MENU

会社での情報セキュリティ(SECURITY)て何?

情報とは会社にとって、大切な経営資源です。
お客さまの個人情報・開発技術・積み重ねてきたデータなど、どれも厳重に管理しなくてはなりません。
しかし、情報は活用することに価値があります。

情報セキュリティ対策とは、情報セキュリティの脅威といわれる技術的脅威・人的脅威・物理的脅威
それぞれの特性を理解して、対策を考えていくことです。

3.情報セキュリティ対策

情報セキュリティの主な3要素、機密性・完全性・可用性 に加え真正性・責任追及性・信頼性・否認防止の合計7要素を守りつつ、技術的脅威・人的脅威・物理的脅威から大切な情報を守る対策を考えます。
機密性を保つために、日常的に使用するデータを幾重にもロックをかけていては可用性が損なわれ実用的とはいえません。

そして、どの対策法も重要なのは、リスクは日々変化していると認識することです。
一度設定して終わりではなく、有効に機能しているか・実際の現場の状況に適合しているか・不足している箇所はないかなど、セキュリティ関連情報を収集し、定期的な見直しと改訂が必要です
この作業を繰り返す事こそが、情報セキュリティ対策といえます。

ここでは有用なセキュリティ対策を挙げていきますので、状況に合わせて取り組んでみてください。
何よりも1日でも早く取り組むことが有効です。

主な情報セキュリティ対策

技術的脅威に対するセキュリティ対策

技術的脅威に対するセキュリティ対策でもっとも代表的なものは、セキュリティソフトです。
ウイルスを検知し侵入を防ぐものが主流でしたが、最近のサイバー攻撃は手口が巧妙になってきている事もあり、侵入されることを前提にその後の検知・隔離・除去と最小の被害に抑えるという機能が有効とされています。

パソコンやスマートフォンなどのセキュリティ対策は、エンドポイントセキュリティと呼ばれ、EDR(Endpoint Detection and Response)や、UTM(Unified Threat Management)などは複数の機能をもち、さらにAI学習により未知の脅威に対処することができる製品も登場しています。

 ■難しい用語が出てきましたね。次ページで少し解説しますが、この辺りが情報セキュリティの難しい・良く分からないとされる所以かと思います。
セキュリティソフトに関してはアクシスの得意分野ですので、導入の際は是非ともご相談ください。

それ以外にOSやソフトウェアを最新の状態にアップデートすることで、セキュリティホール(脆弱性)を突いて攻撃してくるマルウェアからシステムを保護したり、ファイアウォールを設定してシステムへの不正アクセスを監視してシステムへの侵入を防御することも重要です。

これら技術を利用したセキュリティ対策は非常に効果がありますが、日進月歩で攻撃技術も進化しているため、頻繁な見直しが必要とされます。
セキュリティ対策において100%の対策は存在しないため、インシデントが発生した場合に備えてデータを暗号化しておくなど複数の対策を施しておくことが大切です。

技術的脅威の対策としては、ソフトウェアだけでなく物理的に情報に触れる人を制限することや、経緯を監視することでリスクを減らすことができます。
「内閣官房情報セキュリティセンターhttps://www.nisc.go.jp/active/general/pdf/K303-101-2C_draft.pdf」の資料によると技術を利用したセキュリティ対策には次のようなものがあります。

技術的脅威に対する対策
  • 主体認証(パスワード、ICカード、指紋や静脈などの生体認証)
  • アクセス制御(権限を持った利用者のみがアクセス可能にする機能、コンテンツフィルタ)
  • 権限管理(アクセスできる権限を利用者に与える機能)
    ・証跡管理(アクセスログを保存して履歴を管理する機能)
  • 保証のための機能(情報が適切な状態にあることを保証するための機能)
  • 暗号と電子署名:鍵管理を含む(通信データのSSL・IPsec化、電子メールのS/MIME化、デジタル署名・メッセージ認証・タイムスタンプなどの利用)
技術的脅威ごとの対策
  • セキュリティホール対策(脆弱性対策、バージョンアップ、セキュリティパッチの適応)
  • 不正プログラム対策(ウイルス対策、IDSによる侵入検知、ファイアウォール、DMZ)
  • サービス不能攻撃対策(DoS攻撃・DDoS攻撃対策、アクセスの監視)
  • 踏み台対策

