by
情報セキュリティ対策は何をすべき?
具体策や重要性、改善ポイントを紹介
2021年12月20日 公開
2023年12月4日 更新
サイバー攻撃による被害が増加する昨今、適切な情報セキュリティ対策はどの企業においても重要な課題です。しかし、具体的にどのような情報セキュリティ対策をおこなえばいいのか、お悩みの経営者・担当者の方も多いのではないでしょうか。
今回は、情報セキュリティ対策の重要性やポイントを実際の被害事例とあわせて具体的に解説します。この記事を参考に、自社にマッチした情報セキュリティ対策を実現しましょう。
この記事の内容(クリックで開閉します)
1. そもそも「セキュリティ」とは
「セキュリティ(Security)」とは、警護や警備、防衛などの意味を持つ英単語です。個人や企業の財産や国家の安全保障など、幅広い対象を守る意味でセキュリティという言葉が使われます。
一方、IT分野におけるセキュリティは情報資産を守り、安全にIT技術を活用できるよう保護することです。保護する対象によって「情報セキュリティ」「サイバーセキュリティ」「コンピューターセキュリティ」「ネットワークセキュリティ」の4種類に分類されます。
それぞれについては以下の記事で詳しく解説しています。併せて参考にしてください。
2. 情報セキュリティ対策とは
そもそも情報セキュリティ対策とは何なのか、概要と重要性を見ていきましょう。
2.1. 情報セキュリティの3要素
情報セキュリティには以下の3要素があり、この3要素を維持することが情報セキュリティ対策の基本です。
- 機密性:アクセス認可者のみが情報にアクセスできること
- 完全性:情報および処理方法が正確かつ完全であること
- 可用性:アクセス認可者が必要なときに情報および関連する資産にアクセスできること
情報セキュリティ対策はサイバー攻撃への対策のみと思われがちですが、機器の故障や災害時など3要素のいずれかに影響をおよぼす事象への対策をすべて含める必要があります。
3. なぜ情報セキュリティ対策に取り組む必要があるのか
企業や組織にとって、情報セキュリティへの取り組みは重要な課題の1つといえます。その重要性について、4つの理由を解説します。
3.1. 会社の存続に関わるため
サイバー攻撃を受けたことにより情報漏洩やサービス停止などのトラブルが発生すると、復旧するまで売り上げが立たなくなり会社の存続に関わってきます。 また顧客や取引先に多大な影響を及ぼし、会社としての信頼を失うことになります。場合によっては損害賠償が必要となる場合もあるでしょう。一度失った信頼を取り戻すには長い時間がかかり、会社の存続にも関わりかねません。 こうしたリスクを回避するためには、情報セキュリティ対策の取り組みが必須です。
3.2. 業務停止のリスクを回避するため
システムへの攻撃によって業務に使用しているデータが破損したりシステムが利用できなくなったりすると、業務停止につながるリスクがあります。たとえば製造業であれば、業務が停止している間は製造ラインが止まってしまい、会社の業績に大きな影響を及ぼします。
デジタルデータやシステムの利活用が一般化している現代において、安定して業務を継続するためにも情報セキュリティ対策の取り組みが欠かせません。
3.3. 会社の情報資産を守るため
会社の情報資産には、顧客の情報だけでなく自社内の人事情報や社内資料、システムのソースコードなど多くの情報が含まれます。こうした社内情報が漏洩した場合、自社のノウハウや戦略などが競合他社に流れてしまうリスクがあります。
3.4. 日々巧妙化するサイバー攻撃に備えるため
近年のサイバー攻撃は巧妙化し、対策が甘い部分を突く攻撃が増加しています。また、攻撃手法も日々新しいものが生まれています。そのため、すでに対策を講じてあったとしても常に最新の手法を取り入れていく必要があります。
4. 情報セキュリティ被害の事例
ここでは、情報セキュリティ対策を怠った結果として発生しうるリスクを実際に発生した被害をもとに解説します。
4.1. 不正アクセスによる被害
設定ミスや脆弱性を悪用する攻撃での不正アクセス事例は数多く発生しています。
