いま「社内でどれくらいセキュリティ対策ができていますか?」と聞かれたら、すっと答えることができるでしょうか。本当は把握しておくべきなのはわかってるけど、現実問題として把握できていない、また、把握したくてもどうやればいいのかわからないという方、多いのではないでしょうか。
そこで、以下では、自社のセキュリティ対策の現状をどのように確認し、不足しているところにはどのように対応すればいいのかという改善点についてご紹介します。
また、自社のセキュリティ状況と次にとるべき対策の把握にお役立ていただくことのできるセキュリティチェックシートをご用意しております。
ぜひ、現役セキュリティコンサルタント作成の30項目をダウンロードしてご利用ください。
自社のセキュリティ対策の現状確認をする際に見る・調べるべきポイント
(1) 現在文書化、ルール化されている社内セキュリティ対策の確認
業務などについて定めたルールなどがすでにある場合は、そのルールと現状を照らし合わせて過不足がないか確認します。また、リスクアセスメントを実施している場合は、結果から現状の過不足を確認することも可能です。
(2) 外部の基準と照らし合わせる
(1)は、社内の現状のセキュリティ体制を確認するというものでした。しかし、社内のセキュリティ体制を確認するだけでは、どのレベルできているのか分からないという方もいるでしょう。その場合は、総務省や業界が出しているガイドラインなどと自社のルールを照らし合わせることで、自社だけでは見えてこなかった課題点が見えてきて有効です。
(3) ヒヤリハット、インシデント件数及び内容の確認
自社内でヒヤリハットやインシデント報告を収集している場合は、どのようなインシデントが発生しやすいのかという傾向を掴むことで、自社のセキュリティ対策の過不足について把握することができます。
(4) 内部監査、外部審査の指摘事項の確認及び対応状況
内部監査や情報セキュリティに関する認証の外部審査、システム監査など、現状の仕組みをチェックする段階での指摘事項は、運用している中では見えていなかった課題などを把握する上で有効です。また、対応状況を確認することで、自社が対応できていない部分などの把握にも役立ちます。
技術的対策ができているか
技術的対策とは、ウイルス対策や暗号化などハードウェア・ソフトウェアから行うセキュリティ対策を指します。その上で、主な技術的対策として、以下が挙げられます。
- ウィルス対策ソフトの導入
- ログ管理システムの導入
- ファイアウォール、IPS/IDSの設置
- 業務利用ツールやシステムの権限・アクセス権管理
- 認証システム(2段階認証など)の導入
- 脆弱性の管理(アップデートの管理など)
物理的対策ができているか
物理的対策とは、機器媒体に対する「盗難」「紛失」「破壊」など対処するためのセキュリティ対策を指します。その上で、主な物理的対策として、以下が挙げられます。
- 防犯対策の実施
- 入退室管理の実施
- セキュリティワイヤー等による盗難防止対策の実施
- 退社時のキャビネットの施錠
- クリアデスク・クリアスクリーンの実施
組織的対策ができているか(教育も含む)
組織的セキュリティ対策とは、組織内のルール整備やトラブル発生時の対応フロー策定など人的な問題に対処するためのセキュリティ対策を指します。その上で、主な組織的対策として以下が挙げられます。
- 社内規程やルールブックが存在している
- 作業手順書が存在している
- 規程やルールブックの定期的な見直しをしている
- 従業員教育を行っている
- インシデント発生時の報告フローや対応方針は存在している
- 緊急時における連絡方法や行動内容は定められている
以下のチェックリストを用いて現状の確認を行ってみてください。
| 分類 | 対策内容 |
|---|---|
| 技術的対策 | ウィルス対策ソフトは導入していますか? |
| ログ管理システムは導入していますか? | |
| ファイアウォール、IPS/IDSの設置は行っていますか? | |
| 業務利用ツールやシステムの権限・アクセス権管理は行っていますか? | |
| 認証システム(2段階認証など)の導入は行っていますか? | |
| 脆弱性の管理(アップデートの管理など)は行っていますか? | |
