サイバー犯罪が世界中で増加傾向にある中、個人はもちろん、企業の抜本的なセキュリティ対策の見直しが進んでいます。中でもゼロトラストと呼ばれるセキュリティ対策手法は、その有効性や必要性の高さから強く求められつつあります。 この記事では、そんなゼロトラストがどんな役割を果たすのか、導入の際に気をつけるべきポイントは何かについて、解説します。   目次 ゼロトラストとは ゼロトラストに注目が集まる理由 クラウドサービスの普及 リモートワークなどの働き方の多様化 DXの浸透によるヒューマンエラーリスクの増大 ゼロトラスト実現のための7つの要件 ネットワーク・セキュリティ デバイス・セキュリティ アイデンティティ・セキュリティ ワークロード・セキュリティ データ・セキュリティ 可視化と分析 自動化 ゼロトラスト導入のポイント まとめ   1. ゼロトラストとは ゼロトラスト(zero trust)は直訳すると「信用できない」という意味になりますが、ゼロトラストセキュリティモデルは「過度に信用することなく、常に検証を続けること」を前提にしたセキュリティシステムを指します。 ゼロトラストは2010年ごろから提唱されるようになったセキュリティ対策手法の一つで、外部からのアクセスはもちろんですが、内部からのアクセスであっても、そのアクセスの信頼性を常に疑うことで、不正アクセスのリスクを最小限に抑えることができます。 従来のセキュリティシステムは「ペリメターセキュリティ」と呼ばれる考え方に基づいており、社内ネットワークは絶対に安全なので、外部からのアクセスさえ警戒すれば良いというものでした。 しかしサイバー犯罪が複雑化する今日においては、もはやその脅威は組織の内外のどこからやってくるかわからないものです。そこでゼロトラストのセキュリティモデルをもとにセキュリティ対策を施すことで、社内システムが被害に遭うリスクを回避するのが狙いです。       2. ゼロトラストに注目が集まる理由 ゼロトラストのセキュリティモデルが誕生したのは2010年代前半ですが、なぜ今になってこの手法に注目が集まっているのでしょうか。   2-1. クラウドサービスの普及 近年の大きな変化の一つに、各社でクラウドサービスの普及が進んだことがビジネス領域では挙げられます。しかしクラウドサービスの利用は便利な反面、新たなセキュリティリスクを招いてしまう可能性があります。 これまで、社内のデジタル情報は社内のローカルネットワーク内でのみ共有されることが多かったこともあり、外部にデジタル情報が共有される機会は稀でした。 しかしクラウドサービスは、その仕組み上社内データを外部のネットワークに接続しながら利用しなければならず、それゆえアカウント情報の漏えいや不正アクセスのリスクが高まってしまいます。 そのため、社内外のどちらのセキュリティ対策にも目を向ける必要があり、ゼロトラストへの注目が高まっています。   2-2. リモートワークなど働き方の多様化 働き方改革は、従業員の多様性やより効率的な働き方を目指す上で注目されている取り組みですが、一方でセキュリティリスクの増大というネガティブな側面があることも忘れてはいけません。 働き方改革の中でも注目されているのがリモートワークですが、働く場所を自分で選べる反面、社内で徹底しているセキュリティ対策が及ばなくなるリスクもあります。 自宅のインターネット環境がすでに筒抜けとなってしまっている場合、業務上のやりとりやデータは全て第三者に流出してしまう可能性があります。そのため、本人の意図しないところで情報流出が発生し、組織が危機に晒されてしまいます。 こういった事態を回避する上でも、社員も「警戒の対象」として考えるゼロトラストのアプローチが必要になります。   2-3. DXの浸透によるヒューマンエラーリスクの増大 デジタルトランスフォーメーション(DX)の浸透は、会社業務をデジタル化し効率的な働き方を実現しています。ただ、これまでデジタル活用が進んでこなかった企業では、デジタルツールの活用に悩んでいるケースも少なくなく、必然的にヒューマンエラーが増えてしまう可能性もあります。 簡単な操作で業務が遂行できるということは、誤った操作で簡単に甚大な被害をもたらしてしまうこともあるということです。 本人にも気づいていないミスで被害を受けてしまわないためにも、社員を正しく管理し、セキュリティ上の問題を引き起こさせないゼロトラストの取り組みが重要です。   3. ゼロトラスト実現のための7つの要件 ゼロトラストの導入は、以下の7つの要件を満たすことで実現するとされています。     3‐1. ネットワーク・セキュリティ ネットワーク・セキュリティは、社内で運用する端末ごとにネットワークの承認を行い、承認を受けてない端末のネットワーク利用を規制するものです。 ネットワークの安全性を端末単位で担保することで、社内外のネットワークに潜むリスクを回避することができます。     3‐2. デバイス・セキュリティ デバイス・セキュリティは、組織が社員の利用するデバイスを管理するというものです。業務上使用して良い端末を許可が下りたものだけに限定することで、ハードウェアが抱えるリスクを回避することができます。     3‐3. アイデンティティ・セキュリティ アイデンティティ・セキュリティは、IDが持つ潜在リスクを回避するための取り組み全般を指します。アカウントのIDやパスワードの定期的な変更を促したり、アクセス権限を細分化して、不用意に機密情報に触れられない仕組みを構築したりします。     3-4. ワークロード・セキュリティ ワークロード・セキュリティは、社内のシステム利用状況をモニタリングできる環境を整備することで、想定外の脅威から企業を守るものです。 社内で認められていないサービスやアプリの利用を自動で検知し、ユーザーに警告を発信するなどして、インシデントの発生を回避します。     3-5. データ・セキュリティ データ・セキュリティは、社内情報の持ち出しや外部からのデータへのアクセスを監視することで、情報流出を回避するための取り組みです。アクセス権限の設定はもちろんですが社員へのセキュリティ教育の徹底も、対策の一環です。     3-6. 