【2023年版】情報セキュリティ対策の具体例やポイントを徹底解説
目次
サイバー攻撃や不祥事による情報漏えいなどの被害を見聞きし、セキュリティ対策に理解を深めたい方もいるのではないでしょうか。
ビジネス環境の変化に合わせてサイバー攻撃も巧妙化するため、企業の情報セキュリティ対策も変えていく必要があります。特にテレワーク導入企業は、各従業員のセキュリティ意識やモラルも重大なリスク要因です。想定される脅威と適切な対策をよく分析し、安全なリモートアクセスや情報・ファイル共有の方法を整備しましょう。
そこでこの記事では、セキュリティ対策の概要や具体的な脅威と対策方法・ポイントについて紹介します。
情報セキュリティ対策の3大要件とは
情報セキュリティは一般的に、情報のConfidentiality(機密性)・Integrity(完全性)・Availability(可用性)を確保することと定義されます。この3大要件の頭文字を取った「情報セキュリティのC.I.A.」を守ることが、情報セキュリティ対策の基本です。C.I.A.の要件が満たされているとき、情報のセキュリティが確保されているとみなされます。
Confidentiality(機密性)
情報のConfidentiality(機密性)とは、正当な権限を持った者だけが情報に触れられる状態です。故意や過失による情報の漏えいや改ざんを防ぎ、機密性を確保するには、以下のようなセキュリティ対策が求められます。
・保存・通信データの暗号化
・ID・パスワードの管理
・二要素認証など強力な認証システムの標準化
・所属や権限に応じた情報や機能へのアクセス制御
・情報の閲覧・複製・移動などに関する履歴の記録や監査
・USBメモリなどによる情報持ち出しの禁止または制限
Integrity(完全性)
情報のIntegrity(完全性)とは、情報の破壊・改ざん・消去がなく、正確さを保っている状態です。完全性を確保するには、以下のようなセキュリティ対策が求められます。
・情報にデジタル署名を付与する
・情報の変更・削除などに関する履歴の記録や監査
・ファイルのバージョン管理
・アンチウイルスソフトによるマルウェアの検知
・ファイアウォールによる不正アクセスの検知
・監視カメラなどによるサーバルームへの不正侵入防止
・HDDなどの定期的なメンテナンスとリプレース
・データの定期的なバックアップ
Availability(可用性)
情報のAvailability(可用性)とは、必要な人が必要なときに、情報に触れることができる状態です。可用性を確保するには、システムを安定的に運用する体制を構築するために、以下のようなセキュリティ対策が求められます。
・OSやソフトウェアの定期的なアップデート
・サーバやインターネット回線の冗長化構成
・UPS(無停電電源装置)や自家発電装置の運用
・耐震設備やガス消火設備の運用
・システムのクラウド化
・BCP(事業継続計画)の策定と緊急時対応の訓練
【関連記事:サイバーセキュリティとは?サイバー攻撃の具体例、対策の施策例を解説】
情報セキュリティ対策は個人・企業両方で必要
テレワークなど柔軟な働き方の導入により、機密情報や顧客情報を保存する場所は多様化しています。また、取引先・委託先とネットワーク経由でやり取りすることも一般化しています。
情報の機密性・完全性・可用性を脅かすリスク要因はオフィス外にも拡大しているため、個人のセキュリティ意識を高めるとともに、サプライチェーンも意識したセキュリティ対策が必要です。
個人のセキュリティ意識の高さは必須
PCやスマホなど個人デバイスの利用方法は、SNS・ネットショッピング・ゲーム・個人向けクラウドストレージなど多種多様です。ユーザーは多くのパスワード・IDを使い分けていることから、利用したWebサービスを把握し切れていないケースも珍しくないでしょう。またフィッシング詐欺など個人を狙ったサイバー攻撃も多様化・巧妙化しています。
個人デバイスの高性能化やリモートワークの普及・拡大などに伴い、BYOD(私物デバイスの業務利用)を認める企業も増えている状況です。従業員のセキュリティ意識が低い場合、企業の機密情報や顧客情報が個人デバイスから漏えいする恐れもあります。
【関連記事:BYODとは?メリット・デメリットや導入時の環境整備を分かりやすく解説】
企業はサプライチェーンも意識した対策が必要
クラウドサービスの活用やDX(デジタルトランスフォーメーション)の取り組みなどに伴い、オンプレミス(自社運用)環境をクラウド化する企業も増えています。
