インターネットの利用が生活や企業の活動に欠かせない状況ですが、セキュリティに関してそこまで意識できていない企業も多いため、毎日のように情報漏洩がニュースに流れてきます。
そこで当記事は、「情報セキュリティ」の観点からインターネット上の脅威やセキュリティを向上させる上でのポイントなどを解説いたします。
また、これから情報セキュリティを高めたい人に向けて、やるべき対策も紹介していきます。
セキュリティ対策が必要なのはわかっているが、どんな対策をしたら良いかわからない
こんな悩みをお持ちの人や企業は、ぜひ本記事をご覧ください。
情報セキュリティ対策の概要・始め方がわかるでしょう。
この記事の目次
情報セキュリティとは
まず「情報セキュリティ」とは何か、考えてみましょう。
セキュリティは、英語で”安全”を意味します。
つまり、”情報”を”安全”にすることが”情報セキュリティ”ということになります。
では一歩進んで、具体的にどのような状態が”安全”なのでしょうか?
おそらく多くの人は、
- 自分のスマホに不正にアクセスされない
- 会員サイトから自分の個人情報が漏えいしない
- 自分のメールアドレスに怪しいメールが届かない
このように、個人レベルで安全な状態を想像するのではないでしょうか?
もちろん正しい考えではありますが、情報セキュリティで考えるべきはこれだけではありません。
企業としても、情報セキュリティを考える必要があります。
- 顧客や企業の重要情報を不正アクセスから守る
- 雷や火災といった自然災害へ対策する
こうしたことも、情報セキュリティに分類されます。
まとめると情報セキュリティとは、「正規のユーザーが、いつでも安全に情報を使える状態のこと」を指します。
あえて「正規のユーザー」と書いたのは、情報セキュリティは正規ではない「悪意のある人間」によって、脅かされているからです。
では、一体どのような脅威があるのか、次でお話します。
情報セキュリティ上の脅威とは
4大脅威
情報セキュリティとは、「正規のユーザーが、いつでも安全に情報を使える状態のこと」とお話しました。
つまり、情報の安全性を脅かすものがあるという訳です。
ここでは、主な脅威を以下の4つに分けて解説します。
1. 情報の盗難
2. 情報の改ざん
3. 認証情報の不正使用によるなりすまし
4. ネットワークの破壊・撹乱(=サイバー攻撃)
順番に見ていきましょう。
情報の盗難
情報の盗難は、誰もが想像しやすい脅威でしょう。
その名の通り、情報を不正に取得されることが「情報の盗難」です。
狙われる対象には、個人のPCやスマホ、企業のサイトなどがあげられます。
悪意のある第三者がPCやサイトに不正アクセスし、情報を盗む訳です。
盗まれる主な情報は、以下のようにさまざまなものがあります。
- 名前や住所など個人情報
- 企業が預かる顧客や一般ユーザーの個人情報
- プロジェクトや製品など企業内部の重要情報
こうした情報が、悪意のある第三者によって不正に取得されるのが「情報の盗難」です。
盗難の手口でよくあるのは、簡単なパスワードを使っていたことで、不正なログインを許してしまうケース。
他にも、自分のPCがコンピューターウイルスに侵されたり、詐欺サイトに騙されて情報を入力したりといったケースもあります。
いずれにしても、個人や企業の重要情報を盗まれてしまうのが「情報の盗難」です。
情報の改ざん
「情報の改ざん」とは、WEBサイトなどの情報が勝手に書き換えられてしまうこと。
さらには、サーバ上に保存してある個人情報を別のものに置き換えられたり、通信中の情報にアクセスして情報を置き換えるなどされてしまうことも含みます。
WEBサイトの改竄においては、サイトに不正にアクセスされる点は、先ほどの情報の盗難と同じです。
しかし、「情報の改ざん」では、サイトが管理者の意図しないものに書き換えられてしまいます。
例えば、
