情報セキュリティ対策は何をすべき？
重要性とポイントを紹介

サイバー攻撃が増加を続ける昨今、適切な情報セキュリティ対策はどの企業においても重要な課題です。しかし、具体的にどのような情報セキュリティ対策をおこなえばいいのかお悩みの経営者・担当者の方も多いのではないでしょうか。

今回は、情報セキュリティ対策の重要性やポイントを実際の被害事例とあわせて具体的に解説します。この記事を参考に、自社にマッチした情報セキュリティ対策を実現しましょう。

この記事の内容(クリックで開閉します）

1. 情報セキュリティ対策とは
   1. 1.1. 情報セキュリティの3要素
   2. 1.2. なぜ情報セキュリティ対策に取り組む必要があるのか
2. 情報セキュリティ被害の事例
   1. 2.1. 不正アクセスによる被害
   2. 2.2. マルウェア感染による被害
   3. 2.3. 悪意のあるメールによる被害
   4. 2.4. 侵入、窃盗による被害
   5. 2.5. 災害による被害
3. 情報セキュリティ対策の具体策とポイント
   1. 3.1. 人的対策
   • 3.1.1. 従業員のリテラシーの向上
   • 3.1.2. データ管理に関するルールの徹底
   2. 3.2. システム対策
   • 3.2.1. セキュリティ対策ソフトの導入
   • 3.2.2. アクセス権の管理、暗号化技術などの導入
   • 3.2.3. システムの脆弱性調査
   • 3.2.4. 高セキュリティなネットワークの導入
   3. 3.3. 物理的対策
   • 3.3.1. 入退室システムの導入
   • 3.3.2. 警備システムの導入
   • 3.3.3. 耐震・耐火など災害対策
4. QT PROで情報セキュリティ対策をより盤石、より高度に
5. まとめ

1. 情報セキュリティ対策とは

そもそも情報セキュリティ対策とは何なのか、概要と重要性を見ていきましょう。

1.1. 情報セキュリティの3要素

情報セキュリティには以下の3要素があり、この3要素を維持することが情報セキュリティ対策の基本となります。

機密性：アクセス認可者のみが情報にアクセスできること

完全性：情報および処理方法が正確かつ完全であること

可用性：アクセス認可者が必要なときに情報および関連する資産にアクセスできること

情報セキュリティ対策はサイバー攻撃への対策のみと思われがちですが、機器の故障や災害時など3要素のいずれかに影響をおよぼす事象への対策をすべて含める必要があります。

1.2. なぜ情報セキュリティ対策に取り組む必要があるのか

情報セキュリティ対策を怠り「情報漏洩が発生する」「サービス停止状態に陥る」などといった事象が発生すると、顧客に大きな影響を及ぼし、会社としての信頼を失うことになります。場合によっては損害賠償が必要となる場合も。

サイバー攻撃の増加により大手企業でも情報セキュリティインシデントが複数発生している今、どのような規模の企業であっても、適切な情報セキュリティ対策を実施しセキュリティリスクに備えることは必須です。

2. 情報セキュリティ被害の事例

ここでは、情報セキュリティ対策を怠った結果として発生しうるリスクを実際に発生した被害をもとに解説します。

2.1. 不正アクセスによる被害

設定ミスや脆弱性を悪用する攻撃での不正アクセス事例は数多く発生しています。
過去には、某大手美容系会社のホームページにおいて資料請求のために登録された数万件以上の氏名、住所、年齢、メールアドレスなどの個人情報が漏洩する事象が発生しました。この事象はWebサーバーの設定ミスにより第三者が保管された個人情報にアクセスできるようになっていたことが原因でした。 このような被害を防ぐためには、脆弱性調査などを実施し、適切なアクセス制限が実施されているか、悪用されうる脆弱性がないかなどを確認する必要があります。

2.2. マルウェア感染による被害

有名ダウンロードサイトから配布されているソフトをインストールしようとした利用者が巧妙に準備された偽サイトに誘導され、悪性のボットをインストールしてしまったという事例があります。近年は利用者を騙す手口が巧妙化しており、検索エンジンなどで表示される情報すべてが安全とは限らなくなっています。

マルウェアの感染を防ぐためには、危険なメールではないか、正規サイトであるかなど、安全性を複数の基準で判断するITリテラシーを身につけるとともに、ウイルス対策ソフトの導入などの基本の徹底が必要です。