人為的脅威に対するセキュリティ対策

人為的脅威とは、人がもたらすミスや不正による脅威です。
つまり、対策するには人のセキュリティに対する意識向上がなにより有効で近道です。

情報が漏れたらどのような問題になるのか、システムに不備があるとどのような問題が起きるのか、社員の行動や日々の業務内容に基づいて情報セキュリティポリシーやルールを策定して教育することで、組織・個人のモラルや知識を高めていきましょう。
サイバー攻撃の入り口である迷惑メールも、添付されたファイルは必ず社内ルールに従って、安全性を確認して開くなど、セキュリティに対する意識があればほとんど防ぐことができます。また、定期的にセキュリティに対するルールを守っているかを確認することで常に見られているという環境も、モラルや意識を高めることができます。

さらに対策として、システムによりうっかりミスを防ぎます。
ミスというのは気を付けていても起こりうるものですので、ログを保存しておくことでどのようなリスクがありそうか予測したり、どのような経緯でミスが起きたのかを知ることもでき、ルールの改訂にも役立ちます。

情報セキュリティに関するルールを明確にする
・情報セキュリティポリシーの策定
・情報システムの操作マニュアルを作成
・就業規則に処罰を含めて明示
・情報機器の持ち出しルールの作成
・情報を管理・アクセスする個人と守秘義務契約や誓約書を締結


情報セキュリティのルールを理解してもらう(社員教育)
・システムの操作説明会を実施
・情報セキュリティ教育を繰り返し定期に実施して、情報セキュリティに関する知識と意識を向上
・情報システム利用者全てに対してインシデント発生と対策の報告


システムで人為的脅威をガードする
・アクセス権の設定などのアクセス管理
・定期的にパスワードなどを変更
・アクセスログを保存し、追跡できるようにする
・情報の暗号化
・雇用終了後における情報資産の返却、アクセス権の削除

 

物理的脅威に対するセキュリティ対策

物理的脅威に対するセキュリティ対策とは、施設やシステムなど物に対するセキュリティ対策です。停電によりシステムがダウンしたり、パソコンが故障して使えなくならないようにするための対策です。

セキュリティエリアの施錠や入退室チェックなどによる区画のロックや、認証により触れる人を限定した防犯対策も含まれますが、物理的に壊れるのを予防するために定期的な買い替えやメンテナンスが主な対策になります

日本は地震や台風による自然災害が多い国です。万が一システムダウンした際の復旧については、バックアップはもちろん、「UPS(Uninterruptible Power Supply)」と呼ばれる無停電電源装置や、本体の代替機を用意するなど、実際起きた時の状況を想像して準備しておきます。

施設に対する対策
  • 情報資産の施錠管理(施錠付きのロッカー等に情報資産を保管する)
  • セキュリティ区画の設定(セキュリティレベルに応じて部屋当を分ける)
  • セキュリティ区画の運用(セキュリティ区画別に管理基準を分ける。立ち入りを制限する。施錠する。入退出の記録を取る。社員証の携帯)
  • IDカード、バイオメトリクス認証、監視カメラなどを用いた入退室管理
  • 訪問者や情報資産の受け渡し業者の管理
システムに対する対策
  • 機器・設備の保護(パソコンやサーバーなどの設置環境を管理する。代替機を準備しておく。
    バックアップを取る)
  • 電源・空調の保護(耐震、耐火、耐水などの防災対策を実施する、無停電電源装置など停止した場合のリカバリー機器を用意する)
  • ケーブルの保護(損傷や回線の盗聴を避けるため対策を行う)