情報セキュリティ対策の具体例とは？対策を怠った場合のリスクについても解説

個人レベルの情報セキュリティ

個人が使用するスマートフォンやパソコンにも情報漏洩のリスクがあるため、対策が必要です。

個人が情報を扱う場面としては、以下が挙げられます。

• メール
• オンラインショッピング
• SNS
• インターネット検索など

中でもインターネット利用の際に取り扱われる情報は、以下のとおりです。

• クレジットカード番号
• 住所
• 電話番号など

情報漏洩のリスクを減らすには、ID・パスワードを複雑なものにする、SNSを鍵つきアカウントにするなどの対策が必要です。

企業・組織レベルの情報セキュリティ

企業・組織は、個人よりも強固なセキュリティ対策が求められます。万が一トラブルに巻き込まれた場合、従業員の個人情報や社内の機密事項が漏れると、社会に影響を与える可能性があるからです。

企業・組織が情報を扱う場面としては、パソコン・スマートフォンなどの使用が挙げられます。取り扱われる情報は、業務に関連するデータなどです。

情報セキュリティ対策は、以下を意識しましょう。

• 個人がサイバーセキュリティに対する適切な知識を持つ
• 定期的にデータのバックアップを取る
• 自然災害に対応できるシステムを構築する

【関連記事】情報セキュリティ対策とは？対策方法一覧と被害例を攻撃の種類別に紹介

機密性（Confidentiality）

機密性とは、特定の情報へのアクセスを認められた人だけが、問題なく閲覧できる状態を確保することです。例えばID・パスワードを入力しなければインターネットにアクセスできないなどの状態であれば、機密性が高いといえます。

機密性を高めるためには、アクセスコントロールのルール設定やパスワード認証・情報の暗号化などが有効です。

特に以下の項目については、機密性を高めておきましょう。

• 従業員の個人情報
• 顧客の個人情報
• 商品の開発情報
• システムアクセスのパスワード

より機密性を高めるためには、ID・パスワードを複雑なものにする、USBや資料を社外に持ち出さないなどの対策が必要です。

完全性（Integrity）

完全性とは、情報が改ざん・消去されていない状態を確保することです。たとえばデータのバックアップを取っておけば、万が一改ざんや消去されても復元できます。

完全性を維持する方法には、以下が挙げられます。

• デジタル署名をつける
• アクセス履歴を残す
• 変更履歴を残す
• バックアップを取る

企業や組織で情報の改ざんが発生した場合は社会的信用がなくなるため、きちんと対策を行うのがおすすめです。

可用性（Availability）

可用性とは、情報へのアクセスを認められた人が、必要時に中断せずに閲覧できる状態を確保することです。例えば仕事中にデータ処理が中断されないシステムは、可用性が高いと言えます。

可用性を高めるには、以下の対策が必要です。

• システムの二重化（多重化）
• HDDのRAID構成
• UPS（無停電電源装置）の設置
• BCP（事業継続対策）の構築
• システムのクラウド化

クラウドサービスは、基本的に24時間365日インターネットにアクセスできるので、可用性を高めるにはおすすめです。

ソフトウェアを最新の状態に保つ

パソコンやスマートフォンなどは、本体（ハードウェア）から入力された情報を、ソフトウェアが処理することで動いています。ソフトウェアが古くなると、脆弱性（ぜいじゃくせい）と呼ばれる不具合が起こる可能性が高いです。脆弱性の原因はプログラムの不具合や設計ミスのため、都度メーカーから修正プログラムが配布されます。

例えばiPhoneなどのiOSの場合は「ソフトウェアアップデート」などの通知が届きます。通知が届いたら、速やかにアップデートを行いましょう。放置すると、サイバー攻撃を受けるリスクが上がり、最悪の場合は機器の買い替えが必要になります。

