セキュリティ対策は万全ですか? セキュリティ対策を改めて考える。
自社のセキュリティ対策(情報セキュリティ対策)は万全でしょうか?
自信を持って「はい」と答えられる方は、なかなかいらっしゃらないかと思います。
常に新たな危険な要素(ウイルスやマルウェアなど)が現れ、それに対して対応を続けていくことが必要なところから
「いたちごっこ」と表現される方も多いですが、 改めてセキュリティ対策について基本から紹介させて頂きます。
目次
1.セキュリティ対策(情報セキュリティ対策)とは
セキュリティ対策(情報セキュリティ対策)とは、インターネットやコンピュータを安全に使うための対策のこととなります。
IT化(ICT化)が進み、企業の事業運営に関わる機密情報や顧客の個人情報等を紙ではなく電子データで管理するようになりました。
電子データでの管理は便利な反面、インターネットを利用する限り全世界どこからでも繋ぐことが出来る環境に置かれることになります。
その為、外部から様々な攻撃を受けるリスクがあります。
ウイルス感染、不正アクセス、個人情報等の漏えい等、多様なリスクから自社の機密情報や顧客のデータをしっかりと守るためには、
堅牢な保護といったシステム面での対策に加え、自社のセキュリティに対して方針と規則を定めることも重要となります。
2.セキュリティ対策(情報セキュリティ対策)の基本
先ずはセキュリティ対策(情報セキュリティ対策)の基本を紹介させて頂きます。
「情報セキュリティ10 大脅威 2015」にて解説されている事項から引用となりますが、
「攻撃の糸口」を5 つに分類し、それぞれに該当する対策を「情報セキュリティ対策の基本」としています。
「攻撃の糸口」に変化がない限り、「情報セキュリティ対策の基本」による効果が期待できるので、
これを意識して継続的に対策を行うことで、被害に遭う可能性を低減できると考えられています。
| 攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
|---|---|---|
| ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し 攻撃によるリスクを低減する |
| ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
| パスワード窃取 | パスワードの管理 ・認証の強化 |
パスワード窃取による リスクを低減する |
| 設定不備 | 設定の見直し | 誤った設定を攻撃に 利用されないようにする |
| 誘導 (罠にはめる) |
脅威・手口などを知る | 手口か重要視するべき 対策を理解する |
また、昨今はクラウドサービスの利用も一般的になってきています。
クラウドサービスを利用する場合は、以下の表の対策を「情報セキュリティ対策の基本」+αとして行うことで、
被害に遭う可能性を低減できると考えるので参考にしてくださいと「情報セキュリティ10大脅威2022」で紹介されています。
| 備える対象 | 情報セキュリティ対策の基本+α | 目的 |
|---|---|---|
| インシデント全般 | 責任範囲の明確化(理解) | インシデント発生時に 誰(どの組織)が対応する責任が あるのかを明確化(理解)する |
| クラウドの停止 | 代替案の準備 | 業務が停止しないように 代替策を準備する |
| クラウドの仕様変更 | 設定の見直し | 仕様変更により意図せず変更された設定を適切な設定に直す (設定不備による情報漏えいや 攻撃への悪用を防止する) |
以下はIPA 独立行政法人 情報処理推進機構が2022年3月に発表しました、
「情報セキュリティ10大脅威2022」で紹介された「個人」および「組織」向けの脅威の順位になります。
ランクインした脅威が全てでないと紹介されていますが、この辺りに気を付けて業務を進めて頂ければ幸いです。
| 「個人」向け脅威 | 順位 | 「組織」向け脅威 |
|---|---|---|
| フィッシングによる個人情報等の詐取 | 1 | ランサムウェアによる被害 |
| ネット上の誹謗・中傷・デマ | 2 | 標的型攻撃による機密情報の窃取 |
| メールやSNS等を使った 脅迫・詐欺の手口による金銭要求 |
3 | サプライチェーンの弱点を悪用した攻撃 |
| クレジットカード情報の不正利用 | 4 | テレワーク等の ニューノーマルな働き方を狙った攻撃 |
| スマホ決済の不正利用 | 5 | 内部不正による情報漏えい |
| 偽警告によるインターネット詐欺 | 6 | 脆弱性対策情報の公開に伴う悪用増加 |
| 不正アプリによる スマートフォン利用者への被害 |
7 | 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) |
| インターネット上のサービスからの 個人情報の窃取 |
8 |
ビジネスメール詐欺による金銭被害 |
| インターネットバンキングの不正利用 | 9 | 予期せぬIT基盤の障害に伴う業務停止 |
| インターネット上のサービスへの 不正ログイン |
10 | 不注意による情報漏えい等の被害 |
3.セキュリティ(情報セキュリティ)で何を守るか?
