セキュリティの基本と対策、事前の備えが企業価値を守ります

仮想デスクトップコラム
  • テレワーク

  • 2021.11.30

セキュリティの基本と対策、事前の備えが企業価値を守ります

セキュリティ対策の重要性は、複雑化する脅威や多様化する働き方の変化に伴って、近年ますます高まってきています。重要だとはわかっていても、何から始めたら良いのかわからないという方、また企業内の担当者も多いのではないでしょうか。この記事では、セキュリティ対策について、まずはその全容や基本を押さえつつ、重要性や具体的なリスク、さらに防ぐための具体的なセキュリティ対策・インシデントが発生した場合の事後対策について、詳しく説明します。

STC診断

セキュリティ対策とは

セキュリティ対策とは多くの場合、様々な情報セキュリティにおいて、インシデント(ウイルス感染やシステムへの不正アクセス、個人情報の漏えい、物理的な損壊・障害など)を防ぐことを指します。

セキュリティ対策の重要性

社会が高度に情報化され、情報資産というものが重要になっている点から、セキュリティ対策は不可欠です。個人の範囲では、たとえば電話番号が流出することで迷惑電話がかかってきたり、あるいは企業や組織においては、最悪のケースでは企業の事業継続性(Business continuity plan、BCP)を脅かしたりする事態に発展しかねません。
とりわけ近年は、テレワークの普及でこれまで考慮する必要のなかった問題やインシデントの事例も多数発生しており、セキュリティ対策は今後一層関心をあつめていくものであると言えるでしょう。

セキュリティ対策不備によるセキュリティインシデントの発生

セキュリティ対策に不備があることによって、様々なインシデントリスクが高まります。

例えば、企業や組織、あるいはそこに属する社員や顧客などの個人情報が外部へと流出してしまう「情報漏えい」。

コンピュータがマルウェアに感染する「マルウェア感染」。

本来サーバーや情報システムへのアクセス権限を持たないユーザーが、その内部へと侵入(アクセス)する「不正アクセス」。大量のデータが送りつけられることでアクセスが集中しサーバーがパンクする「DoS/DDoS攻撃」。

受信を望んでいないにもかかわらず、一方的に電子メールが送信されてくる「迷惑メール/スパムメール」。

送信者を詐称した電子メールを送りつけたり偽の電子メールから偽のホームページに接続させたりする「フィッシング」。

Webサイトの管理者以外の何者かが悪意を持って不正にWebサイトを改編し別の情報に書き換えてしまう「Webサイト改ざん」。

社外でPCなどを使用してそのまま置き忘れたり、盗難に遭うといったこと。社用IDなどデータの紛失・盗難、公共の場所でPCを使用するときに肩越しに画面をのぞき見られる「ショルダーハック」。

企業や組織の内部の人間が意図的またはミスによって自らの権限を行使して不正アクセスを行ったり、情報漏えいを発生させたりする「内部不正」など……様々なものが挙げられます。

より詳しくは、こちらの記事でもご紹介していますので確認してみてください。

ドコモ・システムズ株式会社「セキュリティインシデントとは? 基本から最新動向・原因・実例を解説」
https://ddreams.docomo-sys.co.jp/sworksquare/column/detail110.html

セキュリティ対策の基本

セキュリティ対策の主な観点として、企業や組織内のセキュリティシステムや体制、設備などを強化するソフト・ハード面のアプローチと、企業や組織内に属する人のセキュリティモラルを向上させるといった人的なアプローチがあります。また、情報資産を守るという観点での情報セキュリティの3要素も参考になるでしょう。

ソフト・ハード面のアプローチ

企業や組織内のセキュリティシステム、体制、ネット環境などを整備することが求められます。ウイルス対策ソフトを導入する、セキュリティ対策に特化したサービスを利用する、社内の環境を定期的に精査して保守していくことも重要です。また、企業や組織内で使用するPCや情報機器を常にアップデートし、進化するリスクに対応できる状態にしておく必要もあります。

情報資産保持のための「情報セキュリティの3要素(プラスα)」

ソフト・ハード面でのセキュリティ対策を行ううえで考慮したいのが、企業や組織の情報資産を守るために重要と言われている「情報セキュリティの3要素」です。これらの要素を確保することでセキュリティ対策を徹底させることができます。

機密性 ( Confidentiality )

適切な権利を有する人だけが情報にアクセスできる状態を保つことです。情報漏えいの防止やアクセス権限の設定、パスワードの暗号化などがこれにあたります。

完全性 ( Integrity )