ウイルス対策を行う

ウイルスはメールや記憶媒体など、さまざまな経路から侵入するため、情報漏洩などのリスクがあります。ウイルス対策には専用ソフトの導入や、インターネットサービスプロバイダのサービスの利用などが効果的です。

なお対策ソフトを導入した場合は、ウイルス検知データをつねに最新の状態にしておきましょう。また不明なアドレスからのメールや添付ファイルを開かないようにするのも、1つの方法です。

対策を怠るとパソコンやスマートフォンがウイルスに感染し、使用できなくなります。最悪の場合、他のパソコンに感染させて加害者になる可能性もあるため、注意が必要です。

パスワード設定と管理を徹底する

ネットオークションやショッピングサイトではなりすましを防ぐため、利用時にID・パスワードの入力を求めている場合が多いです。忘れにくい自分の誕生日や簡単な数字を、パスワードに設定している方もいるでしょう。

しかし分かりやすいパスワードは簡単に解除されるため、個人情報やクレジットカードなどを悪用される可能性が高くなります。セキュリティ対策を考えるなら、多少覚えにくくても安全性の高いパスワードを設定するのがおすすめです。

閲覧前に信頼できるホームページか確認する

インターネット上にはさまざまなホームページが存在しますが、信頼できるサイトであるか確認するのが大切です。中にはサイトにアクセスしただけで、コンピューターシステムが壊れたり、ウイルスに感染したりするものも存在します。

ホームページによってはCookie（クッキー）を利用して、アクセス時に入力した情報をブラウザに保管するケースがあります。クレジットカード番号などが含まれる場合もあるため、Cookieの取り扱いやブラウザの設定変更方法を調べておきましょう。

フィッシング詐欺に注意する

フィッシング詐欺では、送信者を装ったメールを送りつけて偽物のホームページに接続させます。そして、クレジットカード番号やアカウント情報といった、個人情報を盗みだすのです。

最近はメールの送信者名を装うだけでなく、ニセのWebサイトを本物とほとんど区別がつかないように偽造するなど、手口が巧妙になっています。フィッシング詐欺の事例を1つ紹介します。

Aさんの元に、ショッピングサイトから個人情報の変更案内メールが届きました。対応したところ、後日見に覚えのない高額なクレジットカードの請求が送られてきたのです。

対策としては、正しいサイトをブックマークしておく、送信元と思われる企業に確認を取るなどが有効です。

ワンクリック詐欺に注意する

ワンクリック詐欺は、Webサイトやメールに記載されたURLにアクセスすると、一方的に契約が成立してしまいます。そして多額の料金の支払いを請求するのです。

ワンクリック詐欺の事例を1つ紹介します。

Bさんの元に無料でゲームを楽しめるキャンペーンの案内メールが届き、クリックしてしまいました。すると高額な料金を請求され、支払わないと自宅に訪問するとまで書かれていました。Bさんは怖くなって、全額支払ってしまったのです。

URLは絶対にクリックしないようにしましょう。不安な場合は、消費者センターや警察に相談するのも有効です。

ファイル共有機能を解除する

無線LANは、ケーブル代わりに無線を利用する性質上、通信内容が盗まれるリスクがあります。家庭で複数のパソコンやスマートフォンを利用する際、ファイル共有機能を有効にしている人も多いでしょう。

しかし公共の場で無線LANを利用するときに、ファイル共有機能が有効になっていると、情報が盗まれたりウイルスを送られたりする可能性があります。外出時は必ずファイル共有機能を解除してください。

廃棄前にデータを消去する

パソコンやスマートフォンを廃棄する際は、必ずデータを消去しましょう。

消去方法は以下のとおりです。

• 専用のソフトを使用する
• 初期化する
• 端末ごと壊して使えないようにする

データを消去しないまま廃棄すると、情報を抜き取られる可能性があります。

個人情報は慎重に取り扱う

個人情報は以下のものが該当します。

• 氏名
• 性別
• 生年月日
• 住所
• 電話番号
• メールアドレス
• 職業
• 家族構成

オンラインショッピングなどで、個人情報を登録する場合も多いでしょう。しかし不用意に公開すると、誹謗中傷やなりすましなどの被害に遭う可能性があります。特にSNSやブログなど、不特定多数の人が閲覧できる場所などでは、必要以上に情報を公開しないことが大切です。

