企業が情報保護のために実施しておきたいセキュリティチェックについて解説します。本記事では、今の時代だからこそ、さらに高まっているセキュリティ対策の重要性、セキュリティを支える3つの要素、情報を保護するための要件と項目について紹介します。
情報セキュリティの強化が必要な理由
そもそもなぜ情報セキュリティの強化が必要なのでしょうか。まずは基本知識のおさらいから時代に合ったセキュリティ対策について説明します。
マルウェアウィルスの流行
マルウェアとは、パソコンなどの端末に侵入して有害な動作をするソフトウェアやコードのことを指します。種類が多くあり、ウィルス、ワーム、トロイの木馬、スパイウェアなどが挙げられます。
上記のようなマルウェアの主な侵入経路は、ブラウザで閲覧したウェブページや受信したメールからです。例えば、メールの添付ファイルにマルウェアが仕掛けられていて、本文には思わずファイルを開いてしまうような巧妙な内容が記載されています。文章で上手く誘導して、閲覧者のパソコンやスマートフォンにマルウェアを感染させるのです。このような悪意のある手口により、サーバーなどから情報を抜き取られる事件が多発しています。
在宅ワークの普及
IT技術の進歩や時代の流れなどによって在宅ワークが普及し始めたこともあり、情報セキュリティは以前よりも重要性を増しています。
在宅ワークでは、社員が自宅にあるネットワークを利用して業務を行うことになります。働く場所やネットワークの制限がなくなったとも言えますが、セキュリティが脆弱な環境で仕事が行われるリスクが増えたことも意味します。
企業がセキュリティを気にするのはもちろんのことですが、社員のセキュリティ意識が甘いと思わぬ情報流出が起きる可能性があります。そのため、働き方の多様化とともに情報セキュリティには一段と注意し、対策方法を社員全体に周知する必要性が出てきています。
エンドポイントセキュリティへの配慮
在宅ワークが普及したことでエンドポイントセキュリティの重要性が高まっています。エンドポイントとは、デバイス端末のことを指し、スマートフォンやタブレット、ラップトップといったネットワーク通信が可能なあらゆる端末が該当します。
エンドポイントとなるデバイス端末はマルウェアの侵入口にもなるため、セキュリティ対策の甘い端末が一台でもあるとサイバー攻撃のターゲットになりやすいです。
第三者による不正アクセスや攻撃を許してしまうと、企業にとっての資産であるデータが流出したり、企業の評判や信頼性を損なったりするリスクがあります。そのため、業務に関係するデバイス端末のセキュリティ強化は、今や必須と言えるでしょう。
情報セキュリティを支える3つの要素
企業の大切な資産である情報を守るためにはセキュリティ対策が重要です。情報セキュリティには支えとなる3つの要素があり、対策を万全にするためにも理解しておきましょう。
診断
企業のWebサイトやアプリケーションの脆弱性、出入り口に接するネットワークの診断を実施しましょう。また、実施する対策手法についても診断を行います。診断をすることで、企業が抱える情報資産の弱点を理解でき、大きな被害が出る前に対策を立てられるようになります。
Webサイトやアプリケーション、ネットワークなどは人間が設計しているため、細かく探せばどこかに欠陥や不具合が見つかります。悪意のある第三者が狙うのは、そういった設計の穴です。そして、本来なら隠されているべき情報が意図せず流出してしまったり、システムが攻撃され業務が停止してしまったりといった問題が発生します。
そういったトラブルを未然に防ぐためにも、現在抱えている脆弱性を診断して悪用されないように事前に対策しておくことが重要です。
運用
サイバー攻撃は海外から国内に向けたものが多いです。そのため、攻撃されたことを常に検知できるよう、24時間監視体制を構築しておく必要があります。
サイバー攻撃の仕方にもさまざまな種類がありますが、完全性を確保するために、不正な変更が行われないよう改ざんの防止措置や不正検知などの対策をとるとよいでしょう。また、機密性の確保を目的として、情報へのアクセス権を制限する、ファイルを暗号化するといった対策も有効です。
分析
不正監視やファイアーウォールでは検知するのが難しい不審な動きまで対策するなら、データ分析を取り入れたセキュリティ対策が有効です。