- サイトに全く関係ない画像を貼り付ける
- 記載されている文言を不適切なものに書き換える
- 詐欺サイトやウイルスにつながるリンクを貼る
などの脅威があります。
実際、2018年には音楽配信サイトの「Vevo」のYoutubeチャンネルにて、何者かの不正アクセスによってサムネイル画像が、全く関係ないものに置き換えられる事件が起きました。
その後、しばらくの間は「Vevo」の動画が視聴できなくなったそうです。
「Vevo」の事件は、画像の置き換えや動画の視聴ができなくなるだけでした。
それだけでも企業の信頼へのダメージは大きいですが、もし詐欺サイトやウイルスへのリンクが仕込まれていれば、もっと大きな被害が発生していたでしょう。
1つのサイトを起点に、多くの一般ユーザーの情報が漏えいしていたかもしれません。
「情報の改ざん」は、標的となったサイトが人気であればあるほど、被害も大きなものになります。
認証情報の不正使用によるなりすまし
3つ目の脅威は「認証情報の不正使用によるなりすまし」です。
言葉からは、いまいちどのような脅威か想像しづらいですよね。
簡単に言うと「誰かが、あなたになりすまして、サイトにログインする」ことです。
Gmailやスマホのアプリなど、多くの人が日頃からさまざまなサイトにログインしているかと思います。
そのほとんどのサイトにおいて、IDやパスワードを求められるでしょう。
このIDやパスワードのことを認証情報と呼びます。
つまり、あなたの認証情報が不正に入手され、「知らない誰かが、あなたになりすまして勝手にログインすること」がこの脅威な訳です。
認証情報の不正使用によるなりすましは、先にあげた2つの脅威の入口とも言えるでしょう。
例えば、あなたのGmailアカウントの情報が、不正に盗まれた場合を想像してみてください。
どのようなことができるでしょうか?
- 過去のメールを見て、誰とどのようなやり取りをしているか確認
- アカウントの設定情報から、その人の名前や住所など個人情報を確認
- そのGmailアカウントを使って、他のサイトにログイン
ぱっと思いつく限りでも、このような不正使用が想像できます。
もし入手した不正情報が、あるサイトの管理者アカウントであればいかがでしょう?
そのサイトの情報を書き換えるといった「情報の改ざん」もできるはずです。
このように認証情報が不正に使用されると、先ほどの脅威と合わせて、非常に危険な状態になってしまうでしょう。
ネットワークの破壊・撹乱(=サイバー攻撃)
ネットワークの破壊・撹乱とは、一般的に「サイバー攻撃」とも呼ばれる脅威です。
先の3つの脅威とは異なり、インターネットを通じて、コンピューターやネットワークに対して行われる意図的な攻撃のことを指します。
サイバー攻撃の標的は、個人から企業、果ては政府にまで及びます。
その攻撃目的も多様で、金銭目的でおこなうものもあれば、ある企業の信頼や経済的ダメージを狙った攻撃も。
一方で、ただ世間を騒がせたいだけの愉快犯的な攻撃もあるなど、目的は非常に多岐にわたります。
攻撃手法も多種多様で、以下にあげた攻撃以外にもさまざまな手法があります。
- DDoS攻撃
複数のコンピューターから、あるサイトやサーバーに大量アクセス。過剰な負荷により、サイトを停止させる - 標的型攻撃
ある企業に、取引先のふりをしてウイルスを仕込んだファイルを送る。送り先のユーザーがファイルを開くと、コンピューターがウイルスに感染。不正に情報を入手できる - フィッシング詐欺
あるサイトとそっくりな偽サイトを作って、ユーザーを誘導。ログインさせて、不正に情報を入手する
このサイバー攻撃は個人による犯行に留まらず、グループや組織でおこなっている場合もあります。
その中には、産業スパイやハッカーなどが仕事として請け負っていることも。
つまり、ある企業に恨みを持った人間が依頼することで、その道に長けた犯罪集団から攻撃を受ける可能性がある訳です。