可視化と分析は、社内のネ 可視化と分析は、社内のネットワークやシステムを24時間モニタリングし、その状況を可視化・分析する取り組みです。 不審なアクセスの動向はないかの確認はもちろん、攻撃を受けた場合はその原因を特定し、被害を最小限に抑えます。     3-7. 自動化 自動化は、システムのモニタリングや即応体制のオートメーションを図るものです。手動では限界のあるセキュリティ対策も、自動化によって検知精度を向上させたり、24時間常にフルパフォーマンスでのセキュリティを実現したりできます。   4. ゼロトラスト導入のポイント ゼロトラストのセキュリティシステムを導入する場合、優れたセキュリティツールを導入することはもちろんですが、社員向けの研修などを実施することも忘れてはいけません。 システムの導入には費用がかかりますが、社員向けのマニュアル作成や研修の実施にも時間や費用がかかるため、その点を見越した予算管理が大切です。導入時には一時的な業務の停滞や速度低下が見込まれることも覚えておきましょう。     まとめ ゼロトラストのセキュリティシステム構築は、優れた脅威検知システムの導入はもちろんですが、それ以外にもアクセス権限の細かな指定や、社員向けの研修の実施、マニュアル作成など、多くの業務が発生することとなります。 自社が脅威にさらされないためにも、まずは早期に社内システムの見直しからスタートし、セキュリティ強化に向けた取り組みを進めていきましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

Deep Webとは、深層Webとも呼ばれ検索エンジンに登録されないコンテンツを指します。Deep Webに似た言葉にDark Webがあり、アクセスしてしまわないか、個人情報などが不正に利用されていないか不安に思う方もいるでしょう。 この記事では、Deep webについて、Surface Web・Dark Webとの違いや、Deep Webの違法性、アクセスするリスク、脅威への対策などを詳しく解説します。   目次 Deep Webとは？ 表層にあるSurface Web さらに深層にあるDark Web Deep WebとDark Webの違い Deep Web・Dark Webは違法？ Deep Web・Dark Webにアクセスするリスク Deep Web・Dark Webの脅威への対策 従業員への教育 セキュリティソフトによる対策 まとめ   1. Deep Webとは？ Deep Web（ディープウェブ）とは、検索エンジンに登録されないWebコンテンツのことです。深層Webとも呼ばれます。Googleなどで検索しても検索エンジンに登録されていないため、Deep Webは検索結果にヒットしません。 検索エンジンに登録されるか否かは、検索サイトを巡回して情報を登録するクローラーが、Webコンテンツにアクセスできるかどうかで変わります。たとえば、ログインが必要なWebページや非公開のSNSなどは、IDとパスワードが必要なためクローラーがアクセスできません。認証情報が必要で、検索しても外部からたどり着けないWebコンテンツはDeep Webに分類されます。     1-1. 表層にあるSurface Web Deep Webの対義語に、Surface Web（サーフェスウェブ）があります。Surface Webとは、検索サイトを通じて誰でもアクセスできるWebコンテンツのことです。表層Webとも呼ばれます。 Surface Webには、国・自治体・企業などのサイト、ECサイト、一般公開されているブログやSNSなど、アクセス制限がかかっていないWebコンテンツが該当します。     1-2.　さらに深層にあるDark Web Dark Web（ダークウェブ）はDeep Webの一種であり、GoogleやEdgeなどの一般的なブラウザではアクセスできないWebコンテンツです。Dark Webは非常に匿名性が高く、アクセス元の特定が困難になる「オニオン・ルーティング」という技術が使われています。 Dark Webにアクセスするには、「Tor（トア）」という匿名通信を可能にしたWebブラウザが必要です。Torブラウザを用意すれば一般人でもDark Webにアクセスできますが、違法なコンテンツが多くを占め、サイバー攻撃のリスクも潜んでいます。       2. Deep WebとDark Webの違い Dark WebはDeep Webに含まれますが、アクセス性や規模など、以下のようにさまざまな点で違いがあります。 ・対象範囲 Deep Webの対象範囲は、検索エンジンでたどり着けないWebコンテンツ全般です。パスワードで保護されていれば、Webサイトだけでなくメール・SNS・チャットも含みます。一方で、Dark WebはDeep Webよりも範囲がより狭く限定されています。 ・アクセス性 Deep Webへアクセスするために、特定のブラウザや独自のプロトコルを用意する必要はありません。ID・パスワードがあればアクセス可能です。Dark Webへは、暗号化されたTorブラウザでないとアクセスできません。Dark WebのURLの末尾は必ず「.onion」であり、特定のブラウザのみがアクセスできるように仕組まれています。 ・規模 Deep Webは、Surface Webの400～500倍もの規模があります。Dark WebはDeep Webの0.01％であり、インターネット全体で見ると5％ほどしかありません。 ・活用例 Deep Webは、企業などの内部ネットワーク、メールサービス、会員専用サイトなど、一般的に多くのユーザーが利用しています。一方で、Dark Webは匿名性を利用し、犯罪目的で利用されるケースがあります。 ・安全性 Deep Webは基本的に安心して利用できますが、個人データを狙ったサイバー攻撃の標的になるため、十分なセキュリティ対策が必要です。Dark Webも一般的には安全ですが、違法コンテンツをダウンロードすると、マルウェアやウイルスに感染するリスクがあります。     3. Deep Web・Dark Webは違法？ Deep Webは違法ではありません。