情報セキュリティ対策とは? 脅威と対策を徹底解説

目次
・そもそも情報セキュリティとは?
・情報セキュリティ対策はなぜ組織にとって重要なのか
・サイバー攻撃、次の標的はあなたの組織かもしれない
・組織の情報を狙っているのは身内かも!? 不正を許さない体制作り
・情報セキュリティの具体策
・セキュリティはコストではなく投資

そもそも情報セキュリティとは?

情報セキュリティは、企業・組織の重要情報や個人情報、またそれらを扱うITシステムを守ることを指します。
例えば、機密データを不正アクセスから守る、あるいは地震や火災などの災害に備えることも情報セキュリティといえます。
サイバー攻撃、情報の盗難、自然災害などあらゆる脅威が取り巻く現代社会において、セキュリティはなくてはならない概念です。

 

情報セキュリティを脅かす要因は主に3つにわけられます。

 

情報セキュリティの3大脅威
 

  • 人為的脅威
    直接人が関わるもの。 例)操作ミス、外部へのデータ持出し、関係者による意図的な破壊、メール誤送信 など
     
  • 物理的脅威
    物理的に破損するもの。 例)地震・洪水・火災による故障、機器の経年による故障 など
     
  • 技術的脅威
    プログラムが介在するもの。 例)マルウェア、フィッシング詐欺、標的型メール、Dos攻撃などのサイバー攻撃 など

 

情報セキュリティ対策は、これら3つの脅威に対応した管理体制が重要です。

もし、これらの脅威対策をしていないと組織はどのような損失があるのか、対策の必要性について次にご説明します。

 

情報セキュリティの3大脅威

情報セキュリティ対策はなぜ組織にとって重要なのか

  1.  企業に対する信用が失われる可能性がある
    情報セキュリティ対策を講じない、情報を守ろうとしない企業は負のイメージを持たれ、取引停止などの損失が発生します。
    社会的評価が下がると、従業員の士気低下や退職を招くリスクがあります。
     
  2.  多額の損失を受ける可能性がある
    ITが事業基盤となっている場合にもし被害が発生すると、業務停止を招く恐れがあります。業務停止となると被害の範囲は自社だけでなく、取引先や関係会社にも及びます。
    情報漏洩が起きると顧客・取引先に対する損害賠償、顧客離れなどの不利益を被るリスクもあります。

 

このような理由から、いまや情報セキュリティ対策は経営課題といえます。
ここからは、IPA(情報処理推進機構)が「組織における情報セキュリティ10大脅威」で上位に挙げている2つの脅威、サイバー攻撃と内部不正についてご説明します。

 

 

組織における情報セキュリティ10大脅威 2024(IPA)

サイバー攻撃、次の標的はあなたの組織かもしれない

特に近年増加の一途をたどるのが、ランサムウェア(身代金要求型ウイルス)による被害です。
サイバー攻撃は日々の進化により、検知しにくく、また攻撃者が対象の情報を入手して優位な立場から攻撃を仕掛けるため、完全な防御は難しいといわれています。
さらに、セキュリティ対策が手薄だと思われる系列企業を踏み台にして標的企業に侵入する手口は、被害の範囲が当該の企業にとどまらず、どの企業も攻撃を受ける可能性があります。

 

そのため、サイバー攻撃の「予防」に重点を置いた対策から、「不正侵入した後の検知・対応・復旧」に重点を置いた対策へと変化しています。
この概念の元になっているのが、NIST(アメリカ国立標準技術研究所)のサイバーセキュリティフレームワークで、世界中の企業・組織で活用されています。

 

このフレームワークの一部分だけを対策しても、被害を完全に防ぐことは困難です。「感染させない対策」と「感染後の対応策」この両輪で多面的に備え、万一サイバー攻撃を受けてしまっても被害を最小化することが大切です。経営者のリーダーシップの下、サイバーセキュリティ対策を経営課題と位置づけて推進することが重要になっています。

 

感染後の対策に重点を置いた、NISTのサイバーセキュリティフレームワーク

組織の情報を狙っているのは身内かも!? 不正を許さない体制作り

従業員や元従業員が、金銭受領や転職先での悪用、組織への私怨などを動機として、機密情報の持出しや削除などの不正行為を行うことがあります。こういった内部不正は組織にとって深刻な経営問題でありながら、通常業務と区別がつきにくいため対策の難易度が高く、後が絶たないのが実情です。
人の心理がきっかけとなりやすい内部不正は、サイバー攻撃対策とは別の視点による対策が必要です。内部不正を防止するポイントを紹介します。

