セキュリティ対策には、「技術的対策」「物理的対策」「人的対策」という3つの考え方が存在しています。

今回は、これらが具体的にどのような対策のことを指しているのかということについてご紹介します。

技術的対策

システムやデータ、ネットワークなどのセキュリティリスクに対して、ハードウェアやソフトウェアから対応する対策です。技術的なセキュリティリスクは「ウイルス対策」や「不正アクセス」「データ保護」など分野が多岐にわたるため、何に対する対策なのか明確化することが大切です。
また、技術は日ごとに進歩しているため、随時、対策の見直し・更新を行っていくことが必要になってきます。
具体的には以下のような取り組みが挙げられます。

1.　ツールやシステムの導入・設定

何に対応するかによって導入すべきものも異なってきますが、技術的対策ではやはりセキュリティソフトなどを導入・設定して守りを固めることが大切です。
以下のような対策が挙げられます。

• ウイルス対策ソフトを導入し、ウイルス感染を防ぐ
• ファイアウォールやDMZ、IDS/IPSなどを設置・構築することで不正アクセスを防ぐ
• ログ監視ツールを導入し、不正アクセスや従業者の不審な動きを監視する
• アクセス制御のできるツール・サービスを導入し、権限管理を行う
• PCのディスク暗号化や暗号化機能付きUSBを利用し、端末紛失時の情報漏えいを防ぐ

2.　仕組み化で技術的対策を行う

ツールやサービスの導入は、「費用や人員など様々なコストがかかる」「現状のシステムに影響を与える可能性がある」といった理由から簡単ではないかもしれません。
技術的対策はツールを導入する以外に、現状のルールにもう一工夫することでもある程度対応することが可能です。
以下では、仕組み化による技術的対策の例を挙げてみます。

• 利用可能なソフトウェアをホワイトリスト・ブラックリスト化する
• OSやソフトウェアのアップデートルールを決める（最新版利用など）
• データやツールの利用可能者を明確化し、アクセス制限を行う
• データのダウンロードなどに関するルールを明確化する（外部記憶媒体へのダウンロード不可など）

OS等のアップデートルール化などはすぐに対応可能であり、かつ、セキュリティリスクの軽減にも役立ちます。
また、多くのクラウドツールやサービスなどでは、管理者権限や一般権限、さらには閲覧権限と編集権限など様々な権限設定ができるものが多いので、見直してみることをおすすめします。
特にクラウドストレージなどは、不要な人が特定のデータへアクセス可能になっていることも多いので、不要なアクセス権限の設定が行われていないか見直すと良いでしょう。

物理的対策

不法侵入や破壊、紛失や災害などのセキュリティリスクに対応するための対策です。
具体的には以下のような取り組みが挙げられます。

1.　オフィスのセキュリティを物理的に上げる

セキュリティと言われて一番思い浮かびやすいのがこの対策かもしれません。
以下のような対応が代表的です。

• オフィスの入口にスマートロックや生体認証などを導入する
• 監視カメラを設置して不審な行動を見張る
• 警備員の配置や警備システムの導入
• 壁やパーテーションで外部から覗き見できないようにする
• PCをワイヤーロックや施錠管理する
  鍵付きのキャビネットを利用する

2.　仕組み化で物理的対策を行う

何かを設置したり導入したりという大掛かりなものだけが物理的対策ではありません。
例えば、以下のような仕組みが考えられます。

• 入退室記録や来客記録を取る
• 来客には従業者が帯同する
• オフィス内にいる際は社員証を首にかける

また、上記のような取り組み以外に、来客や各従業者が入ることのできるセキュリティエリアを明確にするといったことも立派な物理的対策にあたります。

1のように何かを導入することはコストがかかることであり、すぐに対応できるものではありません。
1の導入も検討しながら、その間のセキュリティレベルを上げる方法として2のような対策を導入することをおすすめします。

3.　災害対策をする

上記では、不法侵入や破壊などへの対策を考えてきましたが、災害などによる被害もひとつの物理的セキュリティリスクです。そのため、以下のような災害対策を行うことも大切になってきます。

• スプリンクラーや消火器を設置、定期点検する
• 熱を持ちやすい機器（サーバなど）の近くに可燃物を置かない
• 高い場所に物を置かない
• 予備電源を用意しておく
• 避難訓練を行う

この対策については、オフィスが入居するビルごとに異なる部分も多く、また、オフィスの環境上できることできないこともあるでしょう。災害が発生した場合のリスクを考えた上で対策を取ることが大切です。

人的対策

従業者のミスや不正など、人によるセキュリティリスクに対応するための対策です。
具体的には以下のような取り組みが挙げられます。

1.　従業者教育

ミスを防いだり、不正に手を染めるようなモラルの低下を引き起こさないためにも、情報セキュリティに関する教育やモラル・コンプライアンスに関するような研修を行うことは非常に重要です。
技術的対策や物理的対策など挙げてきましたが、どのようなインシデントに関しても背景には人が関わっているといっても過言ではありません。
その人によるインシデントを抑えるためにも従業者のリテラシー・モラルの向上には努めるようにしましょう。

2.　マニュアル・ルールの整備

先ほども説明した通り、人的対策には従業者のミスを防ぐことが含まれています。ミスを防ぐためには、確立した手順に基づいて作業を行うことが効果的です。そのためにも手順のマニュアル化や、守るべきセキュリティルールの明確化・周知などを行うことは大切です。
また、不正を防ぐという面で、懲戒手続等についても明確化しておくことで効果的に機能します。

応用編「これは何的対策？」

例えば「パスワード管理」。このセキュリティ対策はどれに当てはまるものでしょうか。
答えは、「全てに当てはまる可能性がある」です。

例えば、パスワードの管理レベルを上げるために管理ツールを導入するのであれば「技術的対策」になりますし、各個人にパスワードを管理してもらっている場合はリテラシー面の強化で「人的対策」が必要になるでしょう。また、パスワードを書いたメモをそれぞれのロッカーや袖机で管理している場合、施錠できるようにするなどの「物理的対策」が必要になるかもしれません。

このように、一つのセキュリティテーマに対しても、組織のとる方法によって行うべき対策は異なってきます。
自分たちが普段どのような運用を行っているか明確にした上で、必要な対策を選ぶことが大切です。

まとめ

一口に情報セキュリティといっても多様なセキュリティリスクが存在しますし、そのリスクによって対応手段も異なります。
どのような対策を行うことでリスクに有効に働くのか、同じようなセキュリティのテーマでも自社の現状を把握したうえでどのような対策を行うべきなのかなど、検討してみると良いのではないでしょうか。