企業のIT化が加速する現代において、情報セキュリティ対策は、業種問わず必須な施策となっています。
ですが、具体的に、「セキュリティ対策」はどういったもので、何に気を付けなければいけないのか、しっかりと理解できている人は少ないのではないでしょうか。
特に「情報セキュリティ対策」は、使用している機器や、クラウドサービスといった使用している環境の変化によっても変わります。
今回は情報セキュリティ対策の必要性や被害事例、対策のポイントを紹介します。
この記事を最後まで読むことで、セキュリティ対策に必要なことが理解できるので、社内のセキュリティ強化を検討中の担当者は、ぜひ参考にしてください。
また、LRMでは、企業でやるべき・できていないことが一覧でわかるセキュリティチェックリストを無料で配布しています。ぜひチェックしてみてください。
情報セキュリティ対策とは
情報セキュリティ対策とは「情報を安全に保護するための対策」です。
具体的には、情報を不正アクセス、紛失、破壊、改ざんなどから守り、情報セキュリティの三大要素である
- 機密性
- 完全性
- 可用性
を確保するために、アクセス制限、パスワード管理、暗号化、セキュリティソフトの導入などすることを指します。
情報セキュリティ対策が必要なのは、企業や組織だけではなく、社員個々人の意識も、同時に高めていくことが必要です。
情報セキュリティ対策の必要性
情報セキュリティ対策がなぜ必要なのかは、主に以下の3つの理由です。
- 情報漏えいのリスク
- 悪意のある攻撃
- 法的規制
情報漏えいのリスクがある
企業秘密や個人情報などの重要な情報が漏えいすると、企業の信頼性が低下し、イメージダウンや法的責任などの深刻な問題が生じます。
特に、情報漏洩は取引終了といった、売り上げの低下にも直結してしまうので、事前に起こらないように、万全の情報セキュリティ対策が必要です。
悪意のある攻撃が存在する
コンピューターウイルス、不正アクセス、フィッシング詐欺などの攻撃が増加しており、対策を行わないとセキュリティを突破され、情報を盗まれてしまう可能性があります。
悪意ある攻撃は、情報流出以外にも、コンピューターウイルスに感染することで、二次被害で自社以外にも被害が及んでしまう可能性もあるため、情報セキュリティ対策は必須と言えるでしょう。
法的規制がある
現在の法律では「電子帳簿保存法」「個人情報保護法」など、様々な情報セキュリティに関する規制が設けられています。
情報セキュリティ対策は、法律があるから実施するのではなく、自社の情報を守るために実施するものではありますが、法律に違反していないかどうか確認するのも、情報セキュリティ対策には重要なポイントです。
以上の理由から、情報セキュリティ対策は重要であり、組織や個人は、セキュリティポリシーの策定やセキュリティ教育など、適切な対策を行う必要があります。
情報セキュリティ対策の種類については、以下のページでも掲載しているので、あわせてご覧ください。
情報セキュリティ対策の隙をついた被害事例
では、情報セキュリティ対策が正しく行えていなかった場合、どうなってしまうのか、実際にあった被害事例を紹介します。
資料請求の情報が漏えい
大手エステ会社のホームページで、資料の請求のために登録された3万件以上の氏名、住所、年齢、メールアドレスなどの個人情報が漏洩したという事件がありました。
原因は、Webサーバの初歩的な設定ミスでした。この情報漏洩事件では、登録情報の中に、エステに関心を持っている理由や体のサイズといった重要なプライバシー情報があったために、とても大きな問題になりました。
無料Wi-Fiで個人情報の流出
悪意で設置されたWi-Fiスポットを使用し情報が流出パスワード不要の無料Wi-Fiを使ったら通信内容が盗みとられてしまったLくんは、近所にパスワードがなくても無料でWi-Fiに接続できる場所を発見。
安定していて使いやすかったので、ちょくちょくそこでネットを使っていましたが、それは、他人の情報を盗む目的で設置されたWi-Fiでした。