| 物理的対策 | 防犯対策は実施していますか? |
| 入退室管理は実施していますか? | |
| セキュリティワイヤー等による盗難防止対策の実施はしていますか? | |
| 退社時のキャビネットの施錠を行っていますか? | |
| クリアデスク・クリアスクリーンの実施を行っていますか? | |
| 組織的対策 | 社内規程やルールブックは存在していますか? |
| 作業手順書が存在していますか? | |
| 規程やルールブックの定期的な見直しを実施していますか? | |
| インシデント発生時の報告フローや対応方針が存在していますか? | |
| 従業員教育を実施していますか? | |
| 緊急時を想定した訓練を実施していますか? |
自社のセキュリティ対策の改善案
この章では、対策が各種対策を行うことができていない場合に、どのような対策を取ることができるのかという改善案について紹介します。
技術的なセキュリティ対策不足の場合
技術的なセキュリティ対策不足の場合、「システムの導入」と「運用管理」の二つの視点から改善策を考えることができます。
システムの導入
こちらは、一般的なセキュリティ対策としてイメージいただけると思いますが、実際に、外部からの脅威への対策や内部不正といった脅威に対して有効な対策です。チェックリストからは以下が該当します。
- ウイルス対策ソフトの導入
- ログ管理システムの導入
- ファイアウォール、IPS/IDSの設置
これらの対策は最も有効的かつセキュリティ向上に役立つといえるでしょう。
例えば、ウイルス対策ソフトを導入することで、外部からの攻撃への対応が可能であり、また、ソフトによっては、中央管理やウェブ・メールの脅威にも対応できるものなども存在しています。ログ管理システムについては、内部での怪しい動きや、インシデント発生時の証拠として役立ちます。ファイアフォールやIPS/IDSの導入も外部からの脅威に対応することが可能です。
しかし、これらはどれもコストのかかることであり、また、ウイルス対策ソフトやログ管理システムは全社導入を考えるとより高額になる可能性があります。導入に際しては、全社的に導入する必要があるのか、WindowsDefenderのような既定ソフトでも問題ないか、どの程度の機能が必要かといった点について検討することもおすすめします。
運用管理
セキュリティ対策といえば、一見外部からの攻撃などに対処するというイメージがありますが、実は内部での管理ミスなどによるインシデントの割合も多く、管理体制をしっかりすることも重要です。
- 業務利用ツールやシステムの権限・アクセス権管理
- 認証システム(2段階認証など)の導入
- 脆弱性の管理(アップデートの管理など)
これらの対策は多くの場合費用をかけずに今すぐできる対策であり、最もおすすめできる対策でもあります。例えば、業務利用ツールやシステムのアクセス制御について定期的に見直しを行い、不要な権限を変更・削除するだけでも内部リスクは減少します。
また、認証システムの導入に関しても2段階認証などの設定を行うだけで、なりすましログインなどのリスクに対応することが可能です。脆弱性の管理についても、あらかじめ主要アプリケーションは自動更新設定にしておく、重要なアップデート情報はすぐに従業者に通知するなどの方法で対応していくことが可能です。
ただし、ひとつひとつ細かに確認していくことは難しいといった場合もあると思います。そのような場合には、組織的なセキュリティ対策の面で大きな方針・ルールを定めて複数名の管理者などで運用していく方法などが効率的です。
物理的なセキュリティ対策不足の場合
物理的なセキュリティ対策不足の場合「ルール面での対策」と「設備投資面での対策」の二つの視点から改善策を考えることができます。
ルール面での対策
こちらは、新たな何かを導入するのではなく、現状あるものに対して取扱いのルールを整備することでしっかり管理できるようにするというものです。チェックリストからは以下が該当します。
- 退社時のキャビネットの施錠
- クリアデスク・クリアスクリーンの実施
これらの対策は絶大な効果を発揮する対策とは言えませんが、徹底することで、一つの防御壁とはなり得ます。