プライバシーに関わる情報は公開しない

プライバシーは個人情報と同様、必要以上に公開しないようにするのが無難です。また自分の情報だけでなく、他人の情報を許可なく公開するのも控えましょう。

例えばSNSに無断で友人の写真を載せ、何らかの被害が出た場合、損害賠償を請求される可能性があります。どうしても載せたい場合は、必ず許可を取りましょう。

ソフトウェアのサポート期間の終了時期を確認する

ソフトウェアは古くなると、脆弱性と呼ばれる不具合が起こり、都度メーカーから修正プログラムが配布されます。しかしサポート期間が終了すると、修正プログラムが配布されなくなるため、注意が必要です。

放置すると脆弱性が起こったままになるため、サイバー攻撃に遭うリスクが高まります。メーカーからの通知をこまめに確認し、ソフトウェアをアップデートするようにしましょう。

IoT機器は慎重に利用する

IoTとは「Internet of Things」の略で「モノのインターネット化」を指します。パソコンなどに加えて、車や家電などもインターネットにつながる仕組みです。

IoT機器は慎重に利用しないと、なりすましが起こる可能性があります。さらに自分や家族のプライバシー情報が漏れ、犯罪に巻き込まれるリスクも存在します。

対策は以下の4つを意識しましょう。

• 問合せ窓口やサポートがない機器やサービスは購入・利用を控える
• 初期設定を確認する
• 使わない機器の電源は切る
• 廃棄するときはデータを消す

IoT機器は使い方に注意すれば、快適な生活を送れます。

パスワードを安全に管理する

企業・組織におけるパスワードは、機密事項や従業員の個人情報を守るために重要です。外部からの不正アクセスを防ぐためには、わかりにくいパスワードを作成し、他人の目に触れない方法で保管しましょう。

例えば、規則性がなく文章にならないような複数の単語をつなげたり、数字を挟んだりしたものは、外部からわかりにくいです。管理方法はツールやサービスを利用すると、失くしたり忘れたりするリスクを防げます。またパスワードは使い回さずに1つずつ用意すると、セキュリティを強化できます。

ソフトウェアのアップデートを怠らない

個人と同様、ソフトウェアのアップデートはこまめに行いましょう。ソフトウェアが古くなると、脆弱性と呼ばれる不具合が起こります。メーカーからの通知を無視していると、サイバー攻撃を受けるリスクが上がり、最悪の場合は機器の買い替えが必要になるからです。

会社や組織の場合、サイバー攻撃を受けると仕事が進まなくなるなどのリスクがあります。また複数のパソコンが使えなくなってしまうと、買い替えコストもかかるでしょう。

ウイルス対策を行う

企業や組織の場合は、個人よりも強固なウイルス対策が必要です。ソフトウェアの更新や対策ソフトの導入に加えて、怪しいメールが届いた場合は、管理部門に連絡しましょう。

万が一ウイルスに感染してしまったら、パソコンのLANケーブルを抜く、無線LANのスイッチを切るなどの対応が必要です。まずは社内のネットワークから、自分のパソコンを切り離すのが大切です。そして必ず社内の管理部門などに連絡してください。

ウイルスに感染したままネットワークにつなげていると、企業や組織全体に蔓延させてしまう可能性があります。

電子メールを不用意に開封しない

企業や組織のアドレスには、さまざまなメールが届くでしょう。しかし不用意に開封するのは、避けたほうが無難です。近年、ソーシャルエンジニアリングによる被害が急増しています。