モバイルデバイスやWi-Fiの業務利用も一般化している中、情報にアクセスするデバイスや場所、業務ファイルの保存場所や関連データの流れは複雑化している状況です。
自社だけでなく取引先・委託先などのサプライチェーンも情報セキュリティ上の脅威にさらされているため、以下のような多角的な対策が求められています。
・サイバー攻撃による情報窃取・改ざんやサービス停止への対策
・自然災害によるITインフラの障害への対策
・サーバルームへの侵入や人為ミスによるオフィス内からの情報漏えいへの対策
個人・企業の基本的な情報セキュリティ対策
情報セキュリティ上のリスク要因は多種多様です。ここでは、「マルウェア感染」「不正アクセス」「情報漏えい・盗難」「自然災害・紛争」というリスク要因別に、個人・企業の基本的な情報セキュリティ対策を解説します。
マルウェア感染
マルウェア(malware)とは、データ・ファイルや情報システムを狙ってさまざまな攻撃を仕掛けるソフトウェア(コード)の総称です。マルウェアはインターネットなどのネットワーク経由で侵入し、LAN内で感染拡大を起こす場合があります。主なマルウェア感染対策は以下の通りです。
・ビジネスメール詐欺など攻撃手法の最新情報をキャッチアップし、適宜社内で注意喚起する
・セキュリティ意識やITリテラシーに関する研修を実施し、人為ミスによる感染を防止する
・ビジネスチャットやクラウドストレージの活用を標準化し、メールによる情報・ファイル共有から脱却する
・感染リスクの高いWebサイトやWebサービスへのアクセスを制限する
・アンチウイルスソフトのウイルス定義ファイルを常に最新に保つ
・未知のマルウェア検知に対応するセキュリティソリューションを導入する
【関連記事:シャドーITとは?リスクとセキュリティ対策、導入管理すべきサービスを解説】
不正アクセス
不正アクセスは、アカウントの窃取やセキュリティホールの悪用によって発生します。不正アクセスによって大量の情報が流出するトラブルは多いため、忘れずに対策しましょう。有効な対策の一例は以下の通りです。
・アカウントを適切に管理する
・インストールしているソフトウェアを常に最新版にアップデートする
・ファイアウォールを導入・運用する
・SQLインジェクションに対策する
サーバ・クライアント・ネットワークそれぞれに必要な対策を施すことで強固なセキュリティを確保できます。
情報漏えい・盗難
情報漏えいは従業員の過失で発生するケースが多いトラブルです。盗難も過失が引き金になるケースがあるため、情報管理を徹底する必要があるでしょう。情報漏えい・盗難への対策として有効な方法は以下の通りです。
・宛先チェック機能を搭載したメーラーを使用する
・重要書類を社外に持ち出せないようにルール化して遵守する
・研修を行って従業員のセキュリティ意識を高める
・機密情報・顧客情報は限られた従業員しかアクセスできないようにする
・紙ベースで保存している機密情報は堅牢な金庫もしくは施錠された部屋に保管する
・クラウドストレージのアクセス権を適切に設定する
企業によって適切な対策は異なりますが、サーバ・クライアント・ルール・従業員に対して網羅的に対策を施しましょう。
自然災害・紛争
自然災害や紛争は企業の努力によって避けられるものではありません。しかし、事前に適切な対策を施すことで被害を軽減できます。災害や紛争が発生すると機密情報が失われるリスクがあるため、以下の対策を施すのがおすすめです。
・複数のバックアップを定期的に取って分散して保管する
・クラウドストレージにデータを保存する
自社で保存しているデータをクラウドストレージ上に保存することで、データが消失するリスクを減らせます。政情不安が懸念されている国にオフィスがあるなら、政情が安定した国にデータを移動させる必要があるでしょう。
企業を取り巻く脅威と情報セキュリティ対策の具体例10選
個人・企業のIT活用が変化するとサイバー攻撃のトレンドも変わります。数年前には目立たなかったサイバー攻撃が深刻な脅威となっているケースもあるため、最新情報から対策を考えることは重要です。
ここでは、IPA(情報処理推進機構)による「情報セキュリティ10大脅威 2023」に基づき、企業を取り巻く情報セキュリティ上のリスクと対策を解説します。
ランサムウェアによる被害
PCやサーバがランサムウェアに感染すると、端末のロックやデータの暗号化が行われ、復旧と引き換えに金銭を要求されます。感染経路はメールの添付ファイルやリモートデスクトップへの不正ログイン、Webサービス・OS・アプリの脆弱性を悪用したものなどです。