例えば、退社時にキャビネットを施錠するだけで盗難リスクは格段に減りますし、クリアデスクを徹底するだけで、机上で重要書類を紛失するリスクを抑えることもできます。今すぐにできる対策でもあることからこれらの実施は非常にお奨めします。
設備投資面での対策
こちらは、タイトルの通り物理的セキュリティを向上させるために何らかの設備投資を行うというものです。チェックリストからは以下が該当します。
- 防犯対策の実施
- 入退室管理の実施
- セキュリティワイヤー等による盗難防止対策の実施
こちらの対策はルール面での対策に比べ、物理的セキュリティを飛躍的に向上させることができます。例えば、防犯対策として外部の防犯サービスと契約する方法や、入り口にスマートロックのようなセキュリティキーを設置する、施錠できるキャビネットなどがない場合は重要情報保管用に鍵付きのキャビネットを購入するなどが挙げられます。
また、PC等の機器盗難を防ぐためワイヤーロックを購入・設置するなどの方法もあります。ただし、これらの導入にはどれもコストがかかり、また、各社のオフィス環境によっても必要なものは変わるため、自社に応じたものの導入の検討をお奨めします。
補足として、PC管理の面で、施錠できるキャビネットで保管できるのにわざわざワイヤーロックを追加購入するといったことまでする必要はありません。
組織的なセキュリティ対策不足の場合
組織的なセキュリティ対策不足の場合「ルール/仕組みの構築・見直し」と「セキュリティ意識の向上」の二つの視点から改善策を考えることができます。
ルール/仕組みの構築・見直し
こちらは、セキュリティ対策をしっかり実行していくためのルールや仕組みを構築し、また、既に存在している場合には、適宜見直して現状に合ったものに更新していくというものです。チェックリストからは以下が該当します。
- 社内規程やルールブックが存在
- 作業手順書が存在
- 規程やルールブックの定期的な見直しの実施
- インシデント発生時の報告フローや対応方針が存在
これらの対策は、全てのセキュリティ対策の実施と同時に整備していくべきものであり、これらが拡充すればするほどセキュリティ対策のための体制が構築できているとも言えます。
構築段階においては総務省や業界のガイドラインを参照して作成する方法や、LRMなどの外部コンサルタントと共に作成していくなどの方法が挙げられます。また、ルールや仕組みは構築して終わりではなく、常にその時々の状況に応じたものにブラッシュアップし続けることが大切です。
セキュリティ意識の向上
こちらは、構築したセキュリティの仕組みや意識をしっかりと浸透させ、本番で活かすための改善策です。チェックリストからは以下が該当します。
- 従業員教育の実施
- 緊急時を想定した訓練の実施(避難訓練、サーバのリストアなど)
いくら立派なルールや仕組みが存在していても、従業者自体に浸透していなかったり、セキュリティに対する従業者の意識が低ければ意味がありません。そのために例えば、定期的にセキュリティに関する従業者教育を実施することで従業者の意識付けを行っていくといった方法があります。
従業者教育については、eラーニングや座学、グループワークなど様々な形式があるので、各組織に合った方法を利用していただければと思います。また、緊急時を想定して実際のフローに則って訓練を行ってみることもおすすめです。ルール自体を構築すること自体は、頑張ればできることではあるのですが、そのルールがぶっつけ本番でうまく機能するとは限りません。
その点でも、マニュアルの読み合わせによるシミュレーションなどからでも十分ですので訓練してみてはいかがでしょうか。
おわりに
以上、セキュリティ状況の把握から改善のためのセキュリティ対策をご紹介しました。
セキュリティ対策は、まず、自らを知ることから始まります。そして、チェックリストを参考にして自分たちの対応すべき点はどこなのか把握したうえで、できる対策から行っていくことで、より強い組織づくりを行っていただければと思います。
弊社が提供している「セキュリオ」のセキュリティチェック機能では、より詳細なセキュリティ対策状況を把握することも可能ですので、お気軽にお問合せください。
また、自社のセキュリティ状況と次にとるべき対策の把握にお役立ていただくことのできるセキュリティチェックシートも、ぜひ本記事と併せてご活用ください。