適切な権利を持たない人により情報が変更されない状態を保つことです。具体的には、Webページの改ざん防止や外部からのアクセス検出などの対策がこれにあたります。

可用性 ( Availability )

必要なときに情報にアクセスできるようにしておくことです。

上記は代表的なものですがこの他にも真正性、責任追跡性、信頼性、否認防止といった観点も加えられていますので、JIS Q 27000の規定を確認してみてくださいね。

人的アプローチ

実は、企業や組織内でのセキュリティインシデントは、その大部分が人為的・ヒューマンエラーによるものだとされています。また、ソフト・ハード面でのセキュリティ対策を施しても、それを使う人がセキュリティモラルを欠いていれば、そこに穴が生じます。ですから、ソフト・ハード面でのアプローチに加えて、企業や組織に属するメンバーに対するアプローチも、非常に重要なセキュリティ対策となるのです。セキュリティ対策に関する意識を向上させること、具体的な日々の行動指針や規範を示し遵守させること、緊急時の報告連絡網を整備しておくこと、あるいはコミュニケーションを通して円滑さを保っておくことなども、悪意あるインシデントを防ぐためのセキュリティ対策の一つです。

セキュリティ対策のおすすめ具体例8パターン

定期的な脆弱性診断を受ける

企業や組織内でのセキュリティ対策では、常に最新のセキュリティ脅威に対応するべく体系化された知識やノウハウが必要です。社内の現状を正しく知るためにも、まずは定期的な脆弱性診断を依頼して受けることをおすすめします。診断結果を得ることで、セキュリティインシデントを始めとするセキュリティ上の様々なリスクを未然に回避するための材料がそろいます。既に存在していた潜在的な問題が明確化され、把握できることによって、社内規定を整備・改訂する際の参考にもなります。

使用するデバイス・サービスを限定

企業や組織での仕事に限らず、個人(フリーランス)の場合もですが、原則として、仕事で使用するPCやUSBメモリなどのデバイスは、プライベートで使用するものとはきっちり分けることを徹底しましょう。また、テレワーク時等で使用するWi-Fiはフリーのものではなく、セキュリティーキーが設定されているものに限定するなど、信用度の低いネットワークの使用を避けるといった「リスク最小化」のセキュリティ対策は、基本ながら非常に重要です。

物理的な防犯・鍵の設置

物理的な防犯や鍵の設置によって、リスクを最小限にとどめるためのセキュリティ対策も大切です。具体的には、企業や組織での仕事の場合、PCや機密書類のある部屋は複数のロックを掛けて施錠しておく、テレワークや個人(フリーランス)での仕事の場合、ノートPCにはチェーンロックを付ける、画面には覗き込み防止フィルムを張る、スマートタグ(忘れ物防止タグ)を付与するといった対策が可能です。スマートタグの場合、盗難だけでなく紛失時にデバイスの位置情報を確認できるなどのメリットもあります。

セキュリティに強いサービスを利用する

企業や組織で利用するサービスについても、セキュリティ対策のしっかり施されたものを選ぶことをおすすめします。テレワークの普及に伴い、リモートでの打ち合わせや会議を行うことができるオンライン会議サービスやコミュニケーションツールなどは、非常に多様化してきています。信用度の高いサービスを選んだり、契約プランを有料化してセキュリティを強化したりするなど、品質や価格とのバランスを見ながらサービス選択をしていくことが、今後一層必要になるでしょう。

総合的なセキュリティシステムを導入する

ウイルス対策ソフトの導入、ソフトウェアの更新、セキュリティリスクの高いWebサイトのフィルタリング、パスワードやユーザー権限の管理、ファイアーウォールの導入、アクセスログの取得と解析、バックアップ……無限にあるこうしたセキュリティ対策を総合的に担ってくれるシステムの導入もおすすめです。特にテレワークを始めとして働き方が多様化する現代では、最新の多様化したリスクに常に備えておく必要があります。

例えば、統合セキュリティサービス s-WorkProtectorでは、24時間フルタイムでセキュリティを監視・保護してくれ、基本的なセキュリティ対策は完備。他にもWebアクセスログの解析や脆弱性診断サービスとの併用も可能なので、とにかく必要なことは全て任せたいという企業や組織にもおすすめです。

こうしたセキュリティシステムを導入するメリットとして、人的コストの削減も挙げられます。これまでセキュリティ担当者を設けて行っていた業務を一任できる点で、結果としてコストを抑えられる場合も多いのです。

ドコモ・システムズ株式会社「統合セキュリティサービス s-WorkProtector」
https://ddreams.docomo-sys.co.jp/sworkprotector/index.html