監視や診断だけでは特定できない攻撃リスクやデータ流出の兆候は、データ分析により明らかにできます。監視機器から出力されるイベントの痕跡を分析することで、リアルタイムにリスクの存在を発見することが可能です。IPSやファイアーウォールを導入しても防げないサイバー攻撃への対策以外にも、内部犯行を防ぐ効果が期待できます。
企業のセキュリティ要件と確認項目
企業が設定すべきセキュリティ要件とはどのようなものが挙げられるでしょうか。ここからは、その確認項目をリスト形式で紹介します。
物理的セキュリティ
端末自体の保護も大切ですが、企業の物理的なセキュリティ体制がどうなっているかも注意が必要です。
- 建物に出入りする人を対象に入退室管理をしているか
- 施錠管理をしているか
以上の点を確認してみてください。特に重要な書類を保管している場所は注意が必要です。また、データを扱うデバイスを適切に管理するため、IDの設定が行われているかも確認しましょう。
ほかにも、災害対策がどれくらいできているかも確認しておきましょう。重要なデータが保存されたコンピューターが地震などの災害に遭っても大丈夫なようにBCP対策が済んでいるでしょうか。企業の情報資産を必要なときに利用できるようにすることを可用性の確保といいますが、物理的セキュリティはそれを担保するために非常に重要です。
また、人的災害という意味ではケーブルが足に引っかからないよう配線が配慮されているかどうかも注意しましょう。
情報システムとネットワークセキュリティ
コンピューターやサーバーの運用環境を見直して、適切なセキュリティ保護下に置かれているかを確認しましょう。
- ウィルス対策、不正検知プログラムなどを導入し、データが24時間保護されている体制を整える
- 情報システムに向けて最新のパッチが公開されたら忘れず適用する
- 大切なデータは暗号化し、容易に閲覧できないように工夫する
以上のことがセキュリティを高め、情報を保護するために重要なことです。また、情報システムは人間が運用するものであるため、運用ルールを定めておきましょう。運用ルールを社員全員で共有することで情報の取り扱い方を統一でき、思わぬ情報流出の防止に繋がります。
アクセス制御
企業に蓄積されているデータは大切な資産です。データが適切に扱われているか確認できるよう、アクセスする人を可視化して監視できる仕組みを導入しましょう。アクセス制御のために以下の対策ができているか確認してください。
- 利用者のIDとパスワード管理
- アクセス権限の設定
- ファイアウォールなど不正アクセス対策の実施
不正アクセスを自動的に排除するような仕組みを導入して、悪意のある第三者がシステム内に侵入しないようにしましょう。また、情報の保護と流出を防止するためにも、アクセス権限のない人は重要なデータに触れないような対策を行っておくことが大切です。
PSCが提供するセキュリティサービス
PSCでは、企業が情報セキュリティのために実施すべき対策である、診断(リスクチェック)・運用・分析の3つのセキュリティサービスを総合的に提供しています。Microsoft365に対応したセキュリティサービスも提供しており、脅威への対策が可能です。
リスクチェックでは、Webアプリやネットワークの診断を含めた脆弱性の調査を行い、弱点と対策を示したレポーティングを行います。また、診断を踏まえたルールの策定も可能です。
運用サービスでは、月次レポートのほか、24時間のリアルタイムなセキュリティ監視や早期に発見したマルウェアへの対策、感染の影響調査、端末の隔離などをリモートで行います。
分析サービスでは、サードパーティ製品のイベントを相関的に分析し、監視するだけでは発見されにくい隠れたセキュリティ上の脅威を明らかにします。
PSCでは、上記のような脆弱性の診断や情報保護のための施策、不審なアクセスへの対処などを行い、企業の情報セキュリティをサポートします。プランは簡易的な調査から始められる「スタートアップ」、バランス型の「スタンダード」、本格的な対策をする「プロフェッショナル」の3つを用意しており、ニーズに沿ったサポートが可能です。
まとめ
IT技術の進歩や時代の変化により在宅ワークが普及し始めたことから、情報セキュリティの重要性が以前よりも高くなっています。特にエンドポイントセキュリティが甘いと情報流出のリスクが高くなるため気をつけましょう。現在のセキュリティ体制を見直すとともに外部のサービスを利用する手段も検討してみてください。