2.3. 悪意のあるメールによる被害

現在のメール攻撃の主流は、不特定多数に送信され危険性の高くなかったスパムメールから、組織の特定担当者を狙った巧妙な標的型攻撃メールへと変わってきています。一度メールのURLや添付ファイルを開いてしまうと、そこから情報を外部に送信したり情報を勝手に暗号化して読み取り不能にしたりといった被害を受ける可能性があります。

巧妙かつ危険度の高い標的型攻撃メールからの被害を防ぐためには、システム的に不審メールを排除する仕組み、正規メールを見分ける従業員のITリテラシー向上などが必須です。

2.4. 侵入、窃盗による被害

情報資産が第三者でも立ち入れる場所に保管されていると、侵入や窃盗によって物品紛失や情報漏洩といった被害が発生する可能性があります。実際、社外に持ち出されたノートパソコンなどのモバイル端末が盗難にあう事例が多く発生しています。

情報資産の格付け区分に応じて認証が設けられた区域に保存をおこなうほか、情報資産を外部に持ち出した際の対策として暗号化や、遠隔でデータの削除が可能なリモートワイプなどを導入するようにしましょう。

2.5. 災害による被害

情報セキュリティ対策を怠ると、自然災害により機器のネットワークや電源が断たれた場合、長期にサービスが停止したり保存された情報が破損したりする可能性があります。

いつ大きな自然災害が発生するかは予想ができません。万が一の大災害発生に備え耐震・耐火などの物理対策を行うとともに、バックアップ環境の準備などをする必要があります。

3. 情報セキュリティ対策の具体策とポイント

前項で解説した情報セキュリティ被害をもとに、具体的な情報セキュリティ対策を人的対策・システム対策・物理的対策の3つの観点で紹介します。

3.1.人的対策

3.1.1. 従業員のリテラシーの向上

不審サイトからのマルウェア感染や標的型攻撃メールの被害を防ぐためには、従業員のリテラシー向上が非常に重要です。日々発生する巧妙な手口の攻撃から身を守るためにどういった判断基準で正規のサイト・メールかを判断するのかなどの教育を徹底しましょう。

不審サイトや標的型攻撃メールのURLや添付をクリックしてしまった場合に、社内LANからPCを切り離したり、社内の情報システム部門へ連絡する等、クリックした後の対処も重要です。また、不審なメールの存在に気付いた場合の対処についてもあわせて、社内のルール徹底や教育が必要です。

セキュリティ教育は一度実施すれば良いものではなく、定着するまで繰り返し実施する必要があります。自社に教育ノウハウがない場合には外部のセキュリティ研修サービスや標的型攻撃メール訓練を利用するのも有効でしょう。

QT PROでは、お客さまのご希望に合わせたフルカスタマイズのセキュリティ研修をご提供する「QT PRO セキュリティ研修サービス」や、標的型攻撃の疑似メールを社員に送信することでセキュリティ意識を向上させる「QT PRO 標的型メール訓練サービス」を提供しています。

3.1.2. データ管理に関するルールの徹底

侵入や窃盗による被害を防ぐため、データ管理に関するルールを作成、徹底しましょう。
具体的には、情報の機密性区分を定めてそれぞれの保管場所に必要なセキュリティ要件を定義します。データを外部に持ち出す場合にも、持ち出し可能な情報区分や持ち出し時の申請、管理方法などを定義しておきましょう。 これらのルールを明確に定義してセキュリティ教育をおこない、ルールの徹底を図ります。

3.2. システム対策

3.2.1. セキュリティ対策ソフトの導入

マルウェア感染の対策のためにはセキュリティ対策ソフトを導入しましょう。管理サーバーをたてて各端末での検知状況を一元管理できるようにしておくと、より効果的な情報セキュリティ対策が可能です。

近年ではAIを活用して未知のマルウェア対策をおこなうセキュリティ対策ソフトも登場しています。巧妙化する感染手口に備えるためにも積極的に活用しましょう。

QT PROでは、セキュリティ専門者による管理サーバーの構築や検知監視などの運用代行をおこなう「CylancePROTECT® マネージドサービス」をご提供しています。

3.2.2. アクセス権の管理、暗号化技術などの導入

不正アクセスへの対策としてアクセス権の管理や暗号化技術の導入をおこないましょう。退職した社員のアカウントなどが悪用されないよう、アクセス権設定は定期的に棚卸をする必要があります。