 

  • 内部不正自体を防止する仕組み
    (情報資産の把握と管理、重要情報へのアクセス権管理 など)
     
  • 内部不正を見逃さない仕組み
    (システム操作履歴を記録して監視する など)
     
  • 従業員教育
    (情報管理ルールを策定し、ITリテラシーを高める など)

 

情報セキュリティの具体策

    情報セキュリティには、人為的対策・物理的対策・技術的対策の3つが必要です。押さえておくべきポイントの一例をピックアップします。

     

    情報セキュリティ対策(例)
     

    • パッチ更新・アップデートを常に行う
      パッチアップデートとは、OS・ソフトウェア・機器のファームウェアなどの修正プログラム。開発元から配布されたら素早く適用して脆弱性を解消し、常に最新バージョンにしておくことが重要。
       
    • 不正なメール・Webサイト対策
      メールフィルタリングサービスで、迷惑メールを自動的に排除。不正なWebサイトへのアクセスを制限するWebフィルタリングサービスは、クラウドストレージ利用やSNS投稿などの制限、アクセスログ収集なども行えるため、内部不正対策にも有効。
       
    • セキュリティシステムの導入
      PCにウイルス対策ソフトファイアウォールを導入することで、ウイルス感染や不正アクセスを検知してブロックできる。
      さらに、ネットワークセキュリティとして、ネットワークの境界に設置するファイアウォール、外部からの攻撃を検知・防御するIDSIPS、Webアプリケーションへの攻撃を防御するWAF、外部・内部さらに内部に潜伏した脅威も含めたあらゆる脅威の検知を目的としたNDR、さらにネットワーク機能とセキュリティ機能を一体化してクラウドサービスで提供するSASEなどがある。
       
    • パスワード管理の徹底
      パスワードだけでは守りきれないPC・サーバ・ネットワークへのアクセスなどには多要素認証が推奨。ID/PWと、あらかじめ端末にインストールした電子証明書などによる二要素認証は利便性を損なわず、広く採用されている。
       
    • テレワークのセキュリティ対応
      社外から安全に社内ネットワークに接続できる環境を整える。例えば、インターネット上の仮想専用線VPN、オフィスのPC環境を遠隔操作して手元のPCにデータを残さないリモートデスクトップVDIなど。
      さらに、私物PCを使用しないなどテレワーク運用ルールを整備する。
       
    • 従業員教育の実施
      インシデント対応体制(情報セキュリティ責任者CISO、有事の対応チームCSIRT、有事の対応フロー)を整備し、従業員に周知する。
      不正メールには慎重に対処し、添付ファイルやURLリンクを開かない、強固なパスワードを設定して使い回しを避けるなどの基本教育を定期的に行う。
       
    • その他
      組織のIT資産、つまりPC・スマホなどの端末、周辺機器、ソフトウェアなどを把握および管理する。
      適切にバックアップを取得・保管し、復旧訓練を行っておく。
      信頼できる委託先・取引先・サービス、相談先のベンダーを選定する。

     

    上記はセキュリティの一例で、他にもさまざまな対策があります。 しかし、残念ながらどれを導入しても万全ではありません。組織のニーズに合わせ、適切な対策を組み合わせて導入することが大切です。

     

    セキュリティはコストではなく投資

    ITとネットワーク化の進展で、組織に対するセキュリティ脅威は拡大する一方です。クラウドの利用やテレワークの進展もあり、セキュリティを巡る状況が大きく変化している今、セキュリティをコストとして捉えるのではなく、組織の競争力を維持・強化するための投資と捉え、アクティブに取り組んでいくことが重要になっています。


    日興通信では、お客様のご要望に応じて、効果的なセキュリティ対策を提案しています。

     

    情報セキュリティのことなら、日興通信にご相談ください

      お客様のご要望を伺いながら、最適なセキュリティ環境はもちろん、ネットワークシステムや業務効率化などもトータルにご提案させていただきます。

       

      まずは日興通信にお気軽にご相談ください。お問い合わせはこちら


      情報セキュリティ対策に関する詳しい資料を多数ご用意しています。
      お役立ち情報のダウンロードはこちら