Lくんは通信内容をのぞかれ、大切な個人情報を盗まれてしまったのです。
ビジネスメール詐欺で約4億円の被害
2017年にJAL(日本航空)がリバースソーシャルエンジニアリング(ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法)の被害にあった事例です。
偽の請求書メールをクライアントになりすました攻撃者から送られ、新しい偽の振込先におよそ3億8000万円を振り込んでしまいました。
こうした被害に遭わないために、まずは自社のセキュリティ状況を客観評価しましょう。
情報セキュリティ対策のポイント
ここまで、情報セキュリティの基本情報とその事例について解説しました。
では、実際に被害にあわないようにするには、どんな対策をすればよいのでしょうか。
具体的には以下のようなものがあります。
- アクセス制限の強化
- パスワード管理の強化
- セキュリティソフトの導入
- 組織内のセキュリティ意識を高める
- バックアップの実施
- OSやソフトウェアを常に最新の状態に
- 社内通信機器の共有設定の見直し
- 脅威や攻撃の手口を知る
それぞれ解説します。
アクセス制限の強化
重要な情報へのアクセスを制限することで、不正なアクセスや情報漏えいを防ぎます。
また、社内でも一定の役職が無ければアクセスできないように、制限をかけるなど、内部からの情報流出を防ぐ、アクセス制限も有効です。
パスワード管理の強化
パスワードの複雑さや期限の設定、定期的な変更の促進など、適切なパスワード管理を行い、不正アクセスを防ぎます。
かんたんに想像がつくようなパスワードは使わないように心がけましょう。
セキュリティソフトの導入
ウイルス対策や不正アクセス対策など、適切なセキュリティソフトを導入し、情報漏えいや被害の拡大を防ぎます。
セキュリティソフトを導入することで、危険なサイトにアクセスしそうになれば、警告を出してくれるため、より一層安全になります。
組織内のセキュリティ意識を高める
社員に対して情報セキュリティに関する教育を徹底し、情報セキュリティ意識の向上や不正行為の防止に努めます。
バックアップの実施
重要な情報は定期的にバックアップを取ることで、情報漏えいや災害時にも迅速な復旧が可能になります。
OSやソフトウェアを常に最新の状態に
ソフトウェアのアップデートを常に、最新の状態に保ち、セキュリティを高めておきましょう。
社内通信機器の共有設定の見直し
無線で通信する際には、パスワードを設け、外部の人物が勝手に利用できないように設定を見直しましょう。
脅威や攻撃の手口を知る
セキュリティ対策を適切に行うには、どのような攻撃があるかを知っておく必要があります。
代表的な「なりすましメール」といった攻撃は、社員全員が認識している状態にしておきましょう。
代表的なサイバー攻撃については以下の記事をご覧ください。
情報セキュリティ対策に有効なツール
株式会社LRMでは、情報セキュリティ対策をかんたんに実施できるツール「セキュリオ」を提供しています。
セキュリオは、情報セキュリティ教育をしながら、業務委託先や認証運用情報などを、安全に一括管理できるツールです。
また、社員のセキュリティ対策意識を高めるための「eラーニング」や「標的型攻撃メール訓練」といった機能や、「PDCAサイクル」や「サプライチェーンセキュリティ」をはじめとした社内セキュリティ管理機能も充実しています。
人と企業のセキュリティレベルを同時に向上できるので、興味のある方は、ぜひこちらのページより確認してみてください。
まとめ
セキュリティ対策について解説しました。
セキュリティ対策を正しく実施していないと、情報セキュリティ事故が起こり、情報流出をはじめとする様々な損害や、会社の信用失墜をもたらしてしまいます。
まず、そもそものインシデントが起こらないように、そして、万が一起きてしまっても被害を最小限にすることが出来ます。
もし「自社のセキュリティ対策で何が不十分なのがわからない」という場合は、ぜひ、セキュリオを利用してみてください。