情報セキュリティ対策の考え方には、基本的な考え方があります。近時、情報セキュリティ対策は、最近のネットワーク環境の変化、例えばクラウドサービスの多用や、リモートワークの普及に連動して変化しています。
そこで、基本的な対策の考え方と、最新のセキュリティ対策の考え方の変化について解説します。
情報セキュリティ対策についてどんな内容があるのか気になる方、自身がどれだけ理解しているのかが気になる方は、テーマ別の設問で情報セキュリティの理解度がわかるテストを無料で配布しています。ダウンロードしてチェックしてみてください!
情報セキュリティ対策とは
情報セキュリティとは、企業の情報システムを取り巻くさまざまなリスク(情報漏えい・情報破壊など)から、情報資産を機密性・完全性・可用性の3つの面で安全に確保することです。
情報セキュリティのために取られる対策を総称して情報セキュリティ対策と呼びます。
情報セキュリティ対策の考え方の3大要
情報セキュリティは、以下の3つの大要に従った対策が必要です。この3つの要素が確保できれば、情報は安全に保たれることとなります。それぞれ対応する対策をあげ、簡単に説明します。
- 機密性の確保
- 情報資産をアクセス権を持った人だけが利用できるようにすること
- 機密性の確保のための対策:アクセス権の設定とコントロール、パスワード・暗号化通信の利用など
- 完全性の確保
- 情報資産を改ざんされず、正確・最新のものとしておくこと
- 完全性の確保のための対策:改ざんの予防・検出、情報の定期的チェック・棚卸など
- 可用性の確保
- 情報資産を必要な時にはいつでも利用できること
- 可用性の確保のための対策:バックアップ・電源対策、システムの二重化、災害復旧計画など
機密性の確保・完全性の確保・可用性の確保のために必要な対策は、以下の3つの安全管理措置とされています。
- 技術的安全管理措置
- ITセキュリティツール・通信の冗長化や暗号化などの、技術的な手当を施すこと
- 組織的安全管理措置
- 情報セキュリティ対策を行う責任者と組織をおき、機能させること
- 人的安全管理措置
- 情報セキュリティ対策に関するルールや研修などの対策を施すこと
- 物理的安全管理措置
- 入退室管理・施錠管理などの物理的な対策を施すこと
上記の安全管理措置を組み合わせて、セキュリティ事故・内部不正による情報・財産的損害・信用失墜などの被害を最小限にすることが必要とされています。
上記の安全管理措置を組み合わせて、セキュリティ事故・内部不正による情報・財産的損害・信用失墜などの被害を最小限にすることが必要とされています。
情報セキュリティ対策すべきサイバー脅威の考え方
ところで、サイバー脅威は、外部からの悪意あるものによる攻撃を指すものですが、手口から分類すると非常に種類も多く、攻撃の数は無数にあります。
大きな被害があると、社会的にも注目されますが、例えば外部からの侵入を試みた形跡などは、検出ツールが検出できるものだけでも毎日のように生じています。
サイバー脅威は、少なくなることがない脅威と考えられており、実際に件数も減る傾向にはありません。
その理由はいくつかあります。一つには、デバイス数が多くなり、デバイスを安全に保つことが困難になっていることが挙げられます。スマートフォン・タブレットなど、会社の業務環境もかつてのPCだけを利用する環境から激変しています。
また、クラウドサービス・オンラインサービスを頻繁に会社の活動でも利用するようになっており、常に外部からの攻撃者にさらされていることも一つの理由です。
常にオンラインにしてクラウドサービスを利用する、あるいはユーザーからWebサーバへのアクセスを行わせる環境で、そもそも100%サイバー脅威を排除することは不可能といってよいでしょう。
こうした要因が重なる中でのサイバー脅威への考え方にはポイントがいくつかあります。
1つには、全くサイバー脅威が0になることは考えられないので、被害を最小限にするための方法を考えることです。また、対策はいくつも重ねる必要があり、1つの対策で効果を確実に上げることはできないということです。