近年は二重脅迫型や四重脅迫型のランサムウェア被害も増えています。
・二重脅迫:暗号化前に重要情報を窃取し、金銭を支払わなければ窃取した情報を公開すると脅迫
・四重脅迫:二重脅迫に加え、DDoS攻撃(Distributed Denial of Service Attack:分散型サービス妨害攻撃)を仕掛ける、被害者の利害関係者へ連絡するなどと脅迫
金銭を支払ったとしても、データの復旧や漏えいした情報の削除が行われるとは限りません。企業生命を脅かす重大な脅威であるため、インシデント対応体制を確立することが急務です。
【関連記事:ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説】
サプライチェーンの弱点を悪用した攻撃
企業には何らかの形でサプライチェーンとの関係性があります。例えば取引先や委託先、導入しているソフトウェア、利用しているクラウドサービスなどです。
セキュリティ対策の強固な標的を直接攻撃せず、そのサプライチェーンの脆弱な部分を攻撃し、そこを踏み台として間接的および段階的に標的を狙うサイバー攻撃も増えています。
自社が本命の標的となる場合もあれば、踏み台となって取引先を攻撃されることも考えられるため、取引先・委託先などと連携したインシデント対応体制の確立が必要です。
標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の企業や官公庁に狙いを定めたサイバー攻撃の総称です。以下のような手口により、機密情報の窃取などを目的としたウイルスをPCやサーバに感染させることで、組織内部へ潜入します。
・やり取り型攻撃:メールのやり取りを複数回行い被害組織の従業員や職員を油断させ、不審を抱かれにくいようにしてウイルスに感染させる
・水飲み場型攻撃:従業員や職員を改ざんしたWebサイトにアクセスするよう誘導し、使用したPCをウイルスに感染させる
・不正アクセス:VPNサービスなどの脆弱性を悪用して不正アクセスにより認証情報を窃取し、正規の経路で侵入してPCやサーバをウイルスに感染させる
被害の発覚が遅れて1年半以上も情報窃取を許していたケースもあるため、従業員の情報リテラシー・モラルの向上や、サーバ関連設備などに対する適切なセキュリティ対策が必要です。
内部不正による情報漏えい
組織関係者が技術情報や顧客情報などの重要情報を不正に持ち出し、不特定多数が閲覧できる場所に公開したり、競合他社へ有利に転職するために情報提供したりするケースもあります。内部不正による情報漏えいは、金銭目的や私怨によるものが一般的です。
また、自宅で作業するためなどに持ち出した情報を誤って紛失するケースもあります。重要情報の漏えいは社会的信用の失墜や多額の損害賠償などを招くため、以下のようなセキュリティ対策が必要です。
・アクセス権の登録・変更・削除に関する手順の厳格化
・USBメモリやスマホの利用制限と持ち出し/持ち込みの管理
・システム操作履歴の監視とその事実の周知
・DLP(情報漏えい対策)などのツールの導入
・記録媒体を廃棄する際はデータを復元不可能な形で消去するか、物理的に破壊する
・従業員に秘密保持義務を課す誓約書を作成させる
【関連記事:情報漏えいの原因と対策とは?2021年発表の原因ランキングや最新動向も解説】
テレワークなどのニューノーマルな働き方を狙った攻撃
2020年以降、新型コロナウイルス感染症対策の一環として、政府はニューノーマルな働き方の1つであるテレワークを推奨しています。
テレワークの業務環境にはWeb会議システムやVPNサービスが必須です。これらのシステムの脆弱性や設定ミスを狙い、社内システムにアクセスしたりPC内の業務情報を窃取したりするサイバー攻撃が蔓延しています。また、2022年上半期の国内ランサムウェア感染経路は、大部分がリモート接続の脆弱性に起因するものでした。
セキュリティに強いテレワーク環境を採用するとともに、テレワーク規程や運用規則の整備が求められます。
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
OSやソフトウェアの開発ベンダーが脆弱性を発見すると、修正プログラム(パッチ)や回避策を公開します。
しかし、それより先に攻撃者が脆弱性を発見した場合、攻撃コードなどを作成して脆弱性を悪用した攻撃(ゼロデイ攻撃)を仕掛けるケースがあります。ユーザー数の多いサービスに対するゼロデイ攻撃は被害が広範囲に及び、また確実な対策は困難です。
