集客力の高いホームページ制作

サイバー攻撃

サイバー攻撃が、年々巧妙化しています。個人情報や機密情報の漏洩リスクは、もはや情報システム部門だけの問題ではなくなっています。特に大企業の総務部では、社内システムの管理窓口として、また経営層への報告担当として、Webセキュリティへの理解を求められる場面が増えているのではないでしょうか。

「専門知識がないのに対応を任されている」「他社の不正アクセスのニュースを見るたびに、自社は大丈夫かと不安になる」「ベンダーとの会話に専門用語がついていけない」——そんな悩みを抱える総務担当者の方は少なくありません。日々の業務の中で情報システム部門やベンダーと連携しながらも、最終的な説明責任は自分が負っているという感覚を持つ方も多いはずです。

この記事では、攻撃手法の基礎から、個人情報・機密情報を守るための技術的対策、開発プロセスでの取り組み、日々の運用ルール、そしてクラウド活用時代のBCP(事業継続計画)まで、実務で使える知識を体系的に解説します。専門用語には必ず平易な言い換えを添えていますので、経営層への説明資料としてもそのままお役立ていただける内容を目指しました。今日から着手できる小さな一歩から、中長期的に整備すべき体制まで、順を追って見ていきましょう。

 

1. なぜ今Webセキュリティ対策が求められるのか

1-1. 全社的なリスクマネジメントが求められる時代へ

サイバー攻撃関連の通信数の推移

サイバー攻撃関連の通信数の推移(NICTER資料より)

不正アクセスによる情報漏洩事例は、連日ニュースで報じられています。個人情報保護法の改正など法規制が強化される中、総務部が「社内情報の管理責任者」として位置づけられる企業も増えてきていいます。かつては情報システム部門だけの課題とされていたWebセキュリティですが、今や全社的なリスクマネジメントの一部として、総務部が旗振り役を担うケースも増加しています。そのリスクは日々大きくなっています。

◆サイバー攻撃の主な被害の種類
・ 個人情報や顧客情報、技術情報の流出
・ ランサムウェアによるデータ暗号化と身代金の要求
・ Webサービスやネットバンキングの不正利用・不正送金
・ DDoS攻撃などによるサービス停止や業務中断
・ 重要インフラ停止による社会機能の麻痺や安全性低下

1-2. 「うちは大丈夫か」と経営陣に問われる時代

サイバー攻撃被害のアサヒHD会見

サイバー攻撃被害のアサヒHD会見

サイバー攻撃は、もはや大企業・中小企業を問わない時代です。むしろ大企業であるがゆえに、取引先やグループ会社を経由した攻撃、いわゆるサプライチェーンを狙った攻撃の標的になりやすいという側面もあります。自社が直接狙われていなくても、取引先の脆弱性を踏み台にされて被害に巻き込まれるケースも多発しており、リスクは高まっています。

経営層から「うちは大丈夫なのか」と問われたとき、根拠を持って答えられるかどうかは、担当部署としての信頼にも直結します。難しい専門用語をすべて理解する必要はありませんが、自社が抱えるリスクの全体像と、どこまで対策が進んでいるのかを把握しておくことが、対策の第一歩になります。

1-3. テレワークで社内と社外との境界線もあいまいに

また、テレワークの普及や業務のクラウド化に伴い、社内と社外の境界があいまいになっている点も見逃せません。以前は社内ネットワークの内側さえ守れば安全とされていました。しかし今では自宅やカフェなど社外からのアクセスも日常的になり、守るべき範囲そのものが広がっています。総務部が扱う人事情報や契約書類、取引先とのやり取りには機密性の高い情報が数多く含まれており、これらをどう守るかという視点は、もはや経営課題といえます。


 

2. 知っておくべき代表的な攻撃方法

対策を考える前に、どのような攻撃方法が存在するのかを知っておく必要があります。ここではWebセキュリティ担当者が最低限押さえておきたい代表的な手口を紹介します。

2-1. SQLインジェクション

問い合わせフォームや検索窓などの入力欄を悪用してデータベースを不正に操作し、個人情報や機密情報を丸ごと抜き取る攻撃です。適切な入力チェックがされていないサイトでは、想定外のコマンドを入力されることでデータベースの中身が漏洩してしまう恐れがあります。