上記のポイントに沿って次のように、段階的にサイバー脅威を捕捉することを考えてみましょう。さらに具体的にどんな脅威がどの方法でコントロールされるのかをシナリオを設定すると、より確実なサイバー脅威に対する対策をとることができます。
- 予防・検知
- 攻撃を防ぐ・攻撃があったらいち早く認識できるようにする
- 防御
- 攻撃があっても、被害を最小限にする
- 排除
- 攻撃されたときに、攻撃を排除する
- 復旧
- 攻撃されたときに、社内のサービスをできるだけ早く復旧させる
例えば、標的型メール攻撃の一連のシナリオを考えてみましょう。
まず、予防・防御の段階では、「メールを開けてリンクをクリックしないこと」「怪しいメールと思ったらしかるべき専門部署に速やかに社内報告を上げること」をルール化すること・周知徹底することが考えられます。
うっかりクリックしたケースが発生したら、検知をツールで早急に行います。マルウェア感染があれば、ネットワークから遮断、他のマシンに感染させないようにします。
完全にマルウェアの駆除が終わるまでは、感染のあったマシンをネットワークにつながず、バックアップマシンで業務を行います。マルウェアの中には、駆除が難しいマルウェアも中にはありますので、社内の専門部署だけでなく、専門家に分析を依頼することも考えておくべきでしょう。
まずは理解度チェックテストで情報セキュリティ対策の取っ掛かりをつかみましょう。
情報セキュリティ対策の考え方の最新の動向
情報セキュリティ対策の考え方は、最近変化してきています。特に、リモートワークの普及により、社内と社外のネットワークの境目があいまいになってきていることが原因です。
クラウドサービスの普及で、社内と社外のネットワークの境界があいまいになる傾向がありました。さらに、リモートワークで、社内のメンバーも、社外からネットワークにアクセスするようになり、もはやかつてのような社内LANを前提とするセキュリティ対策は通用しない傾向が強まっています。
さらに、社内の不正による情報セキュリティの脅威も、IPAの情報セキュリティ10大脅威にあげられています。社内ネットワークに外部からの攻撃者だけを想定して、対策するのは不十分と考えられます。
そこで、次のように考える「ゼロトラスト」の考え方が有効とされているのです。
- 社外からのアクセスがありとあらゆるところからありうるので、社外からの認証の安全性をより強化する
- 社内も社外も問わず、攻撃から防御する・攻撃を検知するポイントがどこかを検討、防御・検知のための対策を行う
ただし、例えば製造関連システムなどのように、ネットワークの社内・社外の境界がはっきりしている例もあるので、従前の対策との組み合わせが無効とまでは言えません。
実態にあわせて、ゼロトラストの考え方をとるべきところ・境界があるネットワークの対策をとるべきところ双方を使い分ける必要があります。
「人」の情報セキュリティ対策はセキュリオで!
ここまででお伝えしたように、情報セキュリティ対策と一口に言っても、対策が必要な範囲、分野、取るべき対策などは様々で、しかも変化を続けています。
とは言え、危険なメールを開かない、然るべき時に施錠管理をする、認証情報を漏らさない、といった当たり前の対策を従業員すなわち「人」一人一人が心がければ、セキュリティリスクは限りなくゼロに近づけることができます。
LRMの情報セキュリティクラウド「セキュリオ」を使えば、経験豊富なセキュリティコンサルタント監修の教材と、標的型攻撃メール訓練、毎週配信のミニテストを組み合わせて従業員のセキュリティ意識・リテラシーを醸成します。
まとめ
情報セキュリティ対策は、情報資産の機密性・完全性・可用性を確保する対策であり、技術的・組織的・人的安全管理策が必要です。
特にサイバー脅威を想定すると、技術面・組織面・ルール面それぞれ単一の施策では通用しません。
また、完全にサイバー脅威をなくすことは難しいので、被害を最小限にする施策を具体的に考えましょう。そのためには、重畳的な対策を、環境の変化に応じて行うことが重要です。
