近年ではどこの家庭にもインターネットが普及し、多くのことがオンラインでできるようになりました。しかし、便利になった反面、インターネットを利用した犯罪も増加の一途を辿っています。
このような犯罪から自分自身の情報を守りつつ安心してインターネットを利用するためには、情報セキュリティ対策が必須です。本記事では、情報セキュリティ対策とはそもそも何か、どのように対策をすればよいかについて解説します。
目次
[ 開く ]
[ 閉じる ]
情報セキュリティ対策とは
情報セキュリティ対策とは、パソコンやネットワーク上で扱う情報の安全を守るために講じる施策です。
コンピューターウイルスやフィッシング詐欺などによる情報流出への対策はもとより、機密情報資料の放置や、紛失・盗難など情報漏洩や犯罪に繋がる行動などに対する施策も含まれます。
このように情報セキュリティ対策の範囲は多岐に渡りますが、情報セキュリティ対策を大きく分けると主に以下の3つに分類されます。
- 技術的対策
- 物理的対策
- 人的対策
次項でそれぞれについて詳しく解説します。
【関連記事】情報セキュリティとは|基本の3要素と4つの追加要素・企業が行うべき対策
技術的対策
技術的対策とは、ハードウェア面もしくはソフトウェア面からセキュリティ設定を強化する対策を指します。例えば、ファイアウォールの設定変更、アクセス権限の制限、ウイルス対策ソフトの導入などです。
オフィスであっても自宅であっても、常にインターネットに繋がっている状態が当たり前になった昨今では、昼夜問わず犯罪グループが企業の機密情報や個人情報を狙っています。そのような犯罪からの脅威に対して、技術的対策を用いて防ぐ必要があるのです。
物理的対策
物理的対策とは、物理的な機器・設備を導入したセキュリティ対策です。例えば、入室時の指紋認証やパスワード認証、監視カメラの設置、パソコンのワイヤーロックや鍵付きキャビネットの導入などです。社員IDを首から下げることも物理的対策と言えます。
情報はパソコンの中だけではなく、紙媒体やCDやDVDといった記憶媒体としても存在し、それらの媒体を盗まれたり、覗き見られたりすることで情報が漏洩してしまう可能性も低くはありません。そのため、部外者が容易にオフィスに入れない、入っても情報の閲覧や持ち出しを防ぐ対策が必要です。
人的対策
人的対策とは、内部から生じる情報漏洩への対策です。この原因のほとんどが、社員や関係する業者からのミスや不正によるものだからです。
実際に、メールの誤送信で個人情報が社外へ漏れてしまった事例や、機密情報が入ったカバンを盗まれたあるいは紛失した事例、社員が機密情報や個人情報を他者へ売った事例などが多数あります。このような事例は決して他人事ではなく、明日にでも自社で起こるかもしれません。
人的要因で生じるセキュリティリスクに備える施策では、操作手順をマニュアル化してミスを防止する、社員教育で情報リテラシーを向上させるなどが挙げられます。
【攻撃の種類別】対策方法一覧と被害例
情報セキュリティにおける攻撃では、まずはウイルス感染や不正侵入が挙げられるでしょう。情報技術の進歩が目覚ましい近年では、その技術がセキュリティ犯罪にも悪用されてしまうからです。攻撃手段や方法が多様化かつ巧妙化しているため、対策方法を知っておく必要があります。また、地震や台風などの自然災害による被害を受けたときに、データの流出や紛失が発生するかもしれません。
次項で想定される以下のセキュリティリスクとその対策、実際の被害の例をご紹介します。
- ウイルス感染
- 不正侵入
- 情報漏洩
- 災害などによる障害
ウイルス感染の対策方法
コンピューターウイルスは個人や組織を標的とし、その被害はウイルスによってさまざまです。例えば、OSやソフトウェアのシステムが破壊される、データを盗まれる、あるいは削除される、パソコンを遠隔操作される、などが挙げられるでしょう。
また、人に不正な操作を促すランサムウェアや標的型攻撃といったウイルス攻撃にも注意しなければなりません。
ランサムウェアは、見知らぬ送信元から届いたメールに書かれたリンクをクリックすると感染するウイルスです。感染するとデータを暗号化してアクセス制限をかけ、解除する代償として金銭の支払いを要求します。また、感染者のコンピューターだけでなく、ネットワークを介して他のコンピューターにも感染していくウイルスです。
標的型攻撃は、特定の組織をターゲットにしたウイルス攻撃です。取引先を装い、ウイルスが仕込まれた添付ファイルを含むメールを送信します。この添付ファイルを開いた社員のパソコンはウイルスに感染してしまうのです。さらに、ウイルスはそのパソコンを踏み台にして社内ネットワークに侵入し、機密情報を抜き取ります。
このようなウイルス感染に対する対策としては、ウイルス対策ソフト、高度なファイアウォールソフト、EDRなどの導入が有効です。EDRは、各社員が操作するパソコン端末を監視し、ウイルスによる不審な挙動が見られたら通知する仕組みを指し、上記のような末端のパソコンで起こりえるウイルス感染の早期発見に役立ちます。