過去には、某大手美容系会社のホームページにおいて資料請求のために登録された数万件以上の氏名、住所、年齢、メールアドレスなどの個人情報が漏洩する事象が発生しました。この事象はWebサーバーの設定ミスにより第三者が保管された個人情報にアクセスできるようになっていたことが原因でした。 このような被害を防ぐためには、脆弱性調査などを実施し、適切なアクセス制限が実施されているか、悪用されうる脆弱性がないかなどを確認する必要があります。
4.2. マルウェア感染による被害
有名ダウンロードサイトから配布されているソフトをインストールしようとした利用者が巧妙に準備された偽サイトに誘導され、悪性のボットをインストールしてしまったという事例があります。近年は利用者を騙す手口が巧妙化しており、検索エンジンなどで表示される情報すべてが安全とは限らなくなっています。
マルウェアの感染を防ぐためには、危険なメールではないか、正規サイトであるかなど、安全性を複数の基準で判断するITリテラシーを身につけるとともに、ウイルス対策ソフトの導入などの基本の徹底が必要です。
4.3. 悪意のあるメールによる被害
現在のメール攻撃の主流は、不特定多数に送信されるスパムメールから、組織の特定担当者を狙った巧妙な標的型攻撃メールへと変わってきています。一度メールのURLや添付ファイルを開いてしまうと、そこから情報を外部に送信したり情報を勝手に暗号化して読み取り不能にしたりといった被害を受ける可能性があります。
巧妙かつ危険度の高い標的型攻撃メールからの被害を防ぐためには、システム的に不審メールを排除する仕組み、正規メールを見分ける従業員のITリテラシー向上などが必須です。
4.4. 侵入、窃盗による被害
情報資産が第三者でも立ち入れる場所に保管されていると、侵入や窃盗によって物品紛失や情報漏洩といった被害が発生する可能性があります。実際、社外に持ち出されたノートパソコンなどのモバイル端末が盗難にあう事例が多く発生しています。
情報資産の格付け区分に応じて認証が設けられた区域に保存をおこなうほか、情報資産を外部に持ち出した際の対策として暗号化や、遠隔でデータの削除が可能なリモートワイプなどを導入するようにしましょう。
4.5. 災害による被害
情報セキュリティ対策を怠ると、自然災害により機器のネットワークや電源が断たれた場合、長期にサービスが停止したり保存された情報が破損したりする可能性があります。
いつ大きな自然災害が発生するかは予想ができません。万が一の大災害発生に備え耐震・耐火などの物理対策をおこなうとともに、バックアップ環境の準備などをする必要があります。
5. 【企業向け】情報セキュリティ対策の具体策とポイント
前述した情報セキュリティ被害をもとに、企業や組織内でできる具体的な情報セキュリティ対策を、人的対策・システム対策・物理的対策の3つの観点でご紹介します。
5.1. 人的対策
5.1.1. 従業員のリテラシーの向上
不審サイトからのマルウェア感染や標的型攻撃メールの被害を防ぐためには、従業員のリテラシー向上が非常に重要です。日々発生する巧妙な手口の攻撃から身を守るためにどういった判断基準で正規のサイト・メールかを判断するのかなどの教育を徹底しましょう。
不審サイトや標的型攻撃メールのURLや添付をクリックしてしまった場合に、社内LANからパソコンを切り離したり、社内の情報システム部門へ連絡するなど、クリックしたあとの対処も重要です。また、不審なメールの存在に気付いた場合の対処についても、社内のルール徹底や教育が必要です。
セキュリティ教育は一度実施すればよいものではなく、定着するまで繰り返し実施する必要があります。自社に教育ノウハウがない場合には外部のセキュリティ研修サービスや標的型攻撃メール訓練を利用するのも有効でしょう。
QT PROでは、お客さまのご希望に合わせたフルカスタマイズのセキュリティ研修をご提供する「QT PRO セキュリティ研修サービス」や、標的型攻撃の疑似メールを社員に送信することでセキュリティ意識を向上させる「QT PRO 標的型メール訓練サービス」を提供しています。
5.1.2. データ管理に関するルールの徹底