脆弱性関連情報の収集と迅速な対応ができる体制を整えるとともに、セキュリティ関連サポートの充実したソフトウェアを使用するなどの対策が求められます。
ビジネスメール詐欺による金銭被害
ビジネスメール詐欺とは、取引先や自社の経営者などを装い偽のメールを組織の従業員へ送り付け、最終的に偽の銀行口座に送金させるサイバー攻撃です。
メールのCC欄に請求先企業関係者のメールアドレスに似せた偽のメールアドレスを指定するケースもあれば、請求側担当者のメールアドレスを乗っ取って正規のメールアドレスで請求側担当者のふりをするケースもあります。
有効な対策方法は、メールに依存しない業務フローを構築することです。メールを使わざるを得ない場合、人の目で誤認を避ける必要があるため、メール以外の複数の連絡手段で事実確認をするなどの対策が求められます。
脆弱性対策の公開に伴う悪用増加
パッチや回避策が公開される前に発見されたソフトウェアの脆弱性を「ゼロデイ脆弱性」と呼ぶのに対し、公開後にパッチの適用や回避策を講じるまでの期間(N日)の脆弱性を「Nデイ脆弱性」と呼びます。
脆弱性情報はセキュリティ対策に役立ちますが、同時に攻撃者はその情報を悪用し、対策を講じる前のシステムに攻撃を仕掛けることが可能です。ソフトウェア管理が不適切な企業は、こういった攻撃に対して無防備な時間が長くなります。
脆弱性関連情報を収集して迅速に対策を講じる体制は必須です。パッチや回避策をすぐに適用できない場合、サーバの一時的な停止なども視野に入れる必要があります。
不注意による情報漏えいなどの被害
メールの誤送信や記録媒体の紛失などの不注意による情報漏えい事故も発生しています。例えば、「Bcc欄に入れるはずだったメールアドレスをTo欄に入れて送信してしまった」「個人情報の入ったUSBメモリを紛失してしまった」といったケースです。
こういったインシデントは、組織の情報管理に関する規程の不備や、従業員のセキュリティ意識の低さを改善しなければ防止できません。
まず従業員の情報リテラシーやモラルの向上は必須です。安全性の高いクラウドストレージで情報を一元管理し、アクセス権限の管理体制を強化するなどの取り組みも求められます。
犯罪のビジネス化(アンダーグラウンドサービス)
サイバー攻撃を目的としたツールやサービス、IDやパスワードなどの情報がアンダーグラウンドで取り引きされています。
企業のネットワークへ不正アクセスするための情報や、フィッシングなどで取得した個人情報が、ダークウェブで売買されるケースも珍しくありません。攻撃者はITに関する高度な知識がなくても、こういった情報を購入することで容易にサイバー攻撃が可能です。
DDoS攻撃代行サービスなども販売されており、企業がサイバー攻撃を受けるリスクは高まっています。ID・パスワード管理などの基本的なセキュリティ対策はもちろん、システムの冗長化やバックアップ運用など、被害を受けることを前提とした多角的な対策が必要です。
情報セキュリティ被害に遭わないための5つのポイント
情報漏えいを防ぐには、自社がすでに行っているセキュリティ対策を振り返って不十分な部分を洗い出し、追加の対策を施すことが必要です。
1.デバイスのセキュリティを強化する
日々の業務にPCやスマホ・タブレットなどのデバイスを使用する方も多いでしょう。マルウェアや不正アクセスなど、業務に使用するデバイスを介した攻撃も多数発生しています。
業務で使用するデバイスに適切な対策を施すことで情報漏えいのリスクを低減できるため、この機会に見直しましょう。有効な対策の一例は以下の通りです。
・デバイスにロックを掛ける
・ログイン情報(ID・PW)を適切に管理する
・セキュリティソフトをインストールして最新版にアップデートする
・デバイス内のデータを暗号化する
・通信にVPNや閉域網を使用する
これらの対策を複合的に施すことで、万が一デバイスを紛失しても内部の情報を守りやすくなります。外部からの攻撃への対策にもなるでしょう。
2.従業員の意識を高める
必要なセキュリティ対策を施してルールを策定しても、従業員の意識が低いといずれ守られなくなってしまう恐れがあります。システムに強固な対策を施しても従業員が自らセキュリティホールを作ってしまっては本末転倒なので、定期的な意識向上を図りましょう。
意識を向上させるには、定期的に研修を行ったり実情に応じて対策を見直したりすることが必要です。
3.自社のセキュリティ対策を把握する