不正侵入の対策方法
インターネットへの常時接続が当たり前といった昨今では、企業のネットワークへの不正侵入は大きな脅威です。実際に、ECサイトのサーバーへ侵入してプログラムを書き換え、個人情報を抜き取るという手口での不正侵入事例が多数報告されています。このECサイトの運営企業は、情報が流出した顧客から損害賠償を求められていました。
また、社内ネットワークに侵入されて、社員のコンピューターやサーバーから機密情報を抜き取られるという被害もあり、このような被害は金銭的な被害だけでなく、企業の信用を大きく失墜させてしまう恐れがあるのです。不正侵入の方法はさまざまですが、サプライチェーン攻撃、ビジネスメール詐欺、不正ログイン、脆弱性の悪用などが挙げられます。
サプライチェーン攻撃とは、まず比較的セキュリティレベルの低い会社へ不正侵入し、その会社のパソコンを踏み台にして、より大手の取引先企業へ侵入する手法です。
ビジネスメール詐欺は、取引先や社員になりすましたメールを送信し、アカウント、機密情報、個人情報などを不正入手したり、偽の送金指示を出したりします。
不正ログインは、不正な方法でアカウント情報を入手し、第三者が本人になりすましてシステムなどにログインする手法です。アカウント情報の入手方法は、コンピューターウイルスなどによる取得だけでなく、盗み見なども含まれます。
脆弱性の悪用は、企業のネットワーク機器やサーバー、OSやソフトウェアなどの欠陥やセキュリティホールを悪用してコンピューターへ侵入する手口です。
このような不正侵入対策としては、ファイアウォール機器を社内ネットワークに設置するのが有効です。なかでもWAFを導入すると、SQLインジェクションやクロスサイトスクリプティングといったWebアプリ独自の脆弱性を狙った不正侵入を検知でき、ファイアウォールやIPSでは検知できない不正アクセスをブロックできるようになります。
情報漏洩の対策方法
これだけ情報セキュリティに対する意識が高まった今でも被害が後を絶たないのが、情報漏洩で個人情報や会社の経営上の情報など、機密性の高い情報が外部に漏れてしまう情報漏洩です。
その要因は様々ですが、テレワークによる働き方が一般的になりつつある現在では、テレワーク環境を狙った攻撃が増加傾向にあります。
例えば、社用パソコンではなく個人パソコンで作業している場合、情報セキュリティ対策が十分になされずウイルスに感染してしまう場合があるのです。ウイルスが個人パソコンからVPNのパスワードを盗み取り、なりすまして社内ネットワークへ侵入して機密情報や個人情報を抜き取る恐れがあります。
また、オフィスにいないテレワーク社員には、社内の監視が行き届かなくなりがちです。そのため、社員が機密情報や個人情報を不正に持ち出し、第三者に渡してしまうという内部不正リスクが高まります。
このような情報漏洩の対策としては、テレワークに利用する個人パソコンへウイルス対策を講じるのはもちろんのこと、各社員のセキュリティリテラシーを向上させることも必須です。定期的に情報セキュリティに関する教育を行うなどの対策も必要となるでしょう。
災害などによる障害の対策方法
最近では、技術の進歩も相まって機器の障害は少なくなりました。しかし、それでも平常時に発生する機器の障害や、災害によって起こる障害は避けられません。
例えば、通信障害が発生すると、サービスの提供や業務の中断や停止をせざるを得ない場合、本来得られていたはずの収益を失うことになります。また、災害の衝撃などでIT基盤などが物理的に故障する恐れもあります。NASなどのディスク障害が発生した場合、多くの情報資産を損失してしまいます。
このような場合の対策としては、ディスクのバックアップを定期的に実施するなど、バックアップ体制の強化が挙げられます。また、社内データのバックアップをデータセンターなどオフィスとは別の場所へ定期的に保管すると、さらに安心です。
セキュリティ対策を実施するときのポイント
情報セキュリティ対策を実施するにあたり、技術的対策・物理的対策・人的対策の3つが必要です。
次項では、そのなかでも押さえておくべきポイントを5つ解説します。
- 社員教育の徹底
- ウイルス・セキュリティソフトの導入
- テレワークへの対応
- 不正アクセスの早期発見
- デバイスのアップデート
社員教育の徹底
パソコンであれば適切な対策を講じることで情報セキュリティはある程度防げますが、実際にパソコンを使う社員の教育にも目を向ける必要があります。
研修や勉強会などを開催し、サイバー犯罪の脅威や実際の人的な情報セキュリティ被害事例などを伝え、全社員に情報セキュリティに対する意識を持たせることが重要です。また、内部からの情報流出などの内部不正も後を絶たないため、機密情報など会社の情報を扱う上でのモラルやリテラシーについても教育を徹底する必要があります。