2-2. OSコマンドインジェクション

サーバのOS(基本ソフト)に対して不正なコマンドを実行させる攻撃で、悪用されるとシステム全体を乗っ取られる危険性があります。クロスサイトスクリプティング(XSS)は、利用者のブラウザ上で悪意のあるスクリプトを実行させ、閲覧者本人の情報を盗み出す攻撃手法です。

掲示板やコメント欄など、利用者が入力した内容がそのまま表示される仕組みを持つページで特に注意が必要です。CSRF(クロスサイトリクエストフォージェリ)は、利用者本人になりすまして意図しない操作をさせるものです。ログイン中の利用者が気づかないうちに、パスワード変更や送金といった重要な操作を実行させられてしまう危険があります。

2-3. ランサムウェア

ランサムウェアとは、PCやサーバ上のデータを暗号化したり端末を操作不能にします。そしてその復旧と引き換えに、身代金(多くは暗号資産)を要求するマルウェア(身代金要求型不正プログラム)の総称です。近年はデータを盗み出して「公開する」と二重に脅迫し、企業の事業継続を脅かす重大なサイバー攻撃とみなされています。

2-4. フィッシングメール

フィッシングメール

フィッシングメールとは、実在の企業や官公庁などを装った偽メールで受信者を偽サイトに誘導します。そしてIDやパスワード、クレジットカード番号などの個人情報や金銭をだまし取ります。

最近のフィッシングメールは、生成AIで自然な日本語に書かれ、実在企業や公的機関の本物メールを精巧に模倣しています。そして支払いや本人確認、パスワード再設定などを名目にリンクや添付ファイルを開かせ、偽サイトへ誘導して認証情報やカード情報を盗み取るという特徴があります。特にクレジットカード会社やEC、決済サービス、税金や年金などの名をかたるものが多く、二段階式メールやSMS、チャットアプリ経由の手口も増えています。

2-5. シャドーITの利用を突破口にした情報漏洩

これは、会社が把握していないクラウドやアプリ、私物端末に業務データを保存もしくは送信した結果、アクセス制御不備や誤設定、盗難などをきっかけに機密情報が外部へ流出するパターンです。典型的な漏洩例を以下に記します。

◆シャドーITの利用を突破口にした情報漏洩例
・ 無料オンラインストレージに顧客リストを保存し、共有設定ミスで外部公開してしまった
・ 個人チャットアプリで機密ファイルを送信し、端末紛失や乗っ取りで流出した
・ 無断で生成AIに機密文書を投入し、サービス側で学習された
・ 貿易企業で無料のオンライン翻訳サービスに個人情報を入力し、情報が漏洩した
・ 業務でフリーメールアドレスを使用し、不正アクセスを受け、個人情報が流出した


 

3. 個人情報・機密情報を守るための技術的対策

攻撃の手口を踏まえたうえで、ここでは実際にどのような技術的対策が有効なのかを解説していいます。

3-1. ホワイトリスト方式

事前にホワイトリストに登録されたWebサイトやアプリケーションのみアクセスや実行を許可する手法を、ホワイトリスト方式といいます。そのため、新たに出現したマルウェアや不正プログラムは、事前に許可されていない限り実行できず、被害を防げる可能性が高くなります。

3-2. アクセス制御

アクセス制御とは、特定のユーザや端末だけが許可されたコンピュータデータ(ファイル、データベース、ネットワークなど)にアクセスできるようにし、それ以外をシステム側で強制的に拒否する仕組みです。通常は、ユーザ認証とアクセス権限の付与の2段階で実現されます。運用上の注意点としては、クライアント側ではなく必ずサーバ側で制御します。またアクセスログを記録し、不正アクセスや誤設定を監査できるようにします。

3-3. HTTPS化による暗号化通信

HTTPS化による暗号化通信とは、WebブラウザとWebサーバ間のHTTP通信をTLS(旧SSL)で暗号化し、盗聴や改ざん、なりすましを防ぐ仕組みです。URLが「http://」から「https://」になり、証明書でサーバの正当性を確認しつつ、送受信データを暗号化します。その結果、個人情報やログイン情報の安全な送受信が可能になります。

