情報セキュリティ対策とは? 必要性や企業ができる対策の具体例を解説
パソコンやスマートフォンを使う機会の増加に伴い、企業活動における「情報」の重要性や漏洩のリスクも高まっているといえるでしょう。今やあらゆる企業で、情報セキュリティ被害が起こることを前提とした対策の実施が求められています。社外秘のデータを不正利用されないために、自社のセキュリティ対策を見直すことが必要です。
本記事では、情報セキュリティ対策の必要性や企業ができる対策の具体例について解説します。
情報セキュリティ対策とは企業が持つ情報の漏洩を防ぐ対策
情報セキュリティ対策とは、ウイルス感染や不正アクセスなどによる情報漏洩を防ぐための対策です。
情報化が進む昨今、規模を問わず多くの企業のデータが狙われています。開発データや顧客情報、経営情報といった重要なデータを守るために、適切な情報セキュリティ対策を行い、情報漏洩の被害に遭う確率をできる限り下げることが必要です。
情報セキュリティ対策が必要な理由
情報セキュリティ対策は、なぜ対策をしなければならないのかを、従業員も含めた一人ひとりが理解し、実行していかなければ最大限の効果を発揮できません。
一般的には下記の2点が、情報セキュリティ対策が必要な理由として挙げられます。
| 項目 | 概要 |
|---|---|
| 企業の信頼喪失や損害賠償の防止 | 情報漏洩が起きた場合に、情報セキュリティ対策のずさんさが原因になっていると、信頼喪失や損害賠償責任発生のリスクがある |
| 企業の基幹システム停止の回避 | 情報セキュリティ対策が不十分なことが原因で、パソコンやサーバー内のデータを暗号化して金銭を要求するランサムウェアなどの被害に遭うと、業務で使用するシステムが停止する可能性がある |
企業の信頼喪失や損害賠償の防止
情報セキュリティ対策がおろそかな状態で情報漏洩が起こると、企業の信頼を失ったり、損害賠償を請求されたりする原因になります。
個人情報の漏洩や企業情報の漏洩などが起こった場合、「なぜそれが起こってしまったのか」を利害関係者に説明しなければなりません。その際、情報セキュリティ対策のずさんさが原因であると受け止められてしまうと、顧客や投資家から「セキュリティに問題のある企業」「情報を預けるのはリスクがある」という評価を受けることになります。
反対に、万全の対策をしていたにもかかわらず情報漏洩が起こってしまった場合は、問題のある企業だという評価を受ける可能性は低く、原因となった不正アクセスなどの手口や今後の対策に目が行きやすくなるでしょう。
そもそもトラブルを起こさないことがベストですが、万一問題が起こってしまった場合は、それまで行ってきた対策の内容と事後対応によって企業の評価は大きく変わります。万全の対策をとって被害を防ぐと共に、問題発生時にはすぐに関係者に適切な説明ができるように準備しておくことが大切です。
- 併せて読みたい
企業の基幹システム停止の回避
ランサムウェア(感染したパソコンやサーバー内のデータを暗号化などで使用不能にし、復旧と引き換えに金銭を要求するマルウェア)や情報を書き換えるタイプのウイルスなどに感染すると、これまで通りの業務が行えなくなってしまいます。
現在、パソコンやサーバーなどを一切利用せずに仕事を行っている企業は、ほとんど存在しないといっても過言ではないでしょう。悪意ある攻撃によって社内の基幹システムが停止してしまったり、パソコンが使えなくなったりすれば、一切の業務が止まってしまいかねません。
業務が停止すれば、日々寄せられる顧客の要望に対応できなくなります。そのあいだに競合他社に顧客を奪われてしまう恐れも十分にあり、顧客からの信頼喪失と併せて、莫大な損失につながる可能性があります。
- 併せて読みたい
情報セキュリティ被害の主な種類
情報セキュリティ被害は、ウイルス感染や不正アクセスのような第三者の悪意のある行動によって引き起こされるものばかりではありません。引き起こされる原因や被害内容によって様々な種類に分類されますが、主な4種類について確認していきましょう。
| 項目 | 概要 |
|---|---|