セキュリティ教育を実施

企業や組織では、そこに属する・関わる人達のセキュリティ対策意識や一人一人の行動が、全体のリスクを大きく左右します。ITリテラシーやセキュリティモラルについては、詳しいメンバーが社内に1人いる状況よりも、全体で均一化されたものが共有されていることの方が価値があります。ですから、外部からセキュリティ対策の有識者や講師を招集して社内研修を行ったり、セキュリティ対策の知識獲得を目的とした資格取得を補助したり、より手軽なところでいえば定期的に刊行される公的なセキュリティ対策文書の回覧を徹底する、といった地道で継続的な教育は長期的にもおすすめです。

教育によって社内のITリテラシーやセキュリティモラルが高まることで、自発的にセキュリティ対策に乗り出すメンバーが増え、社内の風土や企業イメージの向上も期待できることからも、セキュリティ対策における投資としては非常に有意義です。

CSIRT(シーサート)を設置

セキュリティ対策として、未然防止策のみでなく、インシデント発生時の対応チームであるCSIRT(Computer Security Incident Response Team)を設置しておくこともおすすめです。先に述べた総合的なセキュリティシステムの導入を行う場合、主に社外のセキュリティ対策チームであるSOC(Security Operation Center)は不要とされる場合が多いですが、実際のインシデント発生時に社内対応をスムーズに行う必要があるため、CSIRTは依然有用と言えるでしょう。

緊急時の対応マニュアル作成・共有

CSIRT同様、セキュリティ対策としての緊急マニュアルや社内規定、行動指針の具体化と、あらかじめそれを共有しておくことはとても重要です。特にテレワークの普及にともない社内でのコミュニケーションが非対面化しつつある今では、こうしたマニュアルを整備しておくことで、他の社内メンバーとの連携を取るより先に個人で取るべき対応を明確化して知っておくことが出来ます。セキュリティ教育の一環とも言えますが、外部から有識者を招集するよりも内部の規定に寄り添うマニュアルが必要という点で、社内で準備して共有しておくことが望ましいと言えるでしょう。

インシデント発生時の対応と「再発防止」のセキュリティ対策

いざセキュリティインシデントが発生してしまった場合はどうすればよいのでしょうか。実は、セキュリティインシデント発生時における「事後対策」も、重要なセキュリティ対策の一環です。
セキュリティインシデントが発生した場合、まず行うべきは現状の報告・共有と記録です。企業や組織内での個人が発生に気付いたときには、速やかに内部の担当者に連絡して、正確な現状を報告しましょう。次に、二次被害や波及を防ぐための応急処置が必要です。これは現場やケースによって異なりますが、場合によってサービスの停止やアクセス制限を伴うこともあるでしょう。ここでもできる限り正確な記録・ログを残しておく必要があります。その次に、原因の解明を行います。共有された報告や記録に基づき、セキュリティ対策の状況を含めたセキュリティインシデントの全容を解明し、日時、場所、担当者、経路など詳細を明らかにしていきます。これらの一通りの調査の後、関係各社に改めて連絡・通知を行い、対外的な対処を行います。そして原因解明に沿った対策を施した後、サービスの復旧等に着手します。

こういった初期対応をすべて終えた後、元々採択していたセキュリティ対策に加え、新たなセキュリティ対策の検討と実施とを行うことで、インシデントの再発防止に繋がり、企業や組織のセキュリティリスクを低減させることが可能となります。

まとめ

セキュリティ対策について、その重要性と様々な具体例をご紹介してきましたが、これらのセキュリティ対策を全て実施したとしても「絶対安全」はあり得ないということを心得ておいてください。セキュリティリスクを限りなく低く抑えつつ、もしもの場面にも常に備えておくこと。そして常に新しいセキュリティ対策方法を模索していくこと。これこそが、常に進化するセキュリティへの脅威へと向き合う姿勢として求められるものと言えるでしょう。

なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。

STC診断

よくある質問

セキュリティ対策とは何ですか?

セキュリティ対策とは多くの場合、様々な情報セキュリティにおいて、インシデント(ウイルス感染やシステムへの不正アクセス、個人情報の漏えい、物理的な損壊・障害など)を防ぐことを指します。

インシデント発生時に最初に行うべきことは何ですか?

まず行うべきは現状の報告・共有と記録です。企業や組織内での個人が発生に気付いたときには、速やかに内部の担当者に連絡して、正確な現状を報告しましょう。

セキュリティ対策では何を行うべきですか?

企業や組織内のセキュリティシステムや体制、設備などを強化するソフト・ハード面のアプローチと、企業や組織内に属する人のセキュリティモラルを向上させるといった人的なアプローチが必要です。