多数の重要情報を持つ企業や政府にとって、サイバー攻撃は非常に強大かつ危険な脅威と言えるでしょう。
以上が情報セキュリティ上の4つの脅威です。
脅威の3つの要因
一体、何が情報セキュリティを脅かすのでしょうか。
前述した「情報セキュリティ上の4つの脅威」は、情報セキュリティにおける被害に焦点を当てたお話でした。
ですが、ここでは情報セキュリティを脅かす具体的な要因について、次の3つに分けて解説します。
- 技術的脅威
- 人的脅威
- 物理的脅威
情報セキュリティの3大要素と関わる点なので、照らし合わせながらご覧ください。
技術的脅威
技術的な脅威とは、不正プログラムによって発生する脅威のことです。
ウイルスやフィッシング詐欺、標的型攻撃など、技術的に作られたプログラムによる脅威。
情報セキュリティの脅威と言われて、ピンとくるのはこの技術的脅威でしょう。
主な技術的脅威は、以下の通りです。
- 標的型攻撃
- フィッシング詐欺
- DoS攻撃およびDDoS攻撃
- ウイルス
- トロイの木馬
- ランサムウェア
取引先を装って、不正メールを送る「標的型攻撃」。
スマホのアプリやメールのファイルに潜む不正なプログラムの「トロイの木馬」。
「技術によって生まれた攻撃や不正プログラム」による脅威を、技術的脅威と呼びます。
技術的脅威を受ければ、情報の盗難や改ざんにつながる恐れがあり、情報セキュリティの3大要素の全てを損なう可能性があるでしょう。
こうした不正プログラムには、セキュリティ製品を導入するなどして、事前に対策しておくことが大切です。
人的脅威
2つ目の「人的脅威」は、文字通り人に起因する脅威です。
人的脅威の原因は、大きく2つに分けられます。
それは「故意」か「故意ではない」かの2つ。
まず、「故意」のほうから考えてみましょう。
例えば、ある会社の社員が、会社の機密情報を競合他社に流してしまう。
もしくは、社員が会社に恨みを持っていて、重要情報を削除してしまうといったことも考えられます。
故意に情報を漏らしたり、破壊したりすることが、人的脅威のパターンの1つです。
対して、「故意ではない」場合はどうでしょうか。
よくあるのは、機密情報を入れたUSBメモリを紛失してしまうことがあげられます。
その他にも、操作を誤って大切なデータを消去する場合もあるでしょう。
故意ではなく、ミスによる人的脅威がこちらのパターンです。
意図的であるかはともかく、どちらも人が原因で発生するのが「人的脅威」。
これは、情報セキュリティの3大要素の機密性と大きく関わる脅威と言えるでしょう。
アクセスできる人間を絞ったり、情報を閲覧・操作できる人間を制限したりすることが重要です。
それでも、アクセスした人間によるミスは発生するかもしれません。
そのためにも、社内でセキュリティや情報に関するルールを決め、ミスが起こりにくい体制を整える必要があるでしょう。
物理的脅威
最後の「物理的脅威」は、可用性でもお話しました自然災害です。
日本は自然災害が多い国です。
場所にもよりますが、
- 地震
- 洪水
- 火災
- 雷
など、さまざまな自然災害の危険にさらされています。
地震によってサーバーのあるビルが倒壊するかもしれません。
火災の影響で、サーバーが焼失する可能性もあるでしょう。
こうした自然災害は予測できないため、突発的に発生する脅威と言えます。
また、自然災害だけでなく、経年劣化による故障も物理的脅威の1つ。
サーバーやPCが老朽化したことで、正常に稼働できなくなってしまう状態です。
ただし、自然災害と違って、老朽化は定期的なメンテナンスによって防げます。
異常があれば修理、もしくは買い直すことで正常に稼働を続けられるでしょう。
自然災害であっても、サーバーを複数の拠点に分散することで、どこかのサーバーが停止しても良いように備えられます。