社内での教育が難しい場合は、外部から講師を招く、あるいは外部のセミナーや講座へ参加させる方法も効果的です。情報セキュリティマネジメント試験などの資格取得を通して、知識を習得させる方法もあります。
ウイルス・セキュリティソフトの導入
コンピューターウイルスや不正アクセスなどを検知およびブロックするためには、社内に設置されているパソコンや社員が利用するパソコンに対して、ウイルス対策ソフト、ファイアウォールソフト、WAFなどの導入が有効です。
最近では無料のセキュリティソフトも多く出ていますが、無料のソフトはサポートを受けられない可能性が高い点に注意しましょう。セキュリティが誤作動を起こしてデータを削除してしまうなど、ソフトの不具合やトラブルが生じたときにも対応してもらえず、業務が遅延する恐れがあります。
テレワークへの対応
企業が貸与しているパソコンであっても、個人で利用しているパソコンであっても、セキュリティ面が不十分だとコンピューターウイルス感染やアカウント情報の抜き取りなどが起こりえます。セキュリティソフトの導入を徹底することが重要です。
また、自宅以外で作業を行う場合は、パソコンの紛失や盗難、第三者による直接的な盗み見、公衆Wi-Fiの利用によるネットワーク上での盗み見なども懸念されます。
これらのリスクに対する施策では、端末に生体認証を設定する、HDDやSDDを暗号化する、遠隔で情報を削除できるツールをインストールしておくなどが挙げられるでしょう。また、覗き見防止用の画面フィルターを利用する、暗号化されていないネットワークを使用しない、席を立つ場合はロックをかけるなど、テレワークにおけるルール整備も必要です。
また、内部不正による社内情報の抜き出しもオフィスにいるときよりも容易になってしまうため、機密情報についてはアクセスできる社員を制限し、アクセス履歴を保存しておくといった事前の対策も有効です。
不正アクセスの早期発見
ファイアウォールを導入している企業であれば、定期的なアクセスログの確認やログの保存を行うと、不正アクセスを早期に発見しやすくなります。
また、不正な通信であってもファイアウォールをすり抜ける可能性もあるため、IDS(不正侵入検知システム)を併用すると安心です。IDSにあらかじめ侵入パターンを登録しておくと、その方法で侵入しようとする通信があれば検知します。また、IDSは通常時には生じない異常なパケットが見られた場合も検知するため、不正アクセスの早期発見が可能になるのです。
デバイスのアップデート
意外と見落としがちなのがデバイスのアップデートです。デバイスのアップデートは、不具合の解消だけでなく脆弱性の改善といったセキュリティにとって重要な更新も含まれていることが多いため、定期的なアップデートを心がけましょう。
アップデートの内容は、パソコンやモバイル端末であればOSのアップデートやパッチの適用、セキュリティ機器であればファームウェアのアップデートなどです。ただし、適用したアップデートが原因で不具合が生じることもあるため、端末とデータのバックアップを行っておくことを推奨します。
まとめ
さまざまなデバイスがネットワークで接続されるようになった現在では、情報セキュリティに対する脅威も大きくなっています。自社サイバー犯罪の被害に遭わないだけでなく、サイバー犯罪に加担しないためにも、常日頃から高い情報セキュリティ意識を持ち、対策に努めていくことが大切です。
より強固なセキュリティ対策を構築したいとお考えでしたら、高度なセキュリティを備えた企業が提供するサービスを活用する方法があります。
GMOグローバルサイン |
政府レベルの強固な情報セキュリティを提供する企業で、ヨーロッパで初めてWebTrustを取得した信頼性の高さが特徴です。 クラウド型IDマネジメントサービス、オンラインの顔認証サービス、PKI(公開鍵暗号基盤)技術を活用したIoTデバイスセキュリティサービスなど、様々なセキュリティサービスを提供しています。 |
---|---|
GMOブランドセキュリティ |
「すべてのブランドにセキュリティを」というモットーの下、重要な経営資源であるブランドへの脅威やリスクを可視化し、ブランド保護のための全世界の商標・ドメイン取得代行、ウェブ監視、侵害対策等のサービスを展開しています。 特に、第三者によるブランドのなりすまし、フリーライド、模倣品販売などのブランド毀損行為への対策は、一部上場企業を中心に多くの実績を誇ります。 |
GMOサイバーセキュリティ byイエラエ |
多数在籍する国内トップクラスのホワイトハッカーの技術を活用し、情報セキュリティにおけるソリューションを提供する企業です。 脆弱性診断や侵入テストなどの実施のほか、企業のインシデント対策やセキュリティ対策の構築や改善などを支援します。 |
自社の情報セキュリティを高めて機密情報や個人情報を守ることは、自社の価値や評判を守ることでもあります。これを機に、セキュリティ施策を見直してみてはいかがでしょうか。
文責:GMOインターネットグループ株式会社