2024/05/14
全社的サイバーセキュリティ対策のすすめ
VPN/閉域網接続に関する「脅威」と「リスク」
続いては、社内やデータセンターなど、いわゆるオンプレミス環境にサーバー等を構築して運用している企業での例になります。多くの場合は外部からのメンテナンス用としての回線が接続されていることでしょう。
その際にはVPN接続等を利用し、セキュリティを担保しますが、これを過信し過ぎたために引き起こされる閉域網ならではの被害も急増しています。
例えば、以下のような脅威が想定されます。
![](https://risk.ismcdn.jp/mwimgs/3/f/670m/img_3f79ad6584dced7fbb51c3a747d3130c290796.png)
■VPN/ネットワーク関連
外部からVPN接続する際には、VPNルータ等の機器を利用することが一般的ですが、現在その機器そのものに関する脆弱性が問題になっていることが多々あります。
既知の脆弱性がアップデートされておらず、それを悪用して内部ネットワークに侵入されてしまうケースです。
これは、メンテナンス用の保守回線等が乱立していることで管理が煩雑になっていることから引き起こされているような事例もあります。
現在は、技術的な対策として回線の入り口を一本化するようなサービスもありますので、そういったものを導入するのも対策の一つになります。
また、アカウントの管理がしっかりできておらず、不正アクセスされる被害も増えています。
接続できる端末を限定するようなアクセス制御の仕組みなどを導入すると、万が一のアカウント流出の際でも被害を未然に防げる可能性があります。
■イントラ関連
社内の重要情報を管理している社内サーバー等は、閉域網内で管理されていることも多いかと思います。
この閉域網内というのが盲点であり、外部からのアクセスを遮断しているから安心という意識が大きな被害に繋がります。
よくある事例ですが、インターネット接続からは隔離しているから問題ないという意識から、閉域網内の機器の資産管理ができていなかったり、OSやソフトウェアのアップデートが疎かになっているケースが散見されます。
このような場合、前述のVPN機器の脆弱性などを悪用されて侵入された場合や、保守ベンダーが持ち込んだメンテナンス用端末がウイルス感染していた場合、閉域網内で急速に被害が拡大します。
さらに、閉域網であるが故に、機器の監視やウイルス対策が不十分であることが多く、被害に気付くのが遅れ、大きな損害になるといったことも発生します。
閉域網だからと過信せず、イントラ内の機器についてもしっかりとした対策を施すことが重要です。
■外部ベンダー
機器のメンテナンス等を外部ベンダーに委託している場合、その多くはベンダー側にアクセス権限を発行していると思います。
ここで重要なのは、ベンダー側のミスや不正なども考慮しておく必要があるということです。
一般的に、委託事業者側に起因する事故であっても、その責任は委託元に課せられることが多々あります。
ベンダー側のメンテナンス体制やアカウント管理の方法、セキュリティポリシーなどを把握し、信頼できる事業者に依頼するようにしてください。
自社のセキュリティ要件に合致するかどうかを判断するチェックシートなどを用意し、選定前に確認することを推奨します。
このように、ネットワークに接続されているという箇所のみでも、さまざまな脅威・リスクが潜在しています。
また、脅威の種類も技術的な脅威、人的な脅威、物理的な脅威が包含されています。
![](https://risk.ismcdn.jp/mwimgs/1/6/670m/img_16bdb24ea85cb40b83c47418bac48b70215697.png)
インターネットやVPNなどネットワークに接続されているということは、常になんらかの脅威にさらされているということを再認識し、この機会に自社の脅威・リスクを見直してみることを推奨します。
執筆者
西村 健太郎
株式会社AnswerCrewLaboratory代表。通信キャリア、商社系IT企業にてデータセンター事業、クラウドサービス事業の立ち上げに従事し、企画・マーケティング・営業・事業推進などさまざまな業務を経験。現在は独立コンサルタントとして活動し、株式会社M&Kのプロジェクトに参画。企業のサイバーセキュリティ対策に関するコンサルティング業務やサービス導入支援、講演活動などを展開。
全社的サイバーセキュリティ対策のすすめの他の記事
- 第4回:具体的な脅威・リスクのケーススタディ
- 第3回:脅威とリスクアセスメント
- 第2回:現状の把握とリスクアセスメント
- 第1回:サイバーセキュリティ対策の基礎知識
おすすめ記事
-
-
-
3線モデルで浸透するリスクマネジメントコンプライアンス・ハンドブックで従業員意識も高まる【徹底解説】パーソルグループのERM
「はたらいて、笑おう。」をグループビジョンとして掲げ、総合人材サービス事業を展開するパーソルグループでは、2020年のグループ経営体制の刷新を契機にリスクマネジメント活動を強化している。ISO31000やCOSO-ERMを参考にしながら、独自にリスクマネジメントの体制を整備。現場の業務執行部門(第1線)、ITや人事など管理部門(第2線)、内部監査部門(第3線)でリスクマネジメントを推進する3線モデルを確立した。実際にリスクマネジメント活動で使っているテンプレートとともに、同社の活動を紹介する。
2024/07/23
-
インシデントの第一報を迅速共有システム化で迷い払拭
変圧器やリアクタなどの電子部品や電子化学材料を製造・販売するタムラ製作所は、インシデントの報告システム「アラームエスカレーション」を整備し、素早い情報の伝達、収集、共有に努めている。2006年、当時社長だった田村直樹氏がリードして動き出した取り組み。CSRの一環でスタートした。
2024/07/23
-
「お困りごと」の傾聴からはじまるサプライヤーBCM支援
ブレーキシステムの開発、製造を手掛けるアドヴィックスは、サプライヤーを訪ね、丁寧に話しを聞くことからはじまる「BCM寄り添い活動」を2022年度から展開している。支援するのは小規模で経営体力が限られるサプライヤー。「本当に意味のある取り組みは何か」を考えながら進めている。
2024/07/22
-
-
危機管理担当者が知っておくべきハラスメントの動向業務上の指導とパワハラの違いを知る
5月17日に厚生労働省から発表された「職場のハラスメントに関する実態調査報告書」によると、従業員がパワハラやセクハラを受けていると認識した後の勤務先の対応として、パワハラでは約53%、セクハラでは約43%が「特に何もしなかった」と回答。相談された企業の対応に疑問を投げかける結果となった。企業の危機管理担当者も知っておくべきハラスメントのポイントについて、旬報法律事務所の新村響子弁護士に聞いた。
2024/07/18
-
基本解説 Q&A 線状降水帯とは何か?集中豪雨の3分の2を占める日本特有の現象
6月21日、気象庁が今年初の線状降水帯の発生を発表した。短時間で大量の激しい雨を降らせる線状降水帯は、土砂災害発生を経て、被害を甚大化させる。気象庁では今シーズンから、半日前の発生予測のエリアを細分化し、対応を促す。線状降水帯研究の第一人者である気象庁気象研究所の加藤輝之氏に、研究の最前線を聞いた。
2024/07/17
-
-
災害リスクへの対策が後回しになっている円滑なコミュニケーション対策を
目を向けるべきOTリスクは情報セキュリティーのほかにもさまざま。故障や不具合といった往年のリスクへの対策も万全ではない。特に、災害時の素早い復旧に向けた備えなどは後回しになっているという。ガートナージャパン・リサーチ&アドバイザリ部門の山本琢磨氏に、OTの課題を聞いた。
2024/07/16
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方