個人情報や機密情報の漏えい、データの改ざんなど、企業が受けるサイバー攻撃被害は増える一方です。企業側もさまざまな対策は行っていますが、サイバー攻撃の種類や方法は日々細分化し、進化しているためなかなか追いつかないというのが現状ではないでしょうか。さらにシステム管理者はサイバー攻撃対策だけが仕事ではないため、そればかりに手間をかけられないこともサイバー攻撃が減らない理由の1つです。そこで今回はサーバー攻撃対策として何が必要なのか、どういったシステムが有効なのかについてご説明します。

企業が行う情報セキュリティ対策の実態から見えるサイバー攻撃の危険性

サイバー攻撃による企業への攻撃は年々増えています。トレンドマイクロが2017年1月10日に発表した「2016年国内サイバー犯罪動向」速報版によると、2016年はランサムウェアの被害が急増し、2015年には650件であった被害報告件数が2016年は11月までで2,250件と約3.5倍増です。

ほかにもオンライン銀行詐欺ツールの国内検出台数も2015年の7,200台から30,900台(2016年11月まで)と約3.4倍という結果が出ています。被害額で見ても同社が実施した「法人組織におけるセキュリティ実態調査2017年版」によると2016年の年間被害総額の平均は2億3,177万円で前年比10%増。2015年と比べるとほぼ倍となっており、被害数、被害額ともに増え続けていることがわかります。そこで問題になるのが企業のセキュリティ対策です。

同調査によると、昨今のランサムウェア被害の増大を受け、セキュリティ予算を増加した企業は全体の22.5%、検討中が21.6%とほぼ半数がセキュリティに対する投資に前向きになっています。しかし、これまで被害にあったことがない企業に限ってみると増加した企業はわずか7.4%、検討中を含めても24.9%とわずか4社に1社なのです。

これらの調査結果を見ると、年々サイバー攻撃は増加しており、いつ被害にあってもおかしくない状況にありながらも、実際に被害にあわなければなかなか予算を増やすまでには至らないといったことがわかります。もちろん情報セキュリティに精通した人材の不足や、業績が思うように伸びずセキュリティ対策に予算を回せないなどさまざまな事情は考えられますが、昨今の被害状況を見る限り、対策がなくては大きな損害を生み出してしまう可能性は高まるばかりです。

サイバー攻撃対策として重要となる脆弱性診断とは?

サイバー攻撃に対する対策は、IT関連保険に加入するといった被害にあうことを前提とした対策、そしてセキュリティソフトや脆弱性解消のためのソフトウェアを適用するなど被害にあわないための対策の大きく2つに分けられます。もちろん両方の対策をすることがベストですが、セキュリティ対策に多くの予算を割けない企業にとっては、どちらかに重点を置いた対策にならざるをえません。

IT関連保険の加入は、金銭的な被害をカバーすることはできますが、サイバー攻撃を受けたことによる企業の信頼の喪失といったデメリットがあります。一方、被害にあわないための事前対策は、あらゆるシステムの脆弱性を把握するための人員確保が必要となります。予算を増やせない企業にとってはこれもまた現実的ではありません。そこで重要になるのが、脆弱性診断です。

脆弱性診断とは、OS、ミドルウェア、Webアプリケーションなど企業で扱うシステムを攻撃者から守るため、さまざまなセキュリティの弱点や脆弱性を定期的に診断し、攻撃者がシステムに侵入する可能性がある部分を割り出し、その結果をレポートとして報告するものです。脆弱性診断をすることで、予めシステムの弱い部分を把握することができるようになることで、セキュリティ担当者の負担を大きく軽減することが可能になります。

脆弱性診断を実現するF-Secure Radar

脆弱性診断は、Webシステムや企業の内部システムを診断することで、万が一のリスクを軽減します。さらにサイバー攻撃のリスクが減り、企業の信頼が高まることで、ISOやプライバシーマークなどの認証取得にも大きく役立つなど、現在の企業運営に欠かせないものです。

脆弱性診断を行うツールはさまざまな種類がありますが、その中でもおすすめなのが、フィンランドに本社を置くF-Secure社の「F-Secure Radar」です。このツールは基本的にIPアドレスを持つすべてのデバイスに対してスキャンをすることができ、同時にスキャンによって得た結果のレポート生成、脆弱性の管理機能も有しています。

F-Secure Radarをおすすめする最大の理由は、システムスキャンと、Webアプリケーションのスキャンを一つのルールで実施することが出来ます。これにより、お客様のシステムを素早く的確に診断し、レポートすることが可能となります。また、インターネット・アセット・ディスカバリーという深層ウェブまでカバーするウェブ・クロール技術を持っています。。これにより、すべてのターゲットを簡単に参照し、リスクや潜在的脅威を素早く識別して可視化することができます。これはほかの脆弱性管理ソリューションにはない、F-Secure Radarの大きな特徴であり、このツールを使うことのメリットの一つといえるでしょう。

脆弱性診断をしっかりと行ってサイバー攻撃対策を

日々増え続けるサイバー攻撃に対応するには、後追いでは間に合わないばかりか、あらゆるシステムを点検していては効率も悪く無駄な予算もかかってしまいます。もっとも効果的で確実な対策とは、事前に自社システムの脆弱性をしっかりと把握し、それを防ぐことです。

弊社では、2017年4月24日よりこのF-Secure Radarを利用した診断サービスをお客様に提供しています。サイバー攻撃の脅威を感じながら対策が追い付かないといった企業、また予算の都合上、脆弱性診断を導入してもそれを扱う人材を雇用できないといった企業はぜひ、弊社サービスの導入をご検討ください。

参考: