情報セキュリティ対策は、不十分であると情報の滅失・情報漏えいなど、企業活動にマイナスのインパクトが生じる恐れがあります。
そこで、企業では経営課題の一部として情報セキュリティ対策に取り組んでいるのです。
この記事では、情報セキュリティ対策の必要性と、対策の基礎・対策の種類、大きな被害をもたらすサイバー脅威について、詳しく解説します。
セキュリティスキルが気になる方へ、16問でかんたんにセキュリティスキルが測れるチェックテストを無料で配布しています。気軽に腕試ししてみてください。
情報セキュリティ対策の必要性
情報セキュリティ対策は、経営課題として取り組む必要性があります。
日々、情報セキュリティ事故は大きなものから小さいものまで「無数」に生じており、メールの誤送信や、外部からの小さな攻撃被害は日常的に生じています。
一方、大規模な被害をもたらす事故では、テレビや新聞のニュースで取り上げられ、大きな話題となることがあります。
よく精査すると、長期間の攻撃が大規模な被害につながっていたり、小さなミスの連続・小さなセキュリティ体制の不備の積み重ねであることも見られるのです。
セキュリティ事故の被害は自社のみならず、顧客や取引先にも広がる可能性があります。
仮に、被害が不十分な情報セキュリティ対策のために生じた、とされれば、顧客や取引先を失う信用問題です。
また、企業活動において情報とは資産であり、財産的な価値があるものです。
情報を収集し、取引で利用できるようにすることは企業による投資と考えられます。
情報が破壊されて取引で利用できないことは、資産を減らすこと・投資を無駄にしてしまうことを意味します。
以上でご紹介した背景から、情報セキュリティ対策の必要性は次のように整理できると考えられます。
- 自社の情報資産を守るために必要
- 損害賠償の請求などのリスクを予防するために必要
- 不十分な情報セキュリティ対策のために社会からの信用を失わないようにするために必要
これらが情報セキュリティを経営課題として取り組む必要性です。
情報セキュリティ対策の基本とは
情報セキュリティ対策の基本は、情報資産について以下の3つを確保することに集約されます。
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
これらの頭文字をとって、CIAなどと呼ばれますが、3つの要素を確保するための手段をどの様に確保するかが問題になります。
機密性とは、情報を秘密に保つことを意味します。
例えば、システム上アクセス権のコントロールを行うことや、関係者以外閲覧禁止のデータであることを表示しておくことなどは、機密性の確保を目的とするものです。
完全性とは、情報を改ざんの恐れがないもの、最新・正確なものに保つことをいいます。
例えば、取引先リストは、更新に関するルールを定めて定期的に棚卸し、改ざんの恐れがないように文書であればロックを掛ける・システム上もアクセス権の制限をかけるなどしていると思います。これは完全性の確保を目的としています。
可用性とは、情報を必要があるときにはいつでも利用できるようにしておくことをいいます。
例えば、重要データのバックアップを取り、災害時にメインシステムがダウンしてもバックアップサーバからアクセスできるようにしておくことなどは可用性の確保を目的にしています。
情報セキュリティ対策の種類
情報セキュリティ対策は次のような3つの種類に分かれています。
- 技術的安全管理措置
- 物理的安全管理措置
- 組織的安全管理措置
- 人的安全管理措置
機密性・完全性・可用性は、現在その多くはITセキュリティツールにより実現されることが多くなっています。
例えば、情報を破壊したり、窃取する外部からの侵入者やウイルスを検知するソフトウェアなどがこうしたツールの代表例です。
技術的に情報を安全に守る措置のことを技術的完全管理措置といいます。
その一方で、防犯対策、入退室管理、セキュリティワイヤーによる盗難防止、書類の廃棄など、実体のあるものにまつわるセキュリティも無視できません。
こうした措置のことを物理的安全管理措置といいます。
また、情報セキュリティ対策は、責任の所在がはっきりしていないと会社のなかで実効性に欠けてしまいます。