また、暗号化技術を利用して盗み見などから情報漏洩が発生しないよう対策が必要です。

QT PROでは、閉域網接続やアクセス認証機能によりモバイル端末から社内の業務システムへの安全なアクセスを実現するサービス「QTPRO セキュアモバイル」を提供しています。

3.2.3. システムの脆弱性調査

不正アクセスへの対策には脆弱性調査も重要です。セキュリティ診断サービスを利用することで、設定の不備やOS・ミドルウェアなどに潜む脆弱性を網羅的に洗い出すことができます。 新しいサーバーやシステム、サービスなどを構築する際はもちろん、定期的にセキュリティ診断を実施し、設定の不備や脆弱性が放置されたまま稼働しないよう対策しましょう。

QT PROでは、OSやミドルウェアに存在する脆弱性や設定上の不備を洗い出しシステムの抜本的な対処を手助けする「QT PRO プラットフォーム診断サービス」を提供しています。

3.2.4. 高セキュリティなネットワークの導入

地理的に距離の離れた拠点間で通信をおこなう場合やテレワークなどで社外から社内ネットワークにアクセスする場合には、セキュリティ性の高いネットワーク環境を構築することも重要な情報セキュリティ対策となります。

特にVPNは、低コストでセキュアな通信を実現する、現代に必要不可欠な技術です。セキュリティ性が高く使い勝手の良いWAN環境の構築にはVPNサービスを活用しましょう。

VPNをご導入の際は、インターネットVPN、エントリーVPN、広域イーサネットなどお客さまの環境に応じた低コストのVPN接続が実現できるQT PROのVPNサービスをぜひご利用ください。

3.3. 物理的対策

3.3.1. 入退室システムの導入

第三者の不正侵入、窃盗被害を防ぐために入退出システムを導入しましょう。

導入の際は、保存している情報資産に応じてどの程度の認証レベルを必要とするのかを検討する必要があります。サーバールームなど機密性の高い情報を保存する区域へはIDカードによる認証に加え顔認証などの生体認証を取り入れるなど、複数要素での認証を必須とするのが基本です。

3.3.2. 警備システムの導入

第三者の不正侵入が発生した場合でもすぐに検知・排除ができるよう、警備システムの導入が必要です。 営業時間外には事務所内の警備システムを作動させ、不正な侵入があった場合はすぐに警備会社に通報、警備員が排除できる体制を整えておくようにしましょう。

3.3.3. 耐震・耐火など災害対策

ネットワークやサーバーなどのIT機器を保存する場所には耐震・耐火などの災害対策を意識しましょう。機器のネットワーク・電源断が発生した際に備えてバックアップがとれる体制を整えておくことも重要です。

自社内でこれらの環境を整えることが難しい場合には、データセンターを活用しましょう。データセンターであればIT機器の保管に適した環境が整えられるとともに、バックアップ環境の構築も容易になります。

QT PROでは、安定したサービス実績と万全のサポート体制、主要都市からの高いアクセス性、安心・安全な立地環境、建物の高信頼ファシリティを誇る「QT PRO データセンターサービス」を提供しています。

4.QT PROで情報セキュリティ対策をより盤石、より高度に

情報セキュリティ対策においては、さまざまな観点からリスクを把握し包括的な対策を実施する必要があります。しかし、コストや人材などの要因で思うように情報セキュリティ対策が進まず、お困りの経営者・担当者の方もいらっしゃるかと思います。

QT PROでは、経済産業省が設定する情報セキュリティサービス基準を満たすサービスを含むセキュリティサービスを複数用意しており、企業としてISMSとプライバシーマークも取得しています。 QT PROのセキュリティおよびネットワークサービスを活用すれば、企業の情報セキュリティ対策をより盤石かつ高度にすることができます。情報セキュリティ対策に関してお困りごとがございましたら、ぜひお気軽にお問い合わせください。

5. まとめ

ここまで、情報セキュリティ対策の概要や具体的な対策内容について解説してきました。 機密性・完全性・可用性の3要素を維持し、情報セキュリティにおけるリスクマネジメントをおこなうことは必要不可欠です。適切な情報セキュリティ対策を施すことでサイバー攻撃や自然災害などにより情報セキュリティ被害を防ぎ、企業としての信頼向上を図れます。

この記事を参考に、ぜひ万全な情報セキュリティ対策を実現していきましょう。

---