企業や組織の情報資産を狙う攻撃には、システムの脆弱性を利用した攻撃や、経営者や取引先になりすましたメール、さらにランサムウェアによるデータの暗号化などがあります。
これらの攻撃は、一度に一つだけが行われるのではなく、複数の攻撃が同時に行われる可能性も考えられるため、情報資産を守るためにはより強固な対策が必要となります。

また、退職したスタッフによる情報の持ち出しによる情報流出が起こる場合もあるため、設備だけでなく、スタッフへの教育も重要です。

情報セキュリティとは、企業や組織の情報資産を守ることを指しています。

情報セキュリティの3大要素である、情報資産の（機密性）・（完全性）・（可用性）を確保し、そしてそれを保つことが目的です。

【機密性】
情報漏洩が発生しないために行う対策。第三者に情報を見られないようにするためのアクセス権の設定や、暗号の利用など

【完全性】
情報の改ざんを防止するための対策。情報が改ざんされてしまった場合の検出の仕組みや、不正なアクセスを防ぐ設定を行う。

【可用性】
必要なときに情報を閲覧・使用できるようにすること。事故が発生した場合に備えてのバックアップ機能や電源対策、災害復旧計画などが該当。

情報資産を狙った攻撃には以下のようなものがあります。

脆弱性が発見された当日（ゼロデイ）に行われる攻撃のこと。
各企業の修正プログラムが配布される前に、発見された脆弱性を悪用して不正アクセスやウイルス感染などの攻撃を仕掛ける。

仕事の自由度が増えたテレワークという働き方ですが、会社以外の場所で仕事をお行うことで、外部ネットワークとの接続によるウイルス感染が発生する危険性があります。
ウイルスに感染していることに気づかずに、社内回線に接続してしまい、被害を拡大する可能性があります。

経営者や取引先になりすまし、メールにて入金に関連する指示を出すことで金銭を搾取する方法です。
急な振込先の変更や、予定にない入金の指示などには注意が必要です。

社内に保管されている顧客情報や、社外秘情報を元従業員が外部に持ち出したことにより、情報漏洩が発生することもあります。
持ち出された情報は第三者への売却や、転職先への共有が考えられるため、企業の社会的信用の低下や各方面への損害賠償が発生するかもしれません。

身代金という意味を持つ「Ransom」と「Software」を組み合わせた造語であるランサムウェアは、不正に保管されている情報を暗号化し、復元と引き換えに金銭を要求してきます。ランサムウェアの感染は世界中の企業で発見されています。

さまざまな攻撃方法で企業の情報資産が狙われていますが、事故を防ぐためにはウイルス対策ソフトやファイアーウォールによる基本的な対策以外にも、さまざまな対策方法があります。

・従業員への情報セキュリティ教育を行い、情報資産を狙った攻撃や外部へ情報を持ち出した場合の被害と賠償に関して学ばせる
・脆弱性を放置せず、修正プログラム（セキュリティパッチ）が配布された場合は迅速に適用する
・管理体制を強化するため、ISMS（情報セキュリティマネジメントシステム）の取得など、組織全体でセキュリティ対策に取り組む

情報資産を狙う人たちの攻撃は、これから先さらに手口が増え、回避することが難しくなっていくかもしれません。
第三者に情報を奪われないためにも、基本の対策を行いつつ、どのような攻撃が行われているのかを知り、企業全体で情報を守るために学んでいきましょう。