検索エンジンに登録されていないWebコンテンツにアクセスしたからといって、違法行為が助長されるとは限りません。実際、Deep Webがなければ、インターネット上のほとんどのWebサービスを利用できなくなります。 Dark Webも、Torブラウザを利用したアクセス自体は違法ではありません。ただし、Dark Webを利用して違法取引することは犯罪行為になります。Dark Webでアクセスできるコンテンツでは違法なものを取り扱っていることが多く、違法薬物購入や児童ポルノなど、犯罪行為を助長するきっかけにもなります。Dark Webの利用はできるだけ避けたほうがよいでしょう。     4.　Deep Web・Dark Webにアクセスするリスク Deep Webを利用するには、ID・パスワードといったアカウント情報が必要です。アカウント情報を盗むために、フィッシングメールや偽のログイン画面表示などを利用して、詐欺を行う犯罪者もいます。Deep Webの利用はサイバー犯罪にあう可能性があることに留意しておきましょう。 Dark Webも、有害コンテンツにアクセスするリスク、個人情報が盗まれるリスク、犯罪に巻き込まれるリスクなどがあります。Dark Webはサイト運営者とユーザーの両方の素性が隠されているため、攻撃を受けても助けになるものがありません。Dark Webには多くのリスクがあるため、利用する際は細心の注意を払う必要があります。     5.　Deep Web・Dark Webの脅威への対策 Deep Web・Dark Webにはさまざまなリスクが潜んでおり、企業は自社で扱う機密情報や個人情報を守るために対策を講じる必要があります。適切に対策して、情報流出のリスクを減らしましょう。 ここでは、主な対策方法として従業員への教育、セキュリティソフトの導入について解説します。     5-1.　従業員への教育 自社で取り扱う情報を守るには、従業員へDeep Web・Dark Webのリスクを説明し、安全対策について教育することが大切です。 代表的な安全対策には、パスワードの設定があります。従業員の中には、複数のWebサービスでパスワードを使い回している人もいるでしょう。仮にパスワードが流出すると、各サービスへの不正ログインを許して被害が拡大します。 パスワードは、Webサービスごとに違うものを設定することが大切です。セキュリティを強化するため、二段階認証や安全性の高いパスワードの自動生成ツールを導入するのもよいでしょう。 他にも、心当たりがないメールやメッセージは開かない、パソコンのOSは最新状態に保つなど、従業員に情報セキュリティへの意識を高める教育を実施しましょう。     5-2.　セキュリティソフトによる対策 Dark Webに個人情報が流出していないか確認できる、セキュリティソフトの導入もおすすめです。メールアドレスや電話番号、住所、銀行口座情報、クレジットカード情報などがDark Web上で取引されていないか監視できます。 情報が流出していた場合は、セキュリティソフトが通知で知らせてくれます。どこから情報漏洩したかどうかも分かるため、流出のきっかけになったWebサービスのアカウント情報を変更するなどの対応を取ることが可能です。     まとめ Deep Webは、認証情報が必要で、検索にはヒットしないコンテンツです。一方で、Surface Webは検索により誰にでもアクセスできるコンテンツを指します。Deep Webの一部である　Dark Webは一般的なブラウザではアクセスできないコンテンツです。匿名性の高さゆえに、違法コンテンツ・違法取引などが行われることもあり、アクセスにはリスクが伴います。Deep Webにアクセスするリスクは、Dark Webに比べて低いものの、ログインに個人情報の登録が必要なケースも多く、サイバー犯罪にあう可能性はゼロではありません。 企業でできるDeep Web・Dark Webに関する脅威への対策としては、従業員への教育やセキュリティソフトの導入などが挙げられます。危険なコンテンツへのアクセスには注意し、安全に業務を行いましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

企業のテレワーク導入に伴い、利用が増加しているクラウドサービス。クラウド上でデータの一元管理ができることやどこからでもアクセスできるため、多くの企業に導入されています。 しかし、クラウドサービスにおける利便性の反面、セキュリティや情報漏洩のリスクについて心配される方もいらっしゃるのではないでしょうか。 本記事では、クラウドサービスにおける情報漏洩の原因や実際に発生した事例、情報漏洩を防ぐ対策について解説していきます。   目次 クラウドサービスにおける情報漏洩の原因とは？ 悪意のあるサイバー攻撃による情報漏洩 サーバーやデータセンターにおける障害や災害によるデータ消失 クラウドの設定ミスによるアクセス制限情報を一般公開 ユーザーアカウントの情報漏洩による不正ログイン クラウドサービスで発生した情報漏洩の事例 クラウドサービス導入における情報漏洩に備えた対策 テレワーク就業規則の策定 ハードディスクとクラウドにバックアップを分散する OSやアプリの脆弱性を発見したら対処する 情報漏洩した際のプロセス整備 セキュリティ担当者の教育 セキュリティソフトの導入 まとめ   1. クラウドサービスにおける情報漏洩の原因とは？ クラウドサービスにおける情報漏洩には、サイバー攻撃・システム障害・人為的な設定ミス・不正ログインなどがあります。原因を把握して、導入前の検討における情報収集や現在の状況見直しを行いましょう。     1-1. 悪意のあるサイバー攻撃による情報漏洩 利用しているクラウドサービス事業者のサーバーに対して、外部からのサイバー攻撃により情報漏洩する可能性があります。この場合、クラウドサービス事業者が最新のセキュリティ対策を行うなどが必要です。 利用者側では直接的な対策はできませんが、情報漏洩に備えてデータのバックアップを取得するなど、万が一に備えた対策を行いましょう。また、どのレベルまでの情報をクラウド上に保管するか慎重に判断することをおすすめします。     