
そのために、セキュリティ講習会やセキュリティ研修を定期的に開催することや、外部セミナーへの参加を義務づけるといった意識改革につなげるイベントを行うようにしましょう。