物理的脅威は、可用性に保持につながることが多い脅威です。
事前にバックアップや拠点の分散で、対策することが求められます。
情報セキュリティの3つの脅威は以上です。
技術的脅威は、何となく想像していた人も多かったでしょう。
しかし、人や自然災害も、情報セキュリティにとっては脅威となります。
とはいえ、実際にどの脅威が影響を与えているのかは、いまいち想像がつかないですよね。
そこで、次はIPAが発表している10大脅威を紹介します。
情報セキュリティが、危険な脅威にさらされていることがお分かりいただけたかと思います。
危険な脅威から情報を守るためにも、セキュリティを向上させる必要がある訳です。
そのためには、次でお話する3つの要素がポイントになります。
情報セキュリティの3大要素
ここまでのお話で、情報セキュリティ上の4つの脅威はわかりました。
それでは、具体的にどのように情報セキュリティ対策を考えれば良いのでしょうか。
それを考えるには、情報セキュリティにおける3大要素を理解する必要があります。
- 機密性
- 完全性
- 可用性
それぞれ解説していきます。
機密性
機密性とは、許可された人、もしくは権利を持った人だけが情報にアクセスできる状態のこと。
逆に言えば、許可されていない人が勝手に情報を見れない状態のことです。
先ほどの脅威に照らし合わせて言えば、「情報の盗難」や「認証情報の不正使用によるなりすまし」への対策に通ずるでしょう。
一例として、ある企業が秘密裏に進めている極秘プロジェクトがあったとします。
このプロジェクトに関わる情報は重要なため、社内でも閲覧できる人間を絞りたい。
そうしたとき、許可した一部の人間だけがアクセスできるのであれば、それは「機密性が保たれている」と言えます。
反対に、一部の人間以外も情報にアクセスできる状態であれば、「機密性は失われている」と言えるでしょう。
他にも、IDやパスワードを強固なものにして、機密性を高めることができます。
- パスワードの文字数を何文字以上とする
- 記号、英数字、大文字、小文字を1つずつ使用して、パスワードを作る
- 定期的にパスワードの変更を求める
このように、情報セキュリティを高める上で、機密性は最初の守りの要となっている訳です。
完全性
次に完全性とは、情報が完全な状態であることを指します。
言い換えれば、第三者に不正に情報を書き換えられたり、破壊されたりしない状態のこと。
つまり、「情報の改ざん」の脅威に対する要素と言えるでしょう。
「情報の盗難」や「認証情報の不正使用」があったとしても、完全性が保たれていれば改ざんを防ぐことはできます。
詐欺サイトへのリンクを防止し、データの書き換えを防げられるはずです。
完全性を保つためには、機密性で述べたように、情報にアクセスできる人間を制限することが有効。
そもそもアクセスできる人間が限られていれば、改ざんされるリスクも減らせるからです。
また、重要情報は常日頃から、暗号化しておくことも大切です。
仮に不正アクセスされたとしても、重要情報の改ざんを防止できるでしょう。
加えて、改ざんされたときに備えて、バックアップを取っておくことも重要です。
もしデータが改ざんされたり、破壊されたりしても、バックアップがあれば素早く元に戻せるからです。
情報が改ざんされず、常に正規の状態を保つ上で、完全性は大切な要素になります。
可用性
最後の「可用性」とは、情報にいつでも安全にアクセスできることです。
システムの稼働の継続性とも言います。
いかなる状況でも、正常かつ安全に情報にアクセスできるかがポイント。
例えば、自然災害が発生したときがわかりやすい例でしょう。
サーバーが置いてある建物に火災や雷が発生して、そのサーバーが使い物にならなくなったとします。
こうした事態が起こったとき、別のサーバーで稼働を引き継げるかが、可用性において重要です。