そこで、情報管理責任者をおき、責任者を補助する専門部署を組織内におくことが通例です。
さらに、業務上、IT機器やソフトウェアを利用する人員にも正しい利用のルールを守ってもらえないと内部不正による情報持ち出しなどの危険が生じます。
そこで、人的安全管理措置、すなわちルールをおいて遵守させることが必要です。
研修などでルールを周知徹底することも会社の重要な取り組みとして行われています。
情報セキュリティ対策によって対応できるサイバー脅威
サイバー脅威またはサイバー攻撃とは、外部からの攻撃により、情報に破壊や漏えい、窃取などの危険を生じさせるものです。
サイバー脅威にはさまざまなものがあります。
サイバー脅威は分類によっても種類はことなりますが、手口から見ると、数十種類に分類されているものです。
代表的な攻撃としては、以下のような攻撃を見聞きしたことがあると思います。
- 標的型メール攻撃
- メールで送られたリンクをクリックすると、マルウェアを感染させる攻撃
- ランサムウェア
- マルウェアによりPCなどのマシンを停止させ、「身代金(ランサム)を支払うと停止を解除する」などと攻撃者が恐喝を行う攻撃
- Emotet(エモテット)
- 添付ファイルから感染するマルウェア=Emotetによる情報窃取を行う攻撃
- 水飲み場型攻撃
- 改ざんされたWebサイトにアクセスしたターゲットにマルウェアを感染させる攻撃
- フィッシング
- メールのリンクから偽サイトへの情報入力を誘導し、情報や財産を窃取する手口の攻撃
- DDoS攻撃
- 極めて大量の通信ををPCに送りサービスを停止させ、不正アクセスを誘発する攻撃など
サイバー攻撃は、近年大きな被害に発展し、攻撃者の手口と、情報セキュリティ対策はいたちごっこ状態とまで言われています。
しかし、サイバー攻撃も予防、または攻撃されても被害を最小限にすることは可能、と考えられています。
サイバー攻撃は、原因別に考えると、ITシステムの脆弱性をついた攻撃と、DDoS攻撃など、大量の情報送信によりサービスの停止を呼び込む攻撃があります。
脆弱性をできるだけ最小限にすること、大量の情報送信の検知とブロックは、技術的な安全管理措置を実行することで可能とされているのです。
脆弱性を最小限にするためには、OSやアプリケーションソフトウェアを最新のものにすることが有効です。
また、大量の情報送信は、トラフィックモニタリングといって、通信の監視により可能です。
さらに、異常な通信を検知すると、通信を遮断することにより、会社のITシステムを守ることもできます。
また、ITシステムの脆弱性を攻撃することは、会社の従業員の行動により容易になってしまうことがあります。
例えば、送信元が不明な怪しいメール(標的型攻撃メール)を開封、リンクをクリックしてしまうこと・怪しいWebサイトにアクセスして、個人情報を送信してしまうことなどです。
これらはルールで禁止すべきですし、またシミュレーションを交えた訓練などにより啓発が可能です。
標的型攻撃メールについては「業務連絡を装ったメールに注意!標的型攻撃メールの概要と対策」で詳しく解説していますので、併せてご覧ください。
情報セキュリティ対策をクラウド上でラクラク一元管理
ここまででお伝えしたように、情報セキュリティ対策と一口に言っても、対策が必要な範囲、分野、取るべき対策などは様々で、しかも変化を続けています。
LRMの情報セキュリティクラウド「セキュリオ」を使えば、そんな複雑なセキュリティ対策をラクラク一元管理できます。
- 従業員のセキュリティ意識やレベルに課題がある
- ISMSの運用が負担になっている
- そもそもセキュリティについて何をすべきかわからない
こうした課題をお持ちの企業様にとくにおススメしています。
「セキュリオ」では、14日間無料でEPスタンダードプランの機能をご利用いただけるトライアルも実施中です。この機会にぜひご活用ください。
まとめ
大きな財産的な損害や会社の信用失墜をもたらす情報セキュリティ事故は、技術的・組織的・人的安全管理策により被害を最小限にすることが出来ます。
体制の構築屋見直しを行う際は、大きな被害をもたらすサイバー脅威を視野に入れて構築しましょう。その際、専門家によるコンサルティングは、情報セキュリティ体制を最適化することに役立ちます。
