Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
情報セキュリティ対策には、関連する多くの考え方や製品、サービスが存在しています。
セキュリティの専門家がいない組織では、どのような方法が有効なのか頭を悩ませてしまうことも多いのではないでしょうか。
情報セキュリティ対策は、セキュリティの全体像を意識しながらバランス良く実施することが大切です。
この記事では、情報セキュリティ対策の重要性や、どのように対策を講じればよいのかを解説します。
情報セキュリティ対策とは
「情報セキュリティ対策」とは、組織が保有するIT資産や機密情報を、サイバー攻撃や内部不正、災害などから守り安全に取り扱うための対策を指します。
情報セキュリティ対策はサイバー攻撃に対する防御だけではなく、情報の取り扱いルールの制定やサーバー室の物理的なセキュリティなど、内容は様々です。
保有している機密情報を明確にし、どのように取り扱うのかといった運用の観点や、システムとして講じるセキュリティ対策の内容も、情報セキュリティ対策として考えます。
セキュリティ対策が疎かな状態では、情報漏洩が発生するリスクが大きく増加してしまうだけではなく、事後対応時には「適切な情報セキュリティ対策を行えない組織」として外部から評価されてしまう恐れもあるでしょう。
組織が一貫した情報セキュリティ対策を制定し、従業員がそれを遵守することで、効果的な情報セキュリティ対策を実現することに繋がります。
こちらの記事で情報セキュリティについて詳しく解説しています。併せてご覧ください。
情報セキュリティ対策の重要性
機密情報を取り扱う組織が情報セキュリティ対策を講じることは社会的な責務であり、自組織を守るためにも必須といえます。
情報セキュリティ対策が疎かな状態では、現代のビジネス環境を取り巻く様々な脅威を防ぐことができず、情報漏洩などの重大なセキュリティインシデントに繋がる恐れがあります。情報漏洩の発生は自組織だけではなく、内容によって顧客や取引先、株主など多方面へ甚大な被害を及ぼします。
重要な機密情報を漏洩させてしまう組織と認知されれば、その組織のサービスの利用や取引を控える人が増加し、ビジネス自体が立ち行かなくなってしまうでしょう。
適切な情報セキュリティ対策を行なうことは、外部からの信用を獲得することにも繋がります。
サービスの提供やビジネス上の取引をする場合は、情報を預かることになりますが、相手方は自社の情報を適切に扱ってもらおうと考えます。
そのため、どのように情報を取り扱っている組織なのかという観点は、サービス利用や取引を行なう相手を選定する要素となります。
このように、情報セキュリティ対策は組織や関係者を守るために必須であると同時に、組織のポジティブなアピールポイントにもなります。
情報セキュリティ対策のポイント
情報セキュリティ対策を考案・強化するためには、どのような要素が必要でしょうか。
ここでは、「サイバー攻撃への対策」「内部不正への対策」「従業員のリテラシー教育」の3つのポイントからどのような対策が考えられるのかを紹介します。
サイバー攻撃への対策
-
OS、ウイルス対策ソフトを最新に保つ
不正アクセスやマルウェアの被害を防げない理由のひとつに、OSやウイルス対策ソフトの更新を行なっていないことによる脆弱性の放置が挙げられます。
脆弱性が残っていると、攻撃者にその脆弱性を攻められ、簡単に不正アクセスや情報の奪取に繋がってしまうでしょう。
OSのアップデートやパターンファイルの更新を確実に行なうために、資産管理ツールを導入してIT管理者による監視を行なうことも極めて有効です。 -
多要素認証の導入
ID・パスワードを入力するだけでログインが完了するシステムは、現代においてセキュリティリスクの高いシステムであるといえます。
パスワードは、第三者による入力であっても文字列が正しければ認証システムを通過してしまうためです。
このようなセキュリティ環境を改善するためには、多要素認証の導入が有効です。
ID・パスワードだけではなく、利用者が所持しているデバイスや利用者の生体情報を組み合わせて認証することで、パスワードを知っているだけではシステムへログインすることができなくなります。 -