侵入や窃盗による被害を防ぐため、データ管理に関するルールを作成、徹底しましょう。
具体的には、情報の機密性区分を定めてそれぞれの保管場所に必要なセキュリティ要件を定義します。データを外部に持ち出す場合にも、持ち出し可能な情報区分や持ち出し時の申請、管理方法などを定義しておきましょう。 これらのルールを明確に定義してセキュリティ教育をおこない、ルールの徹底を図ります。
5.2. システム対策
5.2.1. セキュリティ対策ソフトの導入
マルウェア感染の対策のためにはセキュリティ対策ソフトを導入しましょう。管理サーバーをたてて各端末での検知状況を一元管理できるようにしておくと、より効果的な情報セキュリティ対策が可能です。
近年ではAIを活用して未知のマルウェア対策をおこなうセキュリティ対策ソフトも登場しています。巧妙化する感染手口に備えるためにも積極的に活用しましょう。
QT PROでは、セキュリティ専門者による管理サーバーの構築や検知監視などの運用代行をおこなう「CylancePROTECT® マネージドサービス」をご提供しています。
5.2.2. アクセス権の管理、暗号化技術などの導入
不正アクセスへの対策としてアクセス権の管理や暗号化技術の導入をおこないましょう。退職した社員のアカウントなどが悪用されないよう、アクセス権設定は定期的に棚卸をする必要があります。
また、暗号化技術を利用して盗み見などから情報漏洩が発生しないよう対策が必要です。
QT PROでは、閉域網接続やアクセス認証機能によりモバイル端末から社内の業務システムへの安全なアクセスを実現するサービス「QT PRO セキュアモバイル」を提供しています。
5.2.3. システムの脆弱性調査
不正アクセスへの対策には脆弱性調査も重要です。セキュリティ診断サービスを利用することで、設定の不備やOS・ミドルウェアなどに潜む脆弱性を網羅的に洗い出すことができます。 新しいサーバーやシステム、サービスなどを構築する際はもちろん、定期的にセキュリティ診断を実施し、設定の不備や脆弱性が放置されたまま稼働しないよう対策しましょう。
QT PROでは、OSやミドルウェアに存在する脆弱性や設定上の不備を洗い出しシステムの抜本的な対処を手助けする「QT PRO プラットフォーム診断サービス」を提供しています。
5.2.4. 高セキュリティなネットワークの導入
地理的に距離の離れた拠点間で通信をおこなう場合やテレワークなどで社外から社内ネットワークにアクセスする場合には、セキュリティの高いネットワーク環境を構築することも重要な情報セキュリティ対策となります。
特にVPNは、低コストでセキュアな通信を実現する、現代に必要不可欠な技術です。セキュリティ性が高く使い勝手のよいWAN環境の構築にはVPNサービスを活用しましょう。
VPNをご導入の際は、インターネットVPN、エントリーVPN、広域イーサネットなどお客さまの環境に応じた低コストのVPN接続が実現できるQT PROのVPNサービスをぜひご利用ください。
5.3. 物理的対策
5.3.1. 入退室システムの導入
第三者の不正侵入、窃盗被害を防ぐために入退出システムを導入しましょう。
導入の際は、保存している情報資産に応じてどの程度の認証レベルを必要とするのかを検討する必要があります。サーバールームなど機密性の高い情報を保存する区域へはIDカードによる認証に加え顔認証などの生体認証を取り入れるなど、複数要素での認証を必須とするのが基本です。
5.3.2. 警備システムの導入
第三者の不正侵入が発生した場合でもすぐに検知・排除ができるよう、警備システムの導入が必要です。 営業時間外には事務所内の警備システムを作動させ、不正な侵入があった場合はすぐに警備会社に通報、警備員が排除できる体制を整えておくようにしましょう。
5.3.3. 耐震・耐火など災害対策
ネットワークやサーバーなどのIT機器を保存する場所には耐震・耐火などの災害対策を意識しましょう。機器のネットワーク・電源断が発生した際に備えてバックアップがとれる体制を整えておくことも重要です。
自社内でこれらの環境を整えることが難しい場合には、データセンターを活用しましょう。データセンターであればIT機器の保管に適した環境が整えられるとともに、バックアップ環境の構築も容易になります。