1-2. サーバーやデータセンターにおける障害や災害によるデータ消失 サーバーやデータセンターにおけるシステム障害や自然災害に伴う機器の故障によりデータ消失する可能性があります。クラウドサービス事業者側のシステム改修やメンテナンスが原因で障害の発生や地震や火災などの自然災害による機器の故障・破損でデータ消失が発生することもあり得るでしょう。 システム障害や自然災害は必ず発生しないとは言い切れませんよね。そのため、データ消失に備えてデータのバックアップ方法や代替クラウドサービスなどを検討しておきましょう。     1-3. クラウドの設定ミスによるアクセス制限情報を一般公開 使用しているクラウドサービスの人為的な設定ミスにより、機密情報を一般公開してしまう可能性があります。クラウドの設定で、人によって閲覧できる範囲を設定する権限管理やアクセス制御などが可能です。 クラウドサービスやセキュリティなどの知識がない方が誤って設定をしてしまい、インターネット上の誰もが機密情報を閲覧できてしまうリスクがあります。クラウドサービスの管理者や担当者に対して、教育を行うなど知識の底上げを行いましょう。     1-4. ユーザーアカウントの情報漏洩による不正ログイン 利用しているクラウドサービスのユーザーアカウントが流出すると不正ログインされ、情報漏洩につながります。ユーザーアカウントの流出には、不審なメールのリンクを開いた際のウイルス感染やユーザーアカウントの使い回し、会社外の場所でのログイン覗き見などが挙げられます。 そのため、不審なメールが届かないような迷惑メール設定やセキュリティソフトの導入、ユーザーアカウントはサービスごとに個別のパスワードを設定するなど対策を行いましょう。       2. クラウドサービスで発生した情報漏洩の事例 実際にクラウドサービスで発生した情報漏洩の事例をご紹介します。 実例からどのような原因で発生し、その影響範囲かどれくらいか学んでいきましょう。   3. クラウドサービス導入における情報漏洩に備えた対策 クラウドサービス導入における情報漏洩対策には、テレワークの就業規則策定・バックアップ手段の選定・脆弱性対策・情報漏洩に備えたプロセス整備・セキュリティ担当者の教育・セキュリティソフトの導入などがあります。情報漏洩を未然に防ぐため、それぞれの対策を確認していきましょう。     3-1. テレワーク就業規則の策定 クラウドサービス導入により、テレワークなど会社外においても情報にアクセスできてしまいます。サービスをどこでも使用できるメリットがありますが、どこでも使用できることにより情報漏洩するリスクも高まります。 テレワーク時の就業規則を策定していない場合、カフェで作業している社員が覗き見されて情報漏洩するパターンも考えられるでしょう。会社外で使用する際は、自宅やコワーキングスペースなど場所を規制するルールを策定することも情報漏洩対策の1つです。     3-2. ハードディスクとクラウドにバックアップを分散する クラウドデータのバックアップは定期的に取得する運用を取りましょう。こまめに取得することで、データ消失時の被害を最小に抑えることが可能です。 クラウドサービス上だけでバックアップを取得していると、クラウドサービスの障害や管理者の操作ミスに起因したデータ消失の可能性もあります。ハードディスクにもバックアップを取得することで、万が一クラウドデータが消失しても業務影響を抑えられるでしょう。 また、バックアップの保管期間を定めることで、クラウドサーバーやハードディスクの容量圧迫を抑えられます。     3-3. OSやアプリの脆弱性を発見したら対処する OSやアプリケーションの脆弱性を原因とした情報漏洩もあります。脆弱性があると、マルウェアなどのウイルスに感染してパソコン内のファイルやパスワードの情報漏洩、スパムメールが大量に送られパソコンが遅くなり使い物にならないなど、さまざまなリスクが発生するでしょう。 リスクを避けるためにも定期的に脆弱性診断やウイルススキャンを行い、セキュリティソフトの導入も検討することをおすすめします。     3-4. 情報漏洩した際のプロセス整備 情報漏洩してしまった際は、企業には迅速な対応が求められます。2022年4月に施行された改正個人情報保護法により、個人情報取扱事業者に対して個人情報が漏洩した際の報告が義務化されました。情報漏洩対策だけでなく、報告期日までのプロセスの整備などが企業に求められます。 まずは、報告を行う必要がある情報漏洩のレベルについて確認を行い、報告義務がある「速報」と「確報」それぞれの報告期限を確認しましょう。次に、社内の報告ルートと個人情報保護委員会へのルート整備の２軸が必要です。報告ルートを策定することで、迅速な対応が可能になります。     3-5. セキュリティ担当者の教育 情報漏洩の発生原因に担当者のクラウドサービスの設定ミスがありましたね。たった一人の操作ミスで情報漏洩する可能性があります。設定ミスの原因には、クラウドサービスについての理解不足やセキュリティ関連の知識不足があげられるでしょう。 そのため、セキュリティ担当者に対して教育を行うことで設定ミスなどの情報漏洩を未然に防げます。クラウドサービスを理解するには利用しているサービス事業者が行っているセミナーや担当の営業に説明会を設定してもらうこと、セキュリティ関連の研修に参加することで知識不足を補えるでしょう。     3-6. セキュリティソフトの導入 情報漏洩を防止するために、セキュリティソフトの導入をおすすめします。導入することで、マルウェアからの感染防御や疑わしいサイトへのアクセスを遮断してくれます。 人はふとしたときに、怪しいメールのリンクを開いてしまうことがどうしてもあるので、セキュリティソフトを導入すると安心できるでしょう。 導入する際の注意点は、導入が簡単なことや誰でも操作できるユーザーインターフェースかの確認が必要です。ITの専門知識がない担当者でも使えるセキュリティソフトを導入しましょう。     まとめ クラウドサービスにおける情報漏洩について、原因や対策、実際に発生した事例について解説しました。 これからクラウドサービスの導入を考えている方は、どの業務において、どのデータをクラウド化するのかを検討しましょう。既に導入している場合は、現状の対策に抜け漏れや脆弱性がないかを再確認してみてください。 社内に情報システム部門がない場合は、最新マルウェアなどのウイルスから社内情報を防御してくれるセキュリティソフトを導入してみてはいかがでしょうか。その中でも簡単に導入できて、誰でも使いやすいようなユーザインターフェースのソフトがおすすめです。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