改めてセキュリティ(情報セキュリティ)で何を守らなければならないかを紹介させて頂きます。
① 事業継続(業務リスク)
ウィルスに感染してしまうと、原因の究明及び完全に回復するまではシステムの利用はおろかPC等のデバイスも利用できなくなってしまいます。
その結果、業務を行うことが出来ない為、多大な損失となります。
② 自社の信用(信用リスク)
業務が止まる、情報漏洩が起こるといった事態に陥ってしまえば企業としての信用を失ってしまいます。
ステークホルダーにマイナスイメージを与えるだけでなく、取引先を失うといったリスクも・・・
③ 機密情報(情報リスク)
技術情報、個人情報、販売情報といった自社の情報が漏洩してしまえば、企業としての信用が無くなるだけでなく、
自社の技術情報が流出してしまえばビジネスにとって致命的なことになり得ます。
また、個人情報が流出した際には損害賠償を請求されることも・・・
────────────────────・・・
こういった脅威から実際に自社を守っていく必要があります。
以下の表は、こういった脅威から自社を守る為の対策とその対策となる製品となります。
| 守るべきもの | 対策 | 製品 | |
| 業務リスク | 業務サーバ・クライアント | マルウェア対策 | エンドポイント |
| スパムメール対策 | UTM・サーバサービス | ||
| 業務データ | 復旧迅速化 | データバックアップ | |
| 信用リスク | マルウェアによる社内資産の悪用 | ネットワーク不正侵入対策 | UTM |
| 体制の公開 | セキュリティポリシー策定 | 支援サービス | |
| 紛失情報公開 | モバイル機器紛失対策 | MDM | |
| ソフトウェア監査 | ライセンス管理 | 資産管理 | |
| 情報リスク | 社内ネットワーク | 端末認証 | セキュリティハブ |
| パソコン内情報 | データコピー対策 | 資産管理 | |
| のぞき見防止 | セキュリティフィルター ・生体認証 |
||
| 盗難対策 | チェーン施錠等 | ||
| サーバー内情報 | クラッキング対策 | UTM・エンドポイント | |
| 不正コピー・印刷防止 | 文書管理 |
4.製品からセキュリティ対策を進める危険性
上記の表から現在、対策出来ていない事項に合わせて製品導入を決める危険性をここでは紹介させて頂きます。
1.リスクコントロールの無い、情報セキュリティ管理に。
・具体的なインシデントの可能性や被害範囲がブラックボックス化
・漠然とした根拠のない安心感の蔓延
2.費用だけを投資しても実際のリスクは低下しない。
・未対策の箇所から大きな被害が発生する
・新たな脅威に対応する方法がわからない
3.機能の二重化や、無駄な投資につながる。
・製品よりも教育や運用の方が、効果的な対策となるリスクもある
────────────────────・・・
つまり、守るべきものとその対策から考えていく必要があるのです。
また、最初に紹介しましたが、自社のセキュリティに対して方針と規則を定めることが重要となります。
5.基礎的な対策の重要性
基礎を固めていないと対策の効果が得られません。
ここではその一例を紹介させて頂きます。
ネットワークの整備
⇒ インターネットへの接続箇所の制限。
⇒ 外部からのアクセス環境の整理。
× 外部接続箇所ごとにUTMが必要になる。
機密情報の定義
⇒ 守るべき情報を定義し、集中管理を可能にする。
× すべての情報を厳格に守ると費用が莫大になる。
社内管理体制整備・社員教育
⇒ 社内セキュリティ責任者の決定。
⇒ インシデント発生時の連絡ルート確立。
⇒ 情報セキュリティ教育の実施。
× 無駄な投資や、同一機能の干渉による障害が発生する。
