お電話でのお問合せはこちらから
TEL: 06-6131-1905
平日:9:00~17:30
#05 「セキュリティ対策について」
情報セキュリティってそもそも何?
大切な経営資源の1つである「情報」を様々なリスクから守ることが「情報セキュリティ」。
企業にとって欠かせない経営課題です。
「情報」は四大経営資源のひとつ!
現在は「ヒト・モノ・カネ」+「情報」、この4つが企業の四大経営資源と言われています。
「情報」は、「ヒト・モノ・カネ」とは切っても切り離せない関係です。例えばヒトの活用には人材データが必要ですし、カネの運用はデータで管理されます。
「情報」は、各経営資源を最大限に活用するためには不可欠なのです。
「情報」はリスクにさらされている!
PC、インターネットの普及に伴い、「情報」の形も変わってきました。
書類が「電子データ」になることで、郵便・ファクスは「メール・Webサイト」に、書庫や倉庫は「PC・サーバー・クラウドサービス」に形を変えています。
電子化によって、ネットワークで世界中に繋がることが可能になり、便利になった一方で、大切な「情報」がいつでも・どこからでも狙われるというリスクが生まれています。
大切な「情報」を様々なリスクから守る。
それが「情報セキュリティ」です。
現代社会では、あらゆる企業にとって欠かせない取り組みです。
電子化された「情報」の利用や保管は、従来の紙と同じというわけにはいきません。
電子データの正しい安全管理を行いましょう。
どんなセキュリティリスクがあるの?
企業を脅かすセキュリティリスクは大きく4つに分類できます。
それぞれの特性や考えうるリスクには次のようなものがあります。
セキュリティリスク4大要因
外部要因
設備要因
- ウイルス感染
ネットワークに侵入し、データを破壊したり情報を盗聴するなど不正行為を働きます。
- フィッシング詐欺
なりすましメールで偽サイトに誘導し、IDやパスワードを盗んで不正送金を行います。
- ランサムウェア
感染させたPCのデータを暗号化し、その復旧と引き換えに身代金を要求してきます。
- 標的型メール攻撃
標的組織に業務関連と思わせるウイルスメールを送り、開封させて重要情報を盗み出します。
- 機器の盗難・紛失
PCやUSBメモリーなどが盗難・紛失に遭い、情報漏えいに繋がるおそれがあります。
- データの破損
PCのハードディスクドライブ故障により保存データが破損するおそれがあります。
自然災害
- 自然災害
地震や火災など万一の障害により機器の故障やデータ消失のおそれがあります。
- 電源喪失
瞬間停電や不意のブレーカーダウンにより機器の故障やデータ消失のおそれがあります。
内部要因
- 情報漏えい
内部犯罪に限らず、機器の置き忘れや誤操作などの人的要因が情報漏えい事故に繋がります。
- データの改ざん・破壊
内部からの不正アクセスにより重要なデータが改ざん・破壊される危険性があります。
- 運用・操作ミス
メール誤送信や書類の紛失、不用意なウイルス感染などの不注意が事故に繋がります。
「うちには関係ない」と思っていませんか?
セキュリティ被害はいつどこで起こってもおかしくありません。
起こってしまう前にできる対策をしておきましょう。
よく見られるケース
うちみたいな小さい会社は狙われないでしょ。
会社の規模は関係ありません!
サイバー攻撃は、大企業をピンポイントで狙う「標的型攻撃」と、自動で無差別に狙う「無差別攻撃」に分かれます。
後者は企業規模に関係なく手あたり次第に攻撃してきますので、誰もが標的になり得ます。
またガードが堅い大手企業を攻撃するために、その取引先の中小企業を踏み台にするケースも増えています。
ウイルス対策ソフトを導入しているから大丈夫。
ウイルス対策ソフトだけでは不十分!
例えば泥棒対策として、玄関の施錠だけでは万全ではありませんよね。
窓の施錠や警報装置の設置など様々な対策が必要です。
「情報」を守るのも同じことで、ウイルス対策ソフトだけでなく多角的な対策で弱点を極小化することが最も有効です。
盗られて困るような情報は持ってないから大丈夫。
「情報が漏れる」ことが社会的信用を失う!
社員の個人情報や顧客情報、図面、コストなど、すべて重要な「情報」です。
形のない「情報」はいったん流出すると取り戻せず、さらに不正利用されて二次被害を生み出す可能性もあります。
取引先や客先にも被害を及ぼしかねず、社会的信用を失うことにもなりかねません。
被害にあったという話を身の回りで聞いたことがない。
公表されているのは氷山の一角です!
もし被害に遭ったのがあなただったとしたら積極的に公言するでしょうか?
取引先が被害に遭ったと聞いた相手は、自社の情報が漏れていないか心配になり、関係見直しを考えるかもしれません。
報道されている著名企業の被害事例は氷山の一角で、被害に遭っても公表しない企業が多いのが実情です。
そもそも何から手を付けていいか分かりません。
1日も早い対応が被害を防ぐ第一歩!
対策の必要性は感じるが、専門部署や専任者がおらず、どのような対策をしたらよいのか?誰に相談したらよいのか?が分からず、ついつい後回しになってしまっている、というのはよくお聞きする声です。
しかしセキュリティリスクは日々高まる一方ですので、1日も早い対応が被害を防ぐ第一歩です。
じゃあどうすればいいの?
社内ネットワークの入口・内部・出口にしかるべき対策を施しましょう。
ネットワーク対策図
入口対策
ファイアウォール
インターネットと社内ネットワークの間で通信の通過/遮断を判断します
IPS (侵入防止)
外部からの通信の中身を確認して、悪意のある通信などの不正侵入を防ぎます
アンチウイルス
最新のウイルス定義ファイルと照合し、ウイルスの侵入をブロックします
アンチスパム
スパムメールを検知し、駆除したりヘッダーを付加して区別しやすくします
サンドボックス
外部から来たファイルを仮想環境で実行させて、有害なプログラムの侵入を防ぎます
内部対策
アクセス権限の設定
保存データに適切なアクセス権限を設定し、内部からの情報漏えいを防ぎます
ログ記録と定期監視
PCやサーバーの操作ログを記録し、事故発生時の原因追跡に備え不正行為を抑止します
OS/アプリ更新
OSやアプリを最新状態に更新し、攻撃の的となる脆弱性を極小化します
端末のウイルス対策
PCやUSBメモリーなどネットワーク内の端末間ウイルス感染を防ぎます
盗難への物理的対策
PCやサーバーを施錠保管して盗難を防ぎ、データ暗号化により情報漏えいを防ぎます
災害・障害対策
データバックアップ
保存データは用途に応じて適切にバックアップを取り、万一の事態の復旧に備えます
電源喪失時の対策
UPS(無停電電源装置)などで、突発的な電源喪失に備えます
出口対策
アプリケーション制御
有害・不要なWebアプリケーションへのアクセス許可/禁止を制御します
URLフィルタリング
有害・不要なWebサイトへのアクセス許可/禁止を制御します
アンチボット
ボット感染PCから外部の指令サーバーへの通信を遮断して遠隔操作を防ぎます
セキュリティ対策製品のご案内はこちら