ある箇所でのサーバーがダウンしても、他のサーバーがサイトを稼働させ続けることができれば、それは可用性が保たれていることになります。
反対に、サーバーがダウンしてサイトも停止してしまったら、それは可用性が失われている状態です。
もちろん自然災害だけでなく、「DDoS攻撃」といったサイバー攻撃によってサイトがダウンしても同じです。
あらゆる事態を見越して、サイトが稼働し続けられるように対策することが「可用性」の高さにつながります。
ここまでが、情報セキュリティを考える上で重要な3大要素のお話でした。
それぞれ解説しましたが、何もトラブルが起きなければ、この3大要素は考える必要がありません。
問題なく、サイトは正常に稼働し続けられる訳ですから。
しかし、故意や事故に関わらず、情報セキュリティを脅かすトラブルは発生してしまうものです。
それでは、どのような事態が情報セキュリティを脅かすのでしょうか。
IPA発表の10大脅威2024
ここからは、IPAが発表している「情報セキュリティ10大脅威 2024」を紹介します。
IPAとは「情報処理推進機構」の略で、日本のIT人材の育成や情報セキュリティ対策強化のために設立された独立行政法人です。
そのIPAは毎年、情報セキュリティの10大脅威を発表しています。
前年に発生した情報セキュリティへの脅威で、中でも社会的に影響が大きかったと思われるものを10個選出。
個人と組織でそれぞれ選ばれています。
以下に、2024年にIPAが発表した「情報セキュリティ10大脅威」を抜粋して、表にまとめました。
個人の第1位は「インターネット上のサービスからの個人情報の窃取」となっています。
様々なサービスをインターネット上で行えるようになっている昨今では、とても身近な脅威と言えるのではないでしょうか。
組織の第1位である「ランサムウェアによる被害」は、身代金を要求する不正プログラムです。
例えば、ある企業が持つ「顧客情報を不正に暗号化」して、その企業が使用できなくします。
そして、情報を元通り使えるように直すことを条件に、金銭を要求するのがランサムウェアです。
順位 | 個人 | 組織 |
---|---|---|
1位 | インターネット上のサービスからの個人情報の窃取 | ランサムウェアによる被害 |
2位 | インターネット上のサービスへの不正ログイン | サプライチェーンの弱点を悪用した攻撃 |
3位 | クレジットカード情報の不正利用 | 内部不正による情報漏えい等の被害 |
4位 | スマホ決済の不正利用 | 標的型攻撃による機密情報の窃取 |
5位 | 偽警告によるインターネット詐欺 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
6位 | ネット上の誹謗・中傷・デマ | 不注意による情報漏えい等の被害 |
7位 | フィッシングによる個人情報等の詐取 | 脆弱性対策情報の公開に伴う悪用増加 |
8位 | 不正アプリによるスマートフォン利用者への被害 | ビジネスメール詐欺による金銭被害 |
9位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
10位 | ワンクリック請求等の不当請求による金銭被害 | 犯罪のビジネス化(アンダーグラウンドサービス) |
参照IPA「情報セキュリティ10大脅威 2024」
また、個人の6位は、今の時代ならではの脅威と言えますね。
「ネット上の誹謗・中傷・デマ」は、SNSが普及した昨今ではよく聞きます。
組織の第9位は、「テレワーク等のニューノーマルな働き方を狙った攻撃」も、コロナ禍以降に驚異として登場してきましたが、コロナ以降もテレワークの普及により大きな驚異となっていると言えます。
このように、情報セキュリティの脅威は、時代に合わせて生まれるものもある訳です。
それでは、こうした脅威にはどのように対策したら良いのでしょうか?