企業のWeb活用が国内でも積極的に行われていますが、注意したいのがWebサイトを狙ったサイバー攻撃です。クロスサイトスクリプティング(XSS)がWebサイトの脆弱性を狙った攻撃手法として増加傾向にあり、十分な対策が求められます。 この記事ではクロスサイトスクリプティングの具体的な手法や攻撃によってもたらされるリスク、そして効果的な対策方法について、解説します。   目次 クロスサイトスクリプティングとは クロスサイトスクリプティングの仕組み SQLインジェクションとの違い クロスサイトスクリプティングの種類 クロスサイトスクリプティングの被害リスク Webページ改ざん セッションハイジャック 個人情報流出 クロスサイトスクリプティングを防ぐための対策方法 バリデーション処理を行う サニタイジングを施す WAFを設置する 入力可能なリンクを制限する まとめ   1. クロスサイトスクリプティングとは クロスサイトスクリプティングは、Webサイトを狙ったサイバー攻撃方法の一種です。Webサイトの脆弱性を突いて第三者が不当にWebサイトにスクリプトを組み込むことで、サイトを訪問したユーザーに別のサイトへのアクセスを促そうとプログラムすることができます。 攻撃対象のWebサイトを直接改変できなくとも、訪問者を悪質サイトへ誘導することで攻撃者の目的は達成できるため、サイト管理者に直接被害はなくとも、間接的に大きなダメージを被ることになります。   2, クロスサイトスクリプティングの仕組み クロスサイトスクリプティングの実行に当たっては、問い合わせフォームや掲示板などの、サイト内に設置された動的な機能が標的となります。 自由記述が可能なフォームにスクリプトを書き込まれると、それが自由に実行されてしまうため、サイトの遷移などを自由にコントロールされることとなります。   3. SQLインジェクションとの違い クロスサイトスクリプティングと似たような攻撃方法に一つに、SQLインジェクションが挙げられます。SQLインジェクションもクロスサイトスクリプティング同様、Webサイトへの攻撃を行うものですが、こちらはサイトのデータベースに攻撃を仕掛けます。 会員登録やログインフォームを悪用して不正なSQL構文を注入することにより、データへの不正アクセスや情報流出といった、重大な危害を加えます。   4. クロスサイトスクリプティングの種類 クロスサイトスクリプティングには大きく分けて、 • non-persistent/Reflected XSS（反射型XSS) • Stored/Persistent XSS（格納型／蓄積型／持続型XSS) • DOM Based XSS という3つの種類があります。 反射型XSSはサイトに不正なスクリプトをリンクに仕掛けた上で、信頼性に問題のあるサイトへ誘導し、訪問者への不正アクセスやマルウェアのインストールを促す手法です。 格納型／蓄積型／持続型XSSは、Webアプリに直接攻撃者が不正なスクリプトを仕掛ける手法です。そのため攻撃を仕掛けたページが開かれるたびに不正スクリプトが立ち上がり、悪質サイトへの遷移を勝手に行ったりするため、不快感と危険性の強い攻撃手法です。 ユーザーをリンクに誘導する必要がないので、攻撃者にとっては都合の良い方法であると言えます。 DOM Based XSSは、Web上のJavascriptの脆弱性を攻撃する手法です。サーバー側で起動するスクリプトではなく、訪問者のWeb上で起動するスクリプトであるため、他の手法とは異なる対策が求められます。 いずれのクロスサイトスクリプティング手法も危険であることに変わりはなく、柔軟な防止策を検討する必要があるでしょう。   5. クロスサイトスクリプティングの被害リスク クロスサイトスクリプティング攻撃を受けることで、Webサイト運営者は以下のようなリスクに備える必要があります。     5-1. Webページ改ざん クロスサイトスクリプティングは、攻撃者がWebページを書き換えることができるサイバー攻撃手法です。一見すると健全な企業のコーポレートサイトでも、脆弱性を抱えていれば攻撃者はその弱点を突き、不正なプログラムを潜り込ませ、訪問者に危害を加えることができます。 基本的な機能やデザインはそのままでありながら、訪問者に危害を加えるため、攻撃を受けた被害者はなぜ、どこで被害を被ったのかが当初はわからないケースもあります。 5-2. セッションハイジャック セッションハイジャックは、管理者のIDやCookieを不正に抜き取り、不当に管理権限を与えてしまうものです。セッションハイジャックが行われてしまうと、Webサイトのサーバー内に保管された情報の流出やデータの書き換え、不正出金などの被害を受ける可能性があり、その際には甚大な被害を覚悟しなければなりません。 5-3. 個人情報流出 サーバーへの自由なアクセスを許して仕舞えば、社員はもちろん顧客の個人情報流出も十分起こり得る事態です。社内の情報流出ならまだしも、顧客情報の流出は既存顧客の信頼を失い、新規顧客の獲得も困難になってしまうため、事業そのものが危険に晒されることとなります。 こういった事態を回避するためにも、あらかじめ徹底した対策を施し、被害を未然に防ぐ、あるいは最小限にとどめる必要があります。   6. クロスサイトスクリプティングを防ぐための対策方法 クロスサイトスクリプティングに備えるためには、正しい対策を事前に施しておくことが大切です。具体的な対策方法は以下の通りです。 6-1. バリデーション処理を行う バリデーション処理は、入力できる英数字やその他の文字に制限を加えるものです。電話番号入力欄で数字以外の文字入力を拒否したり、パスワードの入力文字数を制限したりといった処理を施すことで、不正なスクリプトの入力を回避できます。 