不正アクセスやマルウェア感染、内部不正など、企業は多くのセキュリティリスクに晒されています。
情報セキュリティを守るためには、社員一人一人が正しい知識を持ち、適切な行動を取ることが必要不可欠です。
この記事では、自社の情報セキュリティを高めたい担当者に向けて、適切な情報セキュリティ対策を施すために気を付けるべきことを解説します。
また、あれこれと対応範囲の広い情報セキュリティ対策について、企業のセキュリティ状況を客観評価し、取るべき対策が簡単にわかるセキュリティチェックシートを無料で配布しています。
ぜひご活用ください。
情報セキュリティの定義を振り返る
日常的に耳にすることが多い「情報セキュリティ」という言葉ですが、一般的には情報の「機密性」「完全性」「可用性」を維持することを指します。
この定義にある「機密性」「完全性」「可用性」という3つの言葉は、情報セキュリティの3大要素と呼ばれるものです。これらについては後述しますが、要するに人々が安心して情報を扱えるように、適切なルールを設けてシステムを保護するようなことが情報セキュリティと言われています。
「真正性」「責任追及性」「否認防止」「信頼性」を併せて情報の7大要素とすることもあります。
情報セキュリティで気を付けることとは
情報セキュリティを徹底するために気を付けることは多種多様です。
適切な情報セキュリティ対策を施さないことによって、不正アクセスやマルウェアの感染などの被害を被り、情報の漏洩や改ざんが発生して、金銭的な被害や社会的信用が損なわれることも考えられます。
そのような事態を避けるためにも、企業においては以下で解説するような点について、気をつけなければなりません。
安全なパスワード管理
インターネットのさまざまなサービスやツールのログインで使用するパスワードを適切に管理しましょう。同じパスワードの使いまわしや、推測されやすいパスワードの設定は避けるべきです。
たとえ社内であっても、パスワードを書いた付箋紙をディスプレイに貼り付けるようなこともルールとして禁止すべきでしょう。
マルウェアへの対策
パソコンにセキュリティ対策ソフトを導入するなどのマルウェアへの対策も必要です。
メールに添付されている不審なファイルの実行や不明なURLのクリックで、マルウェアに感染する恐れもあります。
マルウェアはネットワークを経由して、感染したパソコンから別のパソコンへと感染を拡大させることがあります。自分のパソコンだけの問題と考えないことが大切です。
情報の持ち運びのルールの徹底
業務で取り扱っている情報の持ち運びのルールを徹底しましょう。
USBメモリの使い方や、ノートパソコンの持ち運びのルールを設けている企業もあります。
こうしたデバイスの不適切な取り扱い方によって情報が漏洩すると、企業全体の信用が損なわれたり金銭的な損害賠償問題に発展することもあります。
ネットワークの適切なセキュリティ設定
社内ネットワークや無線LANの適切な設定も、情報セキュリティでは重要です。
通信ログを定期的にチェックして、外部から不正利用されていないかを確認し、パスワードが漏洩していないかどうかもチェックしましょう。
適切な電子メールの取り扱いの徹底
メールの誤送信や誤転送などを起こさない適切な取り扱いを徹底しましょう。メールは一度送信してしまうと、修正ができません。メール送信前に宛先のアドレスを慎重に確認してから送信するのは、もはや社会人としての常識です。
また万が一の誤送信のための対応として、メールの誤送信対策サービスの導入などを検討しても良いでしょう。
データのバックアップ体制の構築
パソコンやNASなどに保存されているデータの定期的なバックアップ体制などの構築も重要です。ハードディスク故障時の復旧や、マルウェア感染によるデータ喪失などに備えて、重要なファイルは速やかに復旧できるようにしておくとよいでしょう。
常に最新のデータを復元できるようにするためには、定期的なバックアップを自動で行うようなシステムを導入するのもおすすめです。
社員教育
新入社員入社時などには社内教育を実施し、情報セキュリティの一般的な知識や社内ルールを周知しましょう。
業務で取り扱っている情報は、社員の個人的な情報とは異なります。不適切な取り扱いにより、会社全体に迷惑がかかることを自覚させるなど、情報セキュリティ意識を高めておくことが必要です。
SNSの運用ルールの徹底
仕事中にSNSにアクセスしない、業務に関する情報をSNSで発信しないなど、SNSの運用ルールを徹底させましょう。
日常的にインターネットに触れていると、仕事とプライベートの境界があいまいになりがちです。社員の不適切な投稿により企業の評価が損なわれることも近年では発生しています。
最近はSNSの企業アカウントの炎上なども話題となっています。企業のブランドイメージ低下を避けるためにも、各種SNS運用のルールは徹底すべきでしょう。
情報セキュリティの10大脅威とは
情報処理推進機構は毎年「情報セキュリティ10大脅威」という文書を公開しています。これは前年に発生した脅威から重要なものを10個選んでランキングにしたものです。
個人編と組織編のそれぞれの分野で、インパクトの大きかった脅威が紹介されています。2023年の10大脅威は以下の通りです。
| 順位 | 個人編 | 組織編 |
|---|---|---|
| 1位 | フィッシングによる個人情報等の詐欺 | ランサムウェアによる被害 |
| 2位 | ネット上の誹謗・中傷・デマ | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭被害 | 標的型攻撃による機密情報の窃取 |
| 4位 | クレジットカード情報の不正利用 | 内部不正による情報漏えい |
| 5位 | スマホ決済の不正利用 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6位 | 不正アプリによるスマートフォン利用者への被害 | 修正プログラムの公開前を狙う攻撃(ゼロディ攻撃) |
| 7位 | 偽警告によるインターネット詐欺 | ビジネスメール詐欺による金銭被害 |
| 8位 | インターネット上のサービスからの個人情報の窃取 | 脆弱性対策の公開に伴う悪用増加 |
| 9位 | インターネット上のサービスへの不正ログイン | 不注意による情報漏えい等の被害 |
| 10位 | ワンクリック請求等の不正請求による金銭被害 | 犯罪のビジネス化(アンダーグラウンドサービス) |
情報処理推進機構のWebページでは、過去の情報セキュリティ10大脅威も公開中です。PDFデータとしてダウンロード可能ですので、ぜひ一度ご覧ください。
情報セキュリティの3大要素とは
情報セキュリティは、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つの要素で捉えることができます。この3つは、合わせて「CIA」と表記し、情報セキュリティの3大要素と言います。
- 機密性
- 情報にアクセス権限を設けるなどして、適切に保護、管理することができることを示しています。パスワード管理の徹底や、情報の持ち出しの厳格化などで対策できます。
- 完全性
- 情報が改ざんや過不足がない正確な状態で保存されていることを示しています。デジタル署名を付けたり、情報の変更履歴を保存するなどで対策できます。
- 可用性
- 情報が必要なときにいつでも使える状態になっていることを示しています。システムを二重化して障害に備えたり、UPS(無停電電源装置)の導入、クラウド上に保存するなどで対策できます。
また3大要素に加えて、新しい4つの要素、
「真正性(Authenticity)」「信頼性(Reliability)」「責任追跡性(Accountability)」「否認防止(non-repudiation)」も情報セキュリティに取り入れられています。
- 真正性
- 情報にアクセスした者が許可されている者であることを確実にしていることです。二段階認証や多要素認証の導入、デジタル署名の付与などで対策できます。
- 信頼性
- 情報やシステムが意図した通りの結果を出すことを示しています。システムの適切な設計や、操作ミスがあってもリカバリーできる仕組みの導入などで対策できます。
- 責任追跡性
- 情報にアクセスした者の行動を追跡できることを示しています。アクセスログの導入やデジタル署名の付与、ログイン履歴の保存などで対策できます。
- 否認防止
- 情報にアクセスした事実や利用したことを否定できないように証明できることです。アクセスログや編集履歴の保存などで対策できます。
まとめ
企業が情報セキュリティで気を付けるべきことを解説しました。専門的で難しい部分もありますが、社員一人一人が正しい知識を身につけて適切な行動を取るだけでも、サイバー攻撃の被害を最小限に抑えることは十分可能です。
まずはセキュリティチェックシートで自社の状況を客観評価しましょう。