QT PROでは、安定したサービス実績と万全のサポート体制、主要都市からの高いアクセス性、安心・安全な立地環境、建物の高信頼ファシリティを誇る「QT PRO データセンターサービス」を提供しています。
6. 【個人向け】情報セキュリティ対策の具体策とポイント
ここからは、個人でできる具体的な情報セキュリティ対策をご紹介します。
6.1. OSやソフトウェアのバージョンを最新に保つ
攻撃者はOSやソフトウェアの脆弱性を探し、攻撃する方法を生み出しています。一方、OSやソフトウェアのベンダーはそれに対応するために日々アップデートをおこなっています。
OSやソフトウェアを古いバージョンのまま放置することは、攻撃者に攻撃の隙を与えることにつながります。OSやソフトウェアのバージョンを最新に保ち、攻撃者に隙を与えないようにしましょう。
6.2. IDやパスワードを使いまわさない
複数のサービスでIDやパスワードを使いまわしていると、一つのサービスからID・パスワードが漏洩した場合に他のサービスのアカウントまで乗っ取られてしまう可能性が高まります。ID・パスワードはサービスごとに設定し、使い回さないようにしましょう。
6.2.1 「コアパスワード」とは
サービスごとにID・パスワードを分けると、それだけたくさんのID・パスワードを覚えなければなりません。かといって覚えやすく簡単なパスワードではセキュリティ対策の意味が弱まってしまいます。
そこで、覚えやすくかつ強固なパスワードを作る方法として「コアパスワード」という考え方があります。
コアパスワードとは、自分で決めた任意のフレーズを強度の高いパスワードに変換し、そのパスワードにサービスごとの識別子をプラスする方法です。
たとえば「カフェが好き」というフレーズを軸にする場合、まず「cafegasuki」とアルファベットにし、次に「c@feGAsuk1」といったように記号を追加したり一部を大文字にしたりして強度を高めます。
そして強度を高めた文字列をベースに、最後にサービスごとの識別子をプラスしてパスワードにします。
たとえばGoogleなら「Goo」+「c@feGAsuk1」、Yahoo!JAPANなら「Yah」+「c@feGAsuk1」などです。この方法であれば、自分が覚えやすいパスワードでサービスごとに強固なパスワードを設定できるでしょう。
6.3. 覚えのない電子メールを開封しない
近年、自分の関係者や関係組織になりすましてフィッシングサイトへの誘導やウイルス感染を狙う標的型攻撃メールの被害が増加しています。
一見、関係者からと思われるメールであっても、覚えのない電子メールやURL、添付ファイルは開かないようにしましょう。少しでも電子メールに不安な点があれば電話など別の方法で連絡し、確認を取ったうえで開くようにしましょう。
6.4. 正規のホームページかを確認する
Webサイトを閲覧する場合は、正規のホームページかどうかを確認しましょう。正規でないホームページにアクセスすると、入力したID・パスワードが悪用される、パソコンがウイルスに感染するなど、さまざまなリスクがあります。
「qtnet」が「9tnet」になっている、「.com」「.xyz」などドメインが異なるなどURLの一部が正規のものと違う場合や、ホームページの日本語表記がおかしい、文字化けしているなどの場合は、正規のホームページではない可能性が高いため注意しましょう。
6.5. パブリックネットワークの利用中に仕事はしない
パブリックネットワークとは、駅やカフェのWi-Fiなど、公共に開かれたネットワークのことです。パブリックネットワークは誰でも接続ができてしまい、社内や自宅のネットワークよりもセキュリティが弱くなっています。パブリックネットワーク接続時に個人情報や社内の機密情報をやり取りすると悪意のある人によって内容を盗み見られる可能性があるため、パブリックネットワークでは仕事をしないようにしましょう。
6.6. SNSに個人情報を書き込まない