6-2. サニタイジングを施す サニタイジングは、スクリプトを入力する際に発生する「<」や「"」といった文字をフォームに入力した際、別の無意味な文字列に変換する処置です。 これらの文字をそのまま入力させないことにより、文字列がスクリプトとして認識されるのを回避し、クロスサイトスクリプティングを防止できます。 6-3. WAFを設置する WAFは「Web Application Firewall」の略称で、いわゆるWebサイト用のファイアウォールです。Webアプリを対象とした攻撃を自動で検知し、不審なパターンを見つけた際には自動的に排除してくれます。 6-4. 入力可能なリンクを制限する 不審なリンク先への遷移を回避するため、「http」や「https」から始まるURLだけをリンクとして入力可能なように制限することも大切です。 悪攻撃者はこれ以外のURLで構成された遷移を密かに挿入するケースもあり、信頼性が高く誤って遷移するケースの少ない上記のURLに限定し、不要なリスクの高まりを回避します。 まとめ クロスサイトスクリプティングは、Webサイトの脆弱性に目をつけた悪質な攻撃手法で、時には甚大な被害を運営者やユーザーにもたらすことがあります。 クロスサイトスクリプティングのリスクは、Webサイトの立ち上げが増加している近年こそ注意すべきもので、あらかじめ万全の対策を施しておかなければなりません。 サイバー攻撃を一度受けてしまうと、その被害をカバーしたり、攻撃によって失われた企業の信頼を回復したりするのに多くの時間を要します。あらかじめ対策方法をよく理解し、リスクの回避に努めましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

個人情報保護法とは、個人情報、つまり個人の特定やプライバシーに関する情報に伴う権利や利益を守ることを目的とした法律です。現行の個人情報保護法には3年ごとの見直しが行われるようになっており、令和2年に改正され4年に施行されることが注目されています。 この記事では、個人情報保護法について、改正の背景や中諸企業が注意すべき点、セキュリティ対策のポイントまでを詳しく解説します。経営者や個人情報を扱う部署の方はぜひ参考にしてください。   目次 個人情報保護法とは？ 改正の背景 個人情報保護の改正に関して中小企業が注意すべき点 「違法な行為を助長するおそれ」があるだけで違反となる トラブル発生時に報告・本人通知が義務づけられている 請求があればデジタル開示に対応する必要がある 罰則が強化されている 個人情報保護のためのセキュリティ対策｜3つのポイント 個人情報を把握する 情報漏洩対策を行う ルール作りや研修を行う まとめ   1. 個人情報保護法とは？ 個人情報保護法とは、個人情報に伴う個人の権利や利益を守ることを目的とした法律です。氏名や生年月日、性別、住所などの、個人の特定やプライバシーに関する情報が個人情報にあたります。 個人情報は、サービスの質の向上や業務効率化のために、医療や行政、ビジネスなどの分野で広く活用されています。しかし、情報化社会の急速な発展に伴い、個人情報を収集・活用することにより個人の権利・利益が侵害されるリスクが高まりました。また個人情報保護に関する諸外国の法制定の影響も受けたことから、個人情報保護法は平成15年5月に交付・平成17年4月に全面施行されるに至りました。 その後、情報通信技術の進展やグローバル化に伴う社会情勢の変化、個人情報に対する社会的な関心の高まりなどによって、個人情報保護法は3度大きく改正されています。 出典：個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」     1-1. 改正の背景 個人情報保護法には、平成29年に現行法となって以降、3年ごとに法律を見直すという内容が盛り込まれています。これは、目まぐるしく変化する国際的な動向や技術の進歩を個人情報保護法に反映させ、実態に見合った形で法律を運用するためです。そして令和2年には、3年ごとの見直しの規定に基づき、初めて個人情報保護法の改正が行われました。 令和2年の個人情報保護法改正の背景には、個人情報に該当するおそれのある情報の範囲が拡大したことがあります。技術革新により、これまで個人の識別には利用できなかった情報が、個人を識別できるものとして機能するようになったためです。高度情報化社会の進歩は、個人情報保護への対応のあり方にも大きな影響を与えていると言えます。 令和2年に改正された個人情報保護法は、令和4年に全面施行される予定です。       2, 個人情報保護の改正に関して中小企業が注意すべき点 個人情報保護法の改正は、中小企業にも影響を与えます。よくニュースなどで個人情報流出などが問題となっていますが、個人情報を取り扱う上で注意すべきは流出についてのみではありません。予期せぬトラブルを回避するためにも、中小企業も個人情報保護の改正内容を知っておく必要があります。 ここからは、個人情報保護の改正項目に関して中小企業が注意すべき点や知っておくべきポイントについて解説します。     2-1. 「違法な行為を助長するおそれ」があるだけで違反となる 個人情報保護の改正によって、事業者が守るべき責務が追加されました。旧法では個人情報の不適正な利用の禁止について明文化されていませんでしたが、改正後の法律では「違法な行為を助長するおそれ」がある行為をはっきりと禁止しています。 これによって、「違法な差別などが誘発されるおそれがあるにもかかわらず、公表されている個人情報をデータベース化して公開する行為」などが違法になりました。例えば、官報で公表されている破産者の氏名などをデータベース化してインターネットに公開した場合、差別を誘発するおそれがあるため個人情報保護違反にあたります。     2-2. トラブル発生時に報告・本人通知が義務づけられている 改正後の個人情報保護法では、個人情報漏洩・流出などのトラブルが発生した場合、個人情報保護委員会への報告と本人への通知が義務づけられるようになりました。トラブル発生時の対応について、改正前は企業ごとの個別対応に委ねられていましたが、改正後は「トラブルが発生するおそれがある」だけでも報告の対象となります。 