| ウイルス感染 | メールの添付ファイルやWebサイトにウイルスを仕込まれることで、情報漏洩やデータの暗号化などの被害が発生 |
| 不正アクセス | システムの利用権限を持たない人物が不正に侵入してしまうことで、情報漏洩やデータの書き換えなどの被害が発生 |
| 端末の紛失などを原因とする情報漏洩 | 端末の紛失やメールの誤送信などによって、顧客や従業員などの個人情報、社外秘の機密情報が漏洩 |
| 機器障害 | 災害による大規模停電など、避けようのない障害によるトラブルによって必要な情報にアクセスできなくなることも、情報セキュリティ被害の一種 |
ウイルス感染
ウイルス感染は、メールの添付ファイルやWebサイトにウイルスを仕込まれることで起こる被害です。ウイルスの仕込まれた添付ファイルを開いたり、Webページを開いたりすると、パソコンなどがウイルスに感染してしまいます。
ウイルス感染後に引き起こされる被害は多種多様です。個人情報や社外秘の情報の漏洩を引き起こすものなどのほか、ランサムウェアもウイルス感染被害の一種です。
不正アクセス
不正アクセスとは、ID・パスワードを入力して利用するシステムなどに、利用権限を持たない人物が不正に侵入してしまうことです。漏洩したID・パスワードの情報が不正利用されたり、システムの脆弱性をつかれて必要な認証手順を踏まずにアクセスされたりすることで起こります。
本来、アクセス権を持たない人間が内部情報に不正アクセスすると、顧客情報や営業上の機密情報などを盗まれる可能性があり、情報の不正な書き換えなどが行われることもあります。
端末の紛失などを原因とする情報漏洩
情報漏洩被害は、ウイルス感染や不正アクセスといった第三者の悪意ある行動によって引き起こされることもありますが、従業員のミスによって起こることも珍しくありません。
企業のパソコンやスマートフォンには、顧客や従業員などの個人情報、社外秘の経営情報や製品開発に関する情報などが保存されています。これを紛失したり、盗まれたりすると、機密情報が容易に漏洩してしまうでしょう。また、メールなどの誤送信によって情報漏洩が引き起こされることもあります。
その他、事務所荒らしや車上荒らしによる端末類の盗難や、引ったくりなどによる情報漏洩なども、情報セキュリティ被害の一種です。
機器障害
災害による大規模停電など、避けようのない障害によるトラブルも、必要な情報にアクセスできなくなるという点では情報セキュリティ被害といえます。予備システムの配備や、リアルタイムでバックアップがとれる環境構築などで対策することも、情報セキュリティ対策の一種です。
情報セキュリティ対策の3大要件
情報セキュリティ対策を実施する際は、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つの要件をバランスよく満たすのが基本です。この考え方は、それぞれの英単語の頭文字からCIAと呼ばれることもあります。
情報セキュリティ対策の設計や評価の基本的な考え方としてCIAを押さえておけば、対策の方針を立てやすくなります。CIAのそれぞれの意味や対策例は、下記の通りです。
| 項目 | 意味 | 対策例 |
|---|---|---|
| 機密性 | 許可された者だけが情報にアクセスできること | アクセス制御、暗号化など |
| 完全性 | 情報が改ざん・破壊されていないこと | 改ざんを検知するシステムの導入など |
| 可用性 | 必要なときに情報とシステムが利用できること | バックアップの定期的な実施など |
これらの3要件は、トレードオフになる場合があります。例えば、厳しすぎるアクセス制御は業務効率を下げ、可用性を損なうことがあります。情報の重要性やリスクに応じて「どの情報にどの要件をどこまで求めるか」を検討し、例外の場合の手続きを定めると、バランスの良い情報セキュリティ対策を設計できるでしょう。
情報セキュリティ対策のポイント
情報セキュリティ対策を万全にするためには、情報を守るための基本を知っておく必要があります。そのために意識すべきポイントが、下記の3点です。
| 項目 | 概要 |
|---|---|
| 重要な企業情報や顧客データを厳重に守る | 重要性の高い個人情報や機密文書などについては、内部の人間であっても容易にアクセスしたりデータを持ち出したりできないようにしておくと、情報漏洩のリスクを軽減できる |
| 多層的な防御を導入する | ネットワーク、端末、アプリケーションといった層ごとに適切な対策を導入することで、様々な種類の脅威に対応できるようになる |
| 従業員教育を徹底する | 従業員一人ひとりの意識を高めていくことも、情報セキュリティ対策をする上では必須 |
重要な企業情報や顧客データを厳重に守る
重要性の高い個人情報や機密文書などについては、内部の人間であっても容易にアクセスしたりデータを持ち出したりできないようにしておくと、情報漏洩のリスクを大幅に軽減できます。
まずは情報資産の棚卸を行い、公開・社外秘・極秘などの機密区分と保管場所、担当者、保存期間を紐づけて管理するようにしましょう。その上で、保護の必要性に応じて閲覧や持ち出しに制限をかけたり、重要な情報は高レベルのセキュリティシステムで保護したりするなどの対策を実施すると安心です。
- 併せて読みたい
多層的な防御を導入する
情報セキュリティ対策では、多層的な防御を導入することも重要です。例えば、下記のように複数の層それぞれで対策を実施します。
| 対策を実施する層 | 概要 |
|---|---|
| ネットワーク防御 | ファイアウォールなどで、社内ネットワークに侵入する不審なアクセスを排除する |
| 端末防御 | ウイルス対策ソフトなどで、端末に侵入する脅威への対策を行う |
| アプリケーション防御 | Webアプリケーションなどのアプリケーションレベルでの脆弱性を突く攻撃を防ぐ |
このような多層防御によって、様々な種類の攻撃から社内の情報を保護することができます。ただし、導入する対策を増やすほど運用の手間は上がるため、アラート発生時の対応作業を自動化するSOARなども用いて、セキュリティインシデントに対処する担当者の負担を軽減することも重要です。
- 併せて読みたい
従業員教育を徹底する
いくらシステム面のセキュリティを整えても、「従業員が重要なデータを個人のUSBメモリにダウンロードした上に紛失した」「あやしいメールを開いてウイルスに感染した」といった人的な問題による漏洩を防ぐのは困難です。従業員一人ひとりの意識を高めていくことは、情報セキュリティ対策をする上で必須です。
- 併せて読みたい
情報セキュリティ対策の具体策
情報セキュリティ対策を万全にするためには、上記の各ポイントを押さえた適切な対策をこまめに打っていく必要があります。
続いて、最低限行っておきたい具体策を8つ紹介します。できるだけ早く必要な対策をとるようにしましょう。
| 項目 | 概要 |
|---|---|
| 1.アクセス制御を行う | 外部から社内のシステムに不正アクセスされることがないように、不正アクセスがないかどうか常時監視して不審なアクセスを検知できるようにしておき、アクセス権限の付与も最小限にする |
| 2.適切なセキュリティソフトを選定・導入する | ウイルス対策ソフト、EDR、ファイアウォール、IDS・IPS、WAFなど、複数の対策を導入し、多様な攻撃に備える |
| 3.定期的にOS・ソフトウェアを更新する | セキュリティの脆弱性に関する問題などを随時修正する更新ファイルが配布されたら、速やかにインストールする |
| 4.適切なパスワードを設定する | 端末へのログインなどで用いるパスワードは、大文字と小文字、数字を組み合わせる、一定以上の長さにするなどの社内ルールを定め、ルールに合致するパスワード以外は登録できないようにしておく |
| 5.情報の持ち出しに制限をかける | 従業員が顧客情報や社内の機密情報を容易に持ち出せてしまうと、データの紛失や漏洩リスクが高まるため、情報を持ち出すことができないような体制づくりを行う |
| 6.機器の廃棄時はデータの復元ができない状態にする | 廃棄された機器から機密情報を盗む事例もあるため、単にファイルを削除するだけではなく、物理的にHDDを破砕したり内部のデータを暗号化したりして、復元を困難にする |
| 7.不審なメールの見極め方を従業員に周知する | セキュリティソフトの検知を逃れた不審なメールが来ても、添付されたウイルスファイルを開いたり、不審なURLをクリックしたりすることがないように、注意が必要なメールの特徴を従業員に周知する |
| 8.情報管理のルールを設定し、その遵守を徹底する | 社内の様々な重要情報について誰がどのように管理を行うのか、情報にアクセスできる人の範囲や業務フローなどのルールを定める |
1.アクセス制御を行う
情報セキュリティ被害の多くは、情報へのアクセスを許可されるべきでない人にアクセスを許すことで引き起こされます。外部から社内システムへの不正アクセスが起きないよう、不正アクセスがないかどうか常時監視し、問題のあるアクセスを検知できるようにしておくことが重要です。
また、従業員のアクセス権限を悪用した情報漏洩などが発生した場合に被害を抑えるために、アクセス権限の適切な設定・見直しを行う必要もあります。例えば、従業員に付与する情報へのアクセス権限は、常に業務に必要な最低限の範囲に限り、定期的に権限が過大になっていないか見直すことが必要です。
加えて、従業員の退職などで不要になったアカウントは、速やかに廃棄するようにしましょう。退職者のアカウントへの不正アクセスから、セキュリティインシデントを招くこともあります。
- 併せて読みたい
2.適切なセキュリティソフトを選定・導入する
セキュリティソフトの導入も、情報セキュリティ対策の基本です。セキュリティソフトは、1つのウイルス対策ソフトを導入すればいいというものではなく、複数の対策を導入するのが一般的です。例えば、下記のような対策を導入します。
- 企業が導入すべきセキュリティソフトの主な例
-
- ウイルス感染を予防するウイルス対策ソフト
- 端末がウイルスに侵入された後に初動対応するEDR
- 社外のネットワークからの不審なアクセスを遮断するファイアウォール
- ネットワーク上の不審な通信を監視するIDS・IPS
- Webアプリケーションへの攻撃を防ぐWAF
なお、Windowsパソコンでは、Windows 10以降、ウイルス対策ソフトとしてMicrosoft Defender(旧Windows Defender)が標準搭載されるようになりました。しかし、Microsoft Defenderは、新しいウイルスへの対策が遅い、迷惑メール対策機能が限定されているなど、有料のセキュリティソフトと比較して不十分な部分もあります。企業の情報を守るためには、それに適した性能を有するウイルス対策ソフトの導入が求められます。
ウイルス対策ソフトにも多くの種類がありますが、新しいウイルスに対応するアップデートがスピーディーに行われているかどうかや、モバイル端末への対応可否などをチェックして選定しましょう。
3.定期的にOS・ソフトウェアを更新する
OSやソフトウェアは、セキュリティの脆弱性に関する問題などを随時修正、アップデートしています。更新ファイルが配布されたら、速やかにインストールすることも重要です。
ただし、ソフトウェアのサポート体制によっては、適切なアップデートが行われないこともあります。セキュリティソフトや会計ソフト、勤怠管理ソフトといった自社が利用しているソフトの中に、長い間アップデートが行われていないものがあれば、見直しを検討してください。
4.適切なパスワードを設定する
パソコンの立ち上げやシステムにログインする際のパスワードは、簡単に推測できないものにしなければなりません。誕生日や社員番号などは避ける必要があります。
大文字と小文字、数字を組み合わせる、一定以上の長さにするなど、社内ルールを定めて各端末のパスワードを設定することが大切です。ルールに合致するパスワード以外は登録できないようにしておけば、一定レベルのセキュリティを保てます。
なお、近年ではパスワードを自動作成、管理してくれるツールもあります。このようなツールを活用すれば、一切個人の情報と関係のない、推測されづらく複雑なパスワードを生成することが可能です。
5.情報の持ち出しに制限をかける
従業員が顧客情報や社内の機密情報を容易に持ち出せてしまうと、データの紛失や漏洩リスクが高まります。情報を持ち出すことができないような体制づくりが必要です。
具体的な対策としては、「業務に必要なデータを原則として業務用パソコン以外の記録媒体に保存できないようにする」「持ち運び可能な外部メディアの利用を禁止する」「社内のパソコンは持ち出さずにセキュリティワイヤーをつけた状態で帰宅する」などがあります。
6.機器の廃棄時はデータの復元ができない状態にする
パソコンなどの機器の廃棄や売却時には、ストレージ上のデータを復元不能な方法で消去することも、情報セキュリティ対策として重要です。廃棄された機器から機密情報が盗まれた事例もあるため、廃棄手順のルール化と、適切に廃棄したことを示す証跡の保管が必要になります。
単にファイルを削除しただけでは専用ツールで復元されるおそれがあるため、物理的にHDDを破砕したり、内部のデータを暗号化したりして、復元を困難にすることが必要です。場合によっては、ベンダーからデータ消去の手順が示されていることもあるため、その場合は指定された手順に沿って廃棄します。
リース会社に返却したり、リサイクル業者を使ったりする場合は、契約書にデータの消去義務と検証方法、紛失時の報告義務を明記し、作業記録の提出を求めましょう。
7.不審なメールの見極め方を従業員に周知する
セキュリティソフトには、ウイルスファイルが添付されているような不審なメールを除外する機能がついているのが通常ですが、過信は禁物です。万が一、セキュリティソフトの検知を逃れた不審なメールが来ても、添付されたウイルスファイルを開いたり、不審なURLをクリックしたりすることがないように、注意が必要なメールの特徴を従業員に周知しましょう。
具体的には、下記のようなルールを導入することが考えられます。
- 不審なメールを見極めるためのルールの例
-
- ファイルの拡張子を確認する
- アドレス帳に登録されたメールアドレスからの連絡かどうか確認する
- 事前に総務部やセキュリティ管理部門等から案内がなかったシステムアップデートファイルは開かないルールにする
また、不定期にメールの防犯意識を確認するための訓練を行うのも効果的です。不審な条件を満たすメールを従業員に対して送信し、ファイルを開いてしまった従業員に対して改めて教育を行うといった方法があります。
8.情報管理のルールを設定し、その遵守を徹底する
情報漏洩を防ぐための基本的な対策は、情報をどのように扱うかのルールを設定し、浸透させることです。社内の様々な重要情報について誰がどのように管理を行うのか、情報にアクセスできる人の範囲や業務フローなどのルールを定める必要があります。
また、テレワークの際はクラウドサービスを利用した情報のやりとりなどが発生して、通常時とは異なる経路での情報漏洩が起きやすくなるため、テレワーク時の情報管理のガイドラインを設定することも重要になるでしょう。他にも、情報の取り扱いに関する下記のような基本的なルールを設けることも必要となります。
- 情報の取り扱いに関する主なルール
-
- 業務用のデータを私用端末に保存しない
- 許可されたデバイス以外は利用しない
- 定期的なバックアップを実施する
- ファイル共有サービス利用時にはアクセス権限・期限などの設定を適切に行う
セキュリティ対策が必要な重要情報を業務上で利用したい場合の手順などもあらかじめ決めておくことで、常に一定のルールに基づいた運用ができます。
情報セキュリティ対策でリスクを減らそう
情報セキュリティ被害を受けるリスクを軽減するためには、事前に様々な方法で対策をしておくことが重要です。外部からの不正アクセスはいつ起こるかわからないため、自社の対策に問題がある場合は、早急に対策をとらなければなりません。
なお、下記のリンクより、チェックリスト付きの情報漏洩対策マニュアルをダウンロードしていただくことが可能です。現在の情報セキュリティ対策について見直しが必要かなどの確認に、ぜひお役立てください。