最近では、SNSに投稿した情報が漏洩しトラブルにつながるケースも増えています。SNSではアクセス権の設定もできますが、基本的には不特定多数から閲覧されるものです。会社の情報や住所、名前はもちろん、個人や会社を特定できる個人情報の投稿はやめましょう。
また、何気なく撮った写真や日々の投稿から意図せず個人情報が特定されるケースもあります。写真を投稿する際には、事前に個人情報が映り込んでいないかをよくチェックしましょう。
6.7. パソコンやドライブを廃棄する際は初期化する
パソコンやUSBメモリなどデータを記憶する媒体を破棄する際には、物理的な破壊や初期化など、記憶したデータを読み取られない対策をおこないましょう。た とえデータを暗号化していても、データが残ったままだと読み取られて情報漏洩につながることも。個人では対応が難しい場合は廃棄専門業者に引き取ってもらう方法もあります。
7. 「ゼロトラスト」の取り組みで情報セキュリティを高める
ゼロトラストとは、情報資産に対するすべてのアクセスに均等に適切な情報セキュリティ対策を講じるべきという考え方です。近年では、クラウドサービスの利活用やテレワークの普及など、社内と社外の境界が不明確になってきたことで、ゼロトラストの考え方を取り入れたセキュリティの構築が注目されています。
ゼロトラストの具体的な取り組みには、通信内容の可視化や認証の強化などが挙げられます。以下の記事で詳しく解説しているので、ぜひ参考にしてください。
7.1. 実現させるソリューション
ゼロトラストを実現するためのソリューションとしては以下の6つが挙げられます。
| セキュリティの種類 | 概要 |
|---|---|
| ネットワークセキュリティ | 不正通信の検知・遮断などネットワークを保護するソリューション |
| クラウドセキュリティ | クラウド通信の可視化や不正アクセス防止などクラウドデータを保護するソリューション |
| エンドポイントセキュリティ | クライアント端末のウイルス対策、リモートワイプをおこなうソリューション |
| Webアプリケーション保護(WAF) | Webアプリケーションへの不正アクセス・操作防止などWebアプリケーションを保護するソリューション |
| 監視体制 | 収集した通信データやアクセスログなどの分析や監視などセキュリティ監視をおこなうソリューション |
| SASE | ネットワーク機能とセキュリティ機能を包括し、統合的なセキュリティ対策を提供するソリューション |
会社によってどのソリューションを重点的に強化すべきかは異なります。また導入したソリューションをどう運用していくかも重要です。
QT PROでは課題に合わせたセキュリティ機器やソフトの導入や、24時間365日体制でセキュリティ運用管理をおこなう「QT PRO マネージドセキュリティ」を提供しています。社内の情報セキュリティ対策強化にお悩みの際はぜひお気軽にお問合せください。
8. QT PROで情報セキュリティ対策をより盤石に、より高度に
情報セキュリティ対策においては、さまざまな観点からリスクを把握し包括的な対策を実施する必要があります。しかし、コストや人材などの要因で思うように情報セキュリティ対策が進まず、お困りの経営者・担当者の方もいらっしゃるかと思います。
QT PROでは、経済産業省が設定する情報セキュリティサービス基準を満たすサービスを含むセキュリティサービスを複数用意しており、企業としてISMSとプライバシーマークも取得しています。 QT PROのセキュリティおよびネットワークサービスを活用すれば、企業の情報セキュリティ対策をより盤石かつ高度にすることができます。情報セキュリティ対策に関してお困りごとがございましたら、ぜひお気軽にお問合せください。
9. まとめ
ここまで、情報セキュリティ対策の概要や具体的な対策内容について解説してきました。 機密性・完全性・可用性の3要素を維持し、情報セキュリティにおけるリスクマネジメントをおこなうことは必要不可欠です。適切な情報セキュリティ対策を施すことでサイバー攻撃や自然災害などにより情報セキュリティ被害を防ぎ、企業としての信頼向上を図れます。
この記事を参考に、ぜひ万全な情報セキュリティ対策を実現していきましょう。