不正なWebサイトへのアクセス制御
防御が困難なサイバー攻撃のひとつである標的型攻撃には、あらゆる手段で不正なフィッシングサイトなどに誘導する手法が存在します。
外部からの侵入やマルウェアの送付ではなく、デバイスの正規利用者が自発的に不正サイトへアクセスしてしまうため、外部からの攻撃を防ぐセキュリティ製品では防御が難しい面があります。対策として、Webフィルタリングシステムが有効です。
Webフィルタリングシステムは、危険サイトのURLをデータベース化しています。利用者がWebサイトへアクセスした際、それが危険なサイトであればアクセスをブロックすることが可能です。
多要素認証について、こちらの記事でも詳しく解説しています。併せてご覧ください。
Webフィルタリングについて、こちらの記事でも詳しく解説しています。
併せてご覧ください。
内部不正への対策
-
適切なアカウント管理
基本的なアカウント管理の考え方として、アカウントに付与する権限は必要最低限にとどめることが挙げられます。
業務上不要な情報へアクセスできる環境は、悪意を持った不正アクセスはもちろん、意図せずに重要情報を閲覧してしまう、誤って削除や改ざんをしてしまうといった事故にも繋がり、セキュリティインシデントの発生率が高まります。 -
情報の持出しを管理
内部不正による情報漏洩は、USB記憶媒体や業務端末へ機密情報をコピーする手口が多く見られます。
許可されていない記憶媒体の利用を禁止し、データ持ち出しに関する承認フローを制定するなど、個人が勝手に情報を持ち出すことができないように運用を整備することが大切です。 -
資産管理ツールの導入
資産管理ツールを導入することで、許可していないUSBデバイスの利用制限や管理者への通知、業務デバイスの操作ログの取得など、不審な行為の抑制や監視を行なうことが可能です。
前述のようにルールとして不正行為を防止する対策も重要ですが、システム上不正行為を行えない環境を構築することで悪意のない不正の防止にも繋がります。
組織による監視が行なわれているという状況があるだけでも、内部不正に対する抑止力になるのではないでしょうか。 -
内部不正チェックシートの活用
IPAが、様々な業種で応用できる内部不正チェックシートを公開しています。
内部不正は信頼している内部の犯行であるからこそ、危険な状態に気づかず、対策が後手に回ってしまいやすいと言えます。
内部不正チェックシートを活用することで死角を排除し、適切な観点で内部不正のリスクを確認することが可能です。
内部不正についてこちらの記事でも詳しく解説していますので、併せてご覧ください。
参考:IPA 「組織における内部不正防止ガイドライン」
また、テレワークの浸透により重要性が増加しているスマートフォンのセキュリティも含めたセルフチェックシートをご用意しております。こちらも併せてダウンロードし、ご活用ください。
従業員のリテラシー教育
上述のサイバー攻撃、内部不正の対策はセキュリティインシデント発生防止に役立ちますが、従業員がセキュリティ意識を持ち適切な行動を取らなければ効果は半減してしまいます。
従業員に対してリテラシー教育を行ない、組織のセキュリティ対策の目的や従業員へ求める行動を明確に示すことが大切です。
情報漏洩に対する従業員の教育について、こちらの記事でも詳しく解説しています。
併せてご覧ください。
自組織の状況をそれぞれのポイントから見直し、不足している対策を実施することで、組織の情報セキュリティは強固なものになります。
情報セキュリティ対策は定期的な改善が大切
組織を取り巻くビジネス環境は絶えず変化しており、組織のセキュリティ環境では防げないリスクが潜んでいる可能性は十分に存在します。
そのため、一度講じたセキュリティ対策を過信せず、必要に応じて改善やメンテナンスを行いましょう。
セキュリティインシデントを防止するためには、組織のセキュリティ環境を見直して「現在の」ビジネス環境に有効な対策を講じることが大切です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事