改正後の法律では、例えば決済機能があるWebサイトのID・パスワードなど、個人の財産的被害が生じるおそれがある情報の流出についても報告義務が生じます。     2-3. 請求があればデジタル開示に対応する必要がある 本人は、個人情報取扱事業者に対し、自身の個人情報についてデータの請求が可能です。しかし事業者の保有個人データの量は膨大なため、書面による交付が適さない場合もあります。また、動画や音声など、そもそも書面による交付自体が適していない個人情報もあるでしょう。 令和2年の法改正では、個人情報のデジタル開示の請求が可能になりました。基本的には請求者がデジタルデータの提供を含む開示方法を指定できるため、事業者はデジタル開示請求への対応体制を事前に築いておく必要があります。     2-4. 罰則が強化されている 個人情報に関する事業者への抑止力を強化するために、法改正後は個人情報保護法に違反した場合の罰則が強化されました。例えば、個人情報保護委員会からの命令に違反した法人に対する罰金は、30万円以下から1億円以下に大幅に引き上げられています。 また、法人と個人の資金力の差を考慮して、法改正後は、法律違反者が法人である場合は個人よりも重いペナルティを課す内容に変更になりました。   3. 個人情報保護のためのセキュリティ対策｜3つのポイント 個人情報保護法の改正によって、中小企業を含む事業者には守るべき責務が増え、個人情報保護法違反をした場合の罰則も強化されました。そのため中小企業でも、個人情報の管理をより一層徹底する必要があります。 ここからは、中小企業が個人情報保護のために行うべき情報セキュリティ対策を、3つのポイントに分けて紹介します。     3-1. 個人情報を把握する 個人情報保護法を守るためには、個人情報とは何かをしっかりと把握しておくことが必要不可欠です。 個人情報保護法第2条第1項では、個人情報は以下のように定義されています。 引用：個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」 個人情報とは、文字通り生存する「個人に関する情報」のことです。氏名や住所、生年月日など、ほかの情報との照合が容易で、個人の識別や特定が可能な情報のことを指します。 また、特定の人物の身体や財産、職種、肩書など、個人の事実や評価を表すすべての情報が個人情報と言えるため、これらの情報の取り扱いにも注意が必要です。     3-2. 情報漏洩対策を行う 事業活動の一環として中小企業も個人情報を取り扱う機会が増えている現在では、企業の規模に関係なく、堅固な情報漏洩対策を行う必要性が高まっています。 情報漏洩の原因は、ウイルス感染や不正アクセスによる外部の脅威が原因であるものから、誤表示・誤送信、紛失といった人的ミスなどさまざまです。しかし、過去に発生した情報漏洩事例の中には、管理者の意識次第で回避できたものも多くあります。ミスによる情報漏洩を防ぐためにも、社内情報の持ち出しや端末の放置の禁止、適切な廃棄処理の徹底など、個人情報取扱事業者としての基本的な対策を確実に行いましょう。 また、万が一情報漏洩が発生した場合や、情報漏洩の可能性が懸念される事態に陥った場合は、個人で判断するのではなく早急に報告させるよう徹底することも大切です。     3-3. ルール作りや研修を行う 中小企業が個人情報保護を確実に行うためには、全従業員に個人情報の適性管理の重要性を認識させる必要があります。そのために、個人情報に関する明確な取扱規定やルールを作って社内に浸透させましょう。個人情報の取り扱いに対して一人ひとりの意識が変われば、うっかりミスによる情報漏洩や誤破棄などの可能性を下げられます。 また、実感の伴わないルールや業務に対する慣れは、従業員の個人情報の取り扱いに対する意識を低下させます。定期的に個人情報に関する研修を行い、従業員に個人情報の適性管理の重要性を再認識させることも有効なセキュリティ対策となるでしょう。     まとめ 個人情報保護法は、情報通信技術の発展やグローバル化、社会的な関心の高まりなどを背景に改正が重ねられ、現行法でも3年に一度の見直しが行われる形となっています。令和2年改正では、違法な行為を助長するおそれがある行為への規制や、トラブル発生時の通知義務などの変更点があり、中小企業でも注意が必要な点が多々あります。 企業の担当者は、今後も個人情報保護法の動向を注視しつつ、社内でのルール作りや情報漏洩対策を積極的に行いましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

情報システム部門、通称「情シス」はIT化が進む企業においては不可欠な部門ですが、売上への直接的な貢献が小さいこともあり、十分なリソースが割かれないケースも見られます。 このような理由から、企業では十分な人員を配置しない「ひとり情シス」状態の問題を抱えている場合があり、多くのリスクをもたらす原因となっています。 この記事では、ひとり情シスの何が問題なのか、そしてなぜひとり情シスとなってしまうのかについて、解決策とともに解説します。   目次 情シスの役割 ひとり情シスとは ひとり情シスの問題 業務負担が大きい セキュリティ対策が行き届かない 業務が属人化しやすい 引き継ぎができない ひとり情シスが発生する背景 IT人材の確保が難しい 既存人材の流出 経営者のITリテラシー不足 ひとり情シスの解決策 予算と人員の見直し IT研修や教育の実施 新しいツールの導入 業務のアウトソーシング まとめ   1 情シスの役割 情シスは、企業のITインフラの管理や社内におけるIT運用のサポートを一手に引き受ける部門です。システムの安定的な稼働を支えるための保守管理や、運用上問題が発生した社員や部門のトラブルシューティングに活躍します。 最近ではデジタルトランスフォーメーション(DX)需要の高まりに伴い、情シス部門のニーズも大きくなっていますが、一方で肝心の人の数は以前のまま、という企業も少なくありません。       2, ひとり情シスとは ひとり情シスとは、その名の通り情シス部門をワンオペレーションで運用している状況を指す言葉です。