ソーシャルエンジニアリングとは、ネットワークに侵入するためのパスワードなどを、情報通信技術を使用せずに盗み出す方法です。具体的には、電話や画面越しに情報を盗み出します。

最近では特定の組織を狙った標的型攻撃メールで、業務に関する内容を装うなどの手法も増えています。標的型攻撃メールとは、対象組織から情報を盗むことを目的とし、被害者に開封するように促したウイルス付きメールを指します。

怪しいメールが届いた場合は、開封せずに上長や情報システムの担当者などに相談しましょう。

Webブラウザの設定を見直す

インターネット上にはさまざまなホームページが存在します。しかし中にはアクセスしただけで、コンピューターシステムが壊れたり、ウイルスに感染したりするものもあります。

対策として、Webブラウザを最新の状態に更新しておくのがポイントです。ウイルス対策ソフトを利用するのもよいでしょう。 またWebブラウザの設定の見直しも大切です。

JavaScriptの実行時に警告を出すようにする、信頼できるWebサイト以外では実行させないなどの対策が有効です。

安全な無線LANを利用する

近年では企業や組織でも、無線LANの導入が進んでいます。また駅やレストランなどの公共の場でも、無線LANを利用できる場所は多いです。そのため、リモートワークなどでオフィスや自宅以外の場所で仕事のパソコンやスマートフォンを使用する従業員もいるでしょう。

しかし、無線LANは電波を利用する通信という性質上、他人に情報を盗まれる危険があります。また公共無線LANの場合は、悪意を持つ第三者が設置している可能性も考えられます。無線LANを利用する際は、必ず安全性を確認しましょう。

ハードウェアを適切に処理する

パソコンやスマートフォンを処分する際は、データを取り出せない状態で捨てるのがポイントです。データを残したまま処分すると、他人に情報を抜き取られる可能性があります。画面上では消えていても、本体にデータが残っていると、特殊なソフトで復元されてしまうケースも存在します。

• データ消去用のソフトウェアを利用する
• データ消去サービスを利用する
• 暗号化消去をする

上記を使用して、必ずハードウェアのデータを消去してから処理をしてください。

テレワーク時の端末の利用ルールを徹底する

テレワークでは、端末の使用ルールをきちんと決めるのがおすすめです。パソコンを電車に置き忘れる、外出先でインターネットにアクセスしてウイルスに感染するなどの事例が、多数報告されています。

具体的には、以下のようなルールを定めましょう。

• 持ち運ぶ必要のない機密事項や個人情報を保存しない
• ログインパスワードは複雑なものにする
• ハードディスクを暗号化する
• ソフトウェアの更新やウイルス対策ソフトを導入する
• 端末が入ったかばんを電車の網棚などに置かない
• 端末にパスワードを書いたメモを貼らない

ただし外部に端末を持ち出す以上、情報セキュリティ上のリスクがあることは覚えておきましょう。

メディアの持ち運びに関するルールを徹底する

メディアとは、USBや外付けHDDなどを指します。小さいのでパソコンよりも紛失しやすく、情報漏洩のリスクが高いです。

テレワークと同様に、ルールを決めるのがおすすめです。

• 持ち運ぶ必要のない機密事項や個人情報を保存しない
• セキュリティ機能つきのUSBメモリや外付けHDDを利用する
• ファイルを開く前はウイルスチェックを行う
• 私物のUSBメモリは使用しない

基本的に持ち出すのは控え、やむを得ないときは注意して管理しましょう。

クラウドサービスは注意を払って利用する

近年、クラウドサービスにデータを保管する企業や組織が増えています。しかしアカウント情報の管理不足などが原因で、不正アクセスによる情報漏洩の被害報告が挙がっているのも事実です。

パスワードは厳重に保管し、限られた人だけが閲覧できるような仕組みを整えるのがポイントです。万が一クラウドのデータが飛んでしまった場合を考え、バックアップを取っておくと安心でしょう。