あわせて、Secure属性やHttpOnly属性、SameSite属性を設定した安全なCookie設定を行うことで、セッション情報の窃取や、外部サイトからの不正な参照を防ぎます。ストレージ内のデータをあらかじめ暗号化しておけば、万一不正アクセスを受けても中身を読み取られにくくなり、被害を最小限に抑えられます。

4. 開発プロセスに組み込むべきセキュリティ対策

4-1. SASTとDASTを組み合わせる

Webセキュリティは公開後の運用段階だけでなく、開発プロセスの中に組み込むことが重要です。ソースコードの段階で脆弱性を検出するSAST(静的アプリケーションセキュリティテスト)と、実際にアプリケーションを動かしながら脆弱性を検出するDAST(動的アプリケーションセキュリティテスト)を組み合わせることで、リリース前に多くのリスクを潰すことができます。

このようにSASTとDASTを組み合わせることで、ソースコード段階と実行環境の両面から脆弱性を補完的に検出でき、単独利用よりも検出漏れを減らし、早期修正と本番環境でのリスク低減に効果があります。

4-2. セキュリティレビューを実施する体制

脆弱性パッチ適用やアップデートを後回しにせず、開発プロセスの標準フローに組み込んでおくことも欠かせません。既知の脆弱性が放置されたまま公開されているシステムは、攻撃者にとって格好の標的になります。

委託先のベンダーを含めた開発工程全体で、セキュリティレビューを実施する体制を整えます。そうすることで、「セキュリティは開発の最後工程で確認するもの」という発想から、企画段階から組み込んでいく発想への転換が進みます。セキュリティ担当者としては、こうしたプロセスがベンダーとの契約や仕様書にきちんと盛り込まれているかを確認する視点を持つとよいでしょう。

5. 運用フェーズで欠かせない体制作り

5-1. 運用ルールを文書として明文化

どれだけ優れた技術的対策を導入しても、日々の運用がおろそかであれば効果は半減します。ログ監視によってアクセスの検知を行い、異常を早期に把握できる体制を平時から整えておくことが基本です。あわせて、脆弱性対策やアップデートに関する運用ルールを文書として明文化し、誰がいつ何を確認するのかという役割分担を明確にしておく必要があります。

5-2. シャドーITを可視化して是正

社内ガイドラインを整備し、許可されていないクラウドサービスの利用、いわゆるシャドーITを可視化して是正していく取り組みも重要です。便利さから業務部門が独自に契約してしまうクラウドツールは、総務部の目が届きにくい盲点になりがちです。ファイル共有サービスやチャットツールなど、業務効率化のために現場が独自に導入したサービスが、実は社外にデータを保存する仕組みになっていた、というケースは意外と少なくありません。定期的に社内アンケートやIT資産の棚卸しを行い、把握していないサービスの利用実態を洗い出すことも有効な手立てです。

6. まとめ

個人情報と機密情報を守るためには、技術的対策と運用ルールの両輪が欠かせません。セキュリティ担当者としてまず着手したいのは、①アクセス管理の棚卸し、②ログ監視体制の確認、③クラウド停止用チェックリストの整備という3つのアクションです。どれも大掛かりな投資を伴わずに、現状把握から始められるものばかりです。

IPAなど公的機関が公開するガイドラインを定期的にチェックする習慣をつけておくことで、変化し続けるサイバー攻撃の手口にも対応しやすくなります。完璧な専門知識を身につける必要はありません。今日紹介した内容を土台に、まずは自社の現状を棚卸しするところから、無理のない範囲で一歩ずつ取り組んでみてください。

Webセキュリティ対策は、一度整備すれば終わりというものではなく、攻撃手法の変化やクラウドサービスの進化にあわせて継続的に見直していくべきテーマです。総務部が中心となって情報システム部門やベンダーと連携し、技術的対策・運用ルール・BCPという三つの視点をバランスよく整えていくことが、個人情報や機密情報を守り、企業としての信頼を維持していくことにつながります。この記事が、その一歩を踏み出すきっかけになれば幸いです。

集客力のあるオウンドメディア(月額10万円から)

関連記事

  • 関連記事
  • おすすめ記事
  • 特集記事
TOP