まずは、企業全体で「現在どのようなセキュリティ対策を講じているか」を共有しましょう。リスクについて理解するだけではトラブルを避けられません。トラブルに発展するリスクと、実際に行っている対策を併せて把握することが大切です。
管理職や情報管理に関わる人材だけではなく、従業員全体で共有できるとより高い効果を期待できます。些細なミスが原因で漏えいするリスクへの理解を深めることで、偶発的脅威を回避する結果にもつながるでしょう。
4.自社の事業規模や売上推移を把握する
セキュリティ対策と事業規模は重要な関係性があります。「セキュリティ対策に脆弱性があるかどうか」という視点だけではなく「事業規模に合った対策ができているのか」を重視しましょう。顧客数が増加して規模拡大が見込まれるのであれば、セキュリティ対策の強化も検討しなければなりません。
売上の推移も同様に重要な要素です。今後さらに売上向上を目指しているなら、規模拡大に向けて対策を考えはじめたほうがよいでしょう。
5.情報セキュリティの専門会社に診断を依頼する
情報セキュリティに関する取り扱いは慎重に進めなければなりません。セキュリティ対策の能力が高まると同時に、脅威も日々進化しているためです。導入当時は最新のシステムでも、数年後には脆弱性が発覚して不正アクセスにつながる可能性があります。
セキュリティ対策の知識が乏しい方にとって、脅威を防止することは困難でしょう。安心できる状態を持続するためにはプロに任せるのも1つの方法です。対策状況を診断してもらい、改善したほうがよいシステムのアドバイスを求めましょう。
情報セキュリティ対策の強化に効くサービス整備はイッツコム!
VPNサーバの運用やメールの利用は、それ自体がセキュリティリスクになります。イッツコムが提供する「モバイル閉域接続」ならVPNより安全なリモートアクセスができ、「Box」ならメールを脱却しつつ総合的な情報セキュリティ対策が可能です。テレワーク環境の情報セキュリティ対策に効果的な、2つのサービスの魅力を解説します。
「モバイル閉域接続」でVPNより安全なリモートアクセス
テレワーク環境で社外からのリモートアクセスが増えると、VPNサーバを経由した不正アクセスやランサムウェア感染などのリスクが生じます。
イッツコムが提供する「モバイル閉域接続」なら、インターネットを経由しない閉域網接続により、リモートアクセスの悩みを解決可能です。
PCやスマホに専用SIMカードを挿入するだけで、NTTドコモ網・イッツコム網による閉域網を経由し、社内LANへダイレクトアクセスができます。ユーザーはVPN設定不要で簡単接続でき、管理者はID・パスワード管理が不要です。
インターネットアクセス時には社内LANを経由し、通信ログも取得できるため、社外利用でも社内セキュリティポリシーを保持できます。
「Box」で低コストかつ総合的な情報セキュリティ対策
メールによるコミュニケーションや添付ファイルの共有を続けると、不注意による情報漏えいやビジネスメール詐欺などの被害を防止するのは困難です。ファイル共有関連の懸念点として、USBメモリや社外デバイスに重要情報を保存することによる情報漏えいリスクも挙げられます。
こういった情報セキュリティ上のリスクは、世界最高峰のセキュリティレベルを誇るクラウドコンテンツマネジメントシステム「Box」を導入することで総合的な対策が可能です。
容量無制限のクラウドストレージによりあらゆるファイルを安全に一元管理でき、Box上でオンライン共同編集やコミュニケーションもできます。マルチデバイス対応でいつでもどこからでもアクセスできるため、メールやUSBメモリを使用する必要も、社外デバイスにファイルをダウンロードする必要もありません。
7段階のアクセス権限設定や70種類以上のログ監査、50世代以上のバージョン管理や二要素認証により、情報管理の悩みもスマートに解決可能です。機械学習を活用した未知のマルウェア検知などにも対応し、低コストで総合的な情報セキュリティ対策ができます。
まとめ
情報セキュリティは「C.I.A.(機密性・完全性・可用性)」を確保することが基本です。多様なデジタル技術を活用する企業が増える中、ビジネス環境の変化に合わせ、サイバー攻撃も形を変え巧妙化しています。テレワーク環境にもさまざまなセキュリティリスクが潜んでいるため、安全なリモートアクセスや情報・ファイル共有の方法を採用しましょう。
イッツコムは「モバイル閉域接続」や「Box」により、安全なテレワーク環境をサポートできます。ビジネス環境の変化に伴う情報セキュリティの確保をお考えなら、シンプルなサービス構成で総合的な対策ができるイッツコムにご相談ください。