通常、情シス部門は他の部門同様、組織の規模にもよりますが、そのスケールに応じた十分な人員配置が行われるはずです。 ただ、営業活動などに比べると企業収益への関連性は低いことから、他の部門に比べて少ない割り当てとなるケースも見られます。企業によっては情シス担当者がひとり、ということもあり、このような状況を揶揄する言葉として「ひとり情シス」が叫ばれるようになりました。       3. ひとり情シスの問題 情シス部門はひとりが当たり前、というところも増えてしまった中、ひとり情シスという言葉が問題視されているのは、さまざまなリスクがもたらされると考えられているためです。     3-1. 業務負担が大きい 情シス部門は企業の収益に直接貢献しないとはいえ、一つの部門で組織全体のITの面倒を見るわけですから、その負担は決して小さくありません。近年はITツールを活用する動きが一層強まっているため、ヘルプデスクに従事する機会も増えています。 社内のインフラ保守管理だけでなく、社員のトラブルシューティングにも対応しなければならず、残業が常態化するようなケースも出てきています。     3-2. セキュリティ対策が行き届かない 情シス担当者が一人だけとなると、日々の業務に追われ、長期的なITシステムの拡充まで手が回りません。特にセキュリティ対策は喫緊の課題と言われていますが、十分な対策をこの状況下で実現することは非常に困難です。 セキュリティ対策の遅れは、企業に致命的なダメージを与える可能性があり、そのリスクは日に日に大きくなっています。リスク回避のためには、情シス部門の改善から始めなければなりません。     3-3. 業務が属人化しやすい ワンオペの情シス部門は、会社のIT業務を全て一人の担当者に任せることとなります。担当者が一人しかいないと、その人物が会社からいなくなってしまった場合、社内のIT担当者はゼロになるため、業務の遂行が途端に困難になってしまいます。 こういった事態を避けるためのリスクヘッジとしても、情シス担当者は複数人確保することが大切です。     3-4. 引き継ぎができない 仮に情シス担当者が離職する場合になっても、担当者が一人しかいないと引き継ぎ作業も行えないため、やはり業務が停滞してしまうこととなります。 安定した企業の成長とリスクの小さい環境の維持のためには、ひとり情シスの状況は早期に解消しなければなりません。       4. ひとり情シスが発生する背景 ひとり情シスはよくないことだとわかっていても、このような状況に止むを得ず陥ってしまう企業はあるものです。ひとり情シスが発生する要因としては、以下のような理由が挙げられます。     4-1. IT人材の確保が難しい DXが各企業で始まったことで、市場のIT人材の需要は高騰し、その確保が困難になりつつあります。従来よりも優れた待遇をオファーしなければ、容易に他社に人材が流れてしまい、従来の待遇で優秀な人物を確保することはできません。 需要に対してIT人材の数は十分ではなく、海外企業に雇用されるケースも増えているため、今後も人材確保は厳しい状況が続くでしょう。     4-2. 既存人材の流出 このような市場の変化によって、すでに会社に勤めているIT人材の流出も増えてきています。特に近年は人材サービスが充実したことで、人材の流動性も高まり、満足の行く条件を求めて転職をしやすい環境となってきています。 今よりも優れた待遇を提供できなければ、次第に情シス担当者も会社を離れてしまうでしょう。     4-3. 経営者のITリテラシー不足 経営者に十分なITリテラシーが浸透していないことも、ひとり情シスが常態化する要因の一つです。 情シス部門の重要性や負担の大きさへの理解が浅く、予算や人員を削っても問題ないと考えてしまい、必要最低限の環境も与えられない状況が現場への負担増大を招いているケースです。 ITの存在が今まで以上に大きくなっているからこそ、十分な予算と人材を確保する必要があることを理解しなければなりません。     5. ひとり情シスの解決策 このようなひとり情シスの問題を解決するための方法として、企業ではさまざまな取り組みが進んでいます。     5-1. 業務負担が大きい ひとり情シスを解消するために最も必要なのは、やはり十分な人員を確保することです。情シス部門の重要性を見直し、リソースを割く必要があることを経営者含め社内全体で共有し、人員を配置します。     5-2. IT研修や教育の実施 ひとり情シスの状況は、担当者のスキルアップの機会を奪い、最新環境にキャッチアップできない問題ももたらします。 担当者には業務時間内でIT研修や最新の教育を受けられる機会を提供し、どうすれば効率化できるのか、どんなシステムが必要なのかを考えてもらえるよう促しましょう。     5-3. 新しいツールの導入 どうしても足りない人手については、ツール導入で業務効率化を図る必要もあるでしょう。特に近年はクラウドサービスが充実しており、従来よりも小さいコストや少ない時間で、従来と同じかそれ以上の業務を遂行することもできます。 最新ツールへの理解を深め、適切なシステム導入を進めましょう。     5-4. 業務のアウトソーシング 情シス部門が会社にとってコア業務ではない場合、業務そのものを外部に委託してしまうのも一つの手です。業務のアウトソーシングは、外部のプロフェッショナル企業に仕事を任せてしまうことができるので、ひとり情シスの状況を手っ取り早く解消できる手法です。 社内に情シスのノウハウを蓄積できないため、外部企業に依存することにはなるものの、迅速な人材の確保と技術力の確保が実現するので、情シスにリソースを割く余裕がない場合にはありがたいサービスです。   まとめ この記事では、ひとり情シスがもたらすリスクやひとり情シスに陥る背景について解説しました。人手不足が各企業で顕在化する中、情シス担当者の不足も深刻になってきており、それゆえにセキュリティリスクが高まる状況が発生しつつあります。 最新のツール導入や人材配置の見直し、アウトソーシングの活用などを通じて、満足のいく情シス部門運営を実現しましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら