経営者・IT管理者・利用者はどんなセキュリティ対策をするべき?システムのセキュリティ対策を徹底解剖!
デジタル化が進む現代のビジネスにおいて、システムを安全な状態で利用できることは、あらゆる組織にとって不可欠な要素といえるでしょう。サイバー攻撃の巧妙化と頻発化により、高度なセキュリティ対応が求められる中、具体的に企業はどのような対策をすべきなのでしょうか。
セキュリティ対策は、経営層、IT管理者、システム利用者の全てが高い意識をもって初めて実現できるものです。本記事では、経営者、IT管理者、そしてシステム利用者が押さえておくべきセキュリティ対策について詳しく解説します。
セキュリティ対策とは
セキュリティ対策とは、サイバー攻撃や不正アクセス、ウイルス感染、内部不正などのセキュリティの脅威から、システムやデータを守るための一連の手段や方法のことです。
セキュリティ対策は、大きく分けて物理的セキュリティ、技術的セキュリティ、および管理的セキュリティの3つに分類されます。
- 物理的セキュリティ:サーバールームへのアクセス制限、監視カメラの設置など、物理的な場所やハードウェアを保護するための対策。
- 技術的セキュリティ:ファイアウォールや暗号化技術、ウイルス対策ソフトウェアを用いたシステム保護策。
- 管理的セキュリティ:情報セキュリティポリシーの策定、従業員教育、セキュリティインシデントの対応プロセスの構築など。
これらの対策を行い、組織の重要情報を守りつつ、業務の安定性と信頼性を確保し、顧客や取引先との信頼関係を維持していきます。
なお、そもそもセキュリティとはどのようなものであり、どのようなセキュリティ脅威が存在するのかについては、以下の記事でご紹介しております。本記事と併せてご覧いただくと、より理解が深まるかと思いますので、ぜひご参照ください。
※関連記事:システムにおける最新のセキュリティ対策 求められる要素を紹介
具体的なセキュリティ対策方法(経営者編)
ここからは、具体的なセキュリティ対策方法について、経営者目線、IT管理者目線、IT利用者目線の3つからご紹介します。
はじめに、経営者が意識すべきセキュリティ対策について解説します。
情報セキュリティ基本方針の作成
すべてのセキュリティ対策の起点となるのが、情報セキュリティ基本方針です。情報セキュリティ基本方針とは、企業がどのようにセキュリティ対策を進めていくのかを大まかに定めたものであり、具体的には以下のような項目が含まれます。
経営者が持つ責任
例:当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
社内体制の整備方法
例:当社は、情報セキュリティの維持および改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。
従業員の取り組み
例:当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。
法令および契約上の遵守事項
例:当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。
トラブル発生時の対応
例:当社は、情報セキュリティに関わる法令違反、契約違反および事故が発生した場合には適切に対処し、再発防止に努めます。
※参考:情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」
具体例を見ていただくとわかるとおり、情報セキュリティ基本方針はあくまで方向性を定義するものであり、具体的な対策については別途細かく定めていくこととなります。
情報セキュリティ基本方針は一般的に社外へ公開し、企業としてのセキュリティ対策方針を示すものとされています。
管理体制の構築
経営者としてやるべきセキュリティ対策の一つとして、管理体制の構築が挙げられます。ITセキュリティ対策の最高責任者は、社長もしくはITに関する管掌役員など、経営層が担うべきものです。さらに、責任者のもと実際に対策を進める担当者として、IT管理者を任命します。企業の規模によっては、事業ごと、業務領域ごとに担当者を設定することも考えられます。
セキュリティ対策への投資
セキュリティ対策には必ずコストがかかります。機器の導入や従業員に対する研修、定期的なペネトレーションテストなど、さまざまな投資や取り組みが必要です。
経営者として、セキュリティ対策にはお金がかかるということを認識したうえで、必要な予算を確保し、投資の承認を行います。
具体的なセキュリティ対策方法(IT管理者編)
続いて、セキュリティ対策の実働を担うIT管理者の目線で、どのような対策を行うべきかについてご紹介します。
社内ネットワークへ接続できる機器の限定
セキュリティ対策の重要な観点として、社内ネットワークへの侵入をいかにして防ぐかが挙げられます。悪意のある攻撃者に社内ネットワークへ侵入されてしまうと、社内のあらゆるシステムやデータへアクセスされてしまいます。まずは、社内ネットワークへの侵入を防ぐ必要があります。
社内ネットワークへの侵入を防ぐためには、まずネットワークへアクセスできる機器を制限します。具体的には、PC端末ごとにアクセス制御を行うことで、それ以外の端末からのアクセスを防ぎます。併せて、ログを収集することで、万が一不正なアクセスがあった場合に早期に把握できるようにします。
テレワーク時のルール整備
テレワークは従業員にとって魅力的な働き方ですが、一方でセキュリティ面では注意しなければならないこともあります。たとえば、カフェなどでテレワークを行った際に、PCをのぞき見されてしまい機密情報が漏えいしてしまったり、セキュリティ強度の低いWi-Fiにアクセスしてしまい情報が盗まれてしまったりといったケースが考えられます。
このようなセキュリティ事故を防ぐためには、テレワーク時にどのような対応をとるべきか、社内でルールを整備したうえで、従業員に対してルールを徹底する必要があります。
パスワードルールの定義
社内で利用するPCやスマートフォン、業務システム、SaaSなどにおいて、どのようなパスワードを設定するかをルールとして定めます。パスワードの強度は、文字数の長さや記号・数字など利用する文字種別の種類によって決まります。たとえばIPA(情報処理推進機構)では、以下の4つを満たすパスワードを安全なパスワードと定義しています。
- 最低でも10文字以上の文字数で構成されている。
- パスワードの中に数字や、「@」、「%」、「”」などの記号も混ぜている。
- パスワード内のアルファベットに大文字と小文字の両方を入れている。
- サービスごとに違うパスワードを設定している。
このような定義も参考にしつつ、社内でどのようなルールを定めるかを検討し、社員に徹底させます。
定期的な修正プログラムの適用
アプリケーションやミドルウェア、OS、ネットワーク機器などに対して、定期的に修正プログラムを適用します。これらのソフトウェア・ハードウェアに対して脆弱性が見つかった場合、迅速に修正プログラムを適用しないと、悪意のある攻撃者からの攻撃対象となりかねません。自社で保有しているソフトウェア・ハードウェアを一覧化したうえで、各製品のアップデート情報を収集し、セキュリティに関する修正プログラムを迅速に適用できる体制を整えましょう。
クラウドサービスの利用ルール検討
テレワーク先含め、どこからでも利用できるクラウドサービスは非常に便利な存在です。しかしながら、自由に従業員にクラウドサービスを利用させてしまうと、いわゆるシャドーIT(管理者の管理外となっているIT)となりセキュリティ上の懸念が生じます。
クラウドサービスの利用ルールを定め、従業員に順守させる必要があります。たとえば、以下のような観点をルールに含めるべきでしょう。
- クラウドサービスを利用する場合は、必ずIT管理者へ申請を行う
- セキュリティチェックシートを作成し、利用するクラウドサービスが自社のセキュリティ水準を満たしているかをチェックする
- クラウドサービスの管理者を定め、アカウント・IDの管理を行わせる など
インシデント発生時の対応方法整備
万が一セキュリティ上の問題が発生した場合には、迅速な対応が求められます。事前にセキュリティインシデントが発生した場合の対応フローや対応のための体制を定めておきましょう。
このようなインシデント発生時の体制のことを「CSIRT(Computer Security Incident Response Team)」と呼ぶこともあります。社内でCSIRT組織を整備することで、迅速なインシデント対応を実現することができます。
セキュリティ研修の企画
いかに管理者がセキュリティ対策を進めたとしても、従業員による情報漏えいや不正アクセスを完全に防ぐことはできません。近年では標的型攻撃に代表されるように、従業員を狙ったセキュリティ脅威も増えています。そこで、管理者としてセキュリティ研修を企画し、従業員への受講を徹底するようにしましょう。
研修の受講を徹底するために、たとえばセキュリティ研修を受講していない従業員には社内でのインターネットの利用を禁止するといった対応も必要です。
継続的な情報収集
セキュリティに関する情報は日々アップデートされていきます。管理者として継続的な情報収集を行うことが重要です。
セキュリティの脅威は日々進化を続けており、いたちごっこのように対策を継続しなければなりません。情報収集速度が遅れれば対策が遅れ、結果としてセキュリティ脅威の被害を受けることともなりかねません。
自身での情報収集の他、ベンダーからの情報提供なども活用しつつ、最新の情報を入手できるようにしましょう。
具体的なセキュリティ対策方法(利用者編)
最後に、システムの利用者が行うべきセキュリティ対策方法についてご紹介します。
セキュリティ教育の定期的な受講
近年では、システムの利用者をターゲットとしたサイバー攻撃が多発しています。ランサムウェアの被害も、多くは一般の利用者が不用意にメールを開いてしまったり、フィッシングサイトにアクセスしてしまったりといったことが原因となっています。
このような事態を防ぐために、システムの利用者は定期的にセキュリティ教育を受ける必要があります。システム管理者が提供する研修に参加し、最新のセキュリティ知識やメール等の取り扱い方、アクセスしてはいけないWebサイトなどについて学ばなければなりません。
不審なメールを開かない
メールの添付ファイルを不用意に開いてしまうと、そこからウイルスに感染したり、マルウェアの被害にあったりしてしまいます。身に覚えのないメールについては、決して開かないことが重要です。
また、標的型攻撃として取引先を装って金銭や情報をだまし取る被害も発生しています。たとえば、取引先を語るメールにて「急きょ入金先の口座が変更となったため、XXXXXXに振り込んでほしい」という内容が送られてきたとします。このようなメールを受領した際には、電話その他の別の手段にて取引先に確認を行った上で対応すべきです。万が一悪意のある攻撃者からのメールであった場合、攻撃者の口座に振り込んでしまった金銭は盗み取られてしまいます。
適切なパスワード設定
社内でパスワードルールが定義されている場合、そのルールに従ってパスワードを設定しましょう。文字数が少なかったり、英語の小文字のみで構成されていたりするパスワードは強度が低く、悪意のある攻撃者が何度もランダムにパスワードを入力することでアカウントを乗っ取る「ブルートフォース攻撃」に対応できません。たとえシステム上で複雑なパスワードが求められなかったとしても、自衛として自ら複雑なパスワードを設定するようにしましょう。
記憶媒体の管理
セキュリティ事故としてありがちなのが、USBメモリを紛失してしまい個人情報や機密情報を流出させてしまうというケースです。このような事態にならないように、規則媒体の管理について徹底する必要があります。
USBやCD、DVDといった可搬性のある記憶媒体は、可能な限り利用しないことをおすすめします。利用せざるを得ない場合も、最小限の利用とし、目的が完了したらデータを消去するなどの対応を行うべきでしょう。
PC画面のロック
テレワーク時に特に注意したいのが、PC画面のロックです。カフェなどで作業中に席を外す際などにロックをかけ忘れてしまうと、PCの内容をのぞき見られてしまうこととなります。機密情報の漏えいにもつながりますので、離籍時のPC画面ロックは徹底するべきでしょう。
まとめ
この記事では、経営者、IT管理者、システム利用者のそれぞれの観点から、押さえておくべきセキュリティ対策について紹介しました。経営層・管理者層・利用者層ではそれぞれ異なった観点でのセキュリティ対策が求められます。セキュリティの脅威は常に進化しているため、継続的な情報収集と対策の更新が重要です。
この記事をシェア