対策を考えるためには、まずリスクを把握しましょう。
リスクアセスメント
「情報セキュリティ対策はしたいけど、予算に限りがある…」
こうした悩みを持つ企業もあるでしょう。
そんなときは、リスクアセスメントを考えてみてください。
リスクアセスメントとは、「持っている情報のリスク」と「リスクの発生頻度や影響度」を確認し、対応を決めること。
その上で、以下3つの対応を判断します。
- リスク回避
- リスク低減
- リスク移転
それぞれの対応について、詳しく見ていきましょう。
リスク回避
1つ目のリスク回避は、もっともわかりやすい対応方法です。
シンプルに、「リスクが発生する原因」を完全に失くしてしまうのがリスク回避。
リスクが発生しなければ、そもそも発生した際の対応や影響度を考える必要もなくなります。
例えば、一般ユーザーなど外部とのネットワークを遮断して、外からの不正アクセスを防止する。
ある極秘プロジェクトのデータを削除し、全く別の管理方法にするなど。
このように、リスク回避は根本から発生原因を潰します。
ただし、リスク回避の実行は、同時にデメリットも生みがちです。今の例で考えてみましょう。
外部とのネットワークを遮断すれば、当然一般ユーザーはアクセスできません。
もし多くのユーザーに来てほしいサイトの場合、大きな機会損失となるでしょう。
極秘プロジェクトのデータを削除した場合はいかがでしょうか?
確かにデータの漏えいは防止できますが、仲間内での情報共有が難しくなり、他の管理方法を見つけるのに苦労するでしょう。
つまり、リスク回避は、情報セキュリティを高める上で効果的ですが、一方で日常の管理や操作に大きな影響を与える可能性がある訳です。
ですので、リスク回避をおこなうなら、その後の自分たちへの影響度も考慮しなければいけません。
リスク低減
リスク低減は、文字通りリスクの発生頻度や影響度を低減させる対応方法。
リスク回避と違って、発生原因を完全に失くすといったことはしません。
あくまでも減らすだけです。
わかりやすい例では、IPSやWAFなどのセキュリティ装置でしょう。
通販サイトを運営する企業なら、外部から訪れる一般ユーザーのアクセスは必須です。
そうなると、外部からのネットワークを遮断する方法は取れません。
そんなときは、セキュリティ装置を導入することで、リスク低減を図ります。
仮にサイトへ攻撃があったとしても、セキュリティ装置がブロックしてくれる訳です。
人によっては「攻撃をブロックをしてくれるなら、リスク回避では?」と思うかもしれません。
ですが、「攻撃を受けるリスク」を完全に失くせる訳ではないので、セキュリティ装置の位置づけはリスク低減になります。
また、サーバーがある部屋への入室を制限することも、リスク低減になるでしょう。
データやサイトの稼働を担うサーバーが停止すれば、企業は大きなダメージを受けます。
そのため、サーバーなど重要機器がある部屋は、入れる人を限定。
故意かに関わらず、機器に触れられないようにすることでサーバーの安全を守る訳です。
このように「リスク低減」は、失くしてしまうと自分たちへの影響度が高い情報やシステムに対し、しかるべき対策を取ってリスクを減らす方法と言えます。
リスク移転
最後のリスク移転は、リスクを自分たちで負わずに他社に移すことです。
つまり、自分たちで責任を負わないのが、このリスク移転になります。
例をもとに考えてみましょう。
よくあるのはサイバー保険です。
サイバー保険は、セキュリティ事故が起こった際に補償してくれる保険。
例えば、情報漏えいが発生した際に、損害賠償金や訴訟費用を補償してくれます。
これは要するに、セキュリティ事故による経済的な損失リスクを、保険会社に移転している訳です。
その他にも、サイトの運営を他社に任せるといったことも、リスク移転の1つにあげられます。
A社のサイトの運営を、B社に任せるといった形ですね。
万一、そのサイトでセキュリティ事故が起こったときは、運営を任せていたB社に責任を追求できるでしょう。
しかし、1つ注意したいのは、何でもリスク移転できる訳ではないことです。
サイバー保険で経済的な補償をしたところで、社会的な信用度は落ちるでしょう。
また、サイトの運営を他社に任せていても、矢面に立つのはそのサイトの所有者です。
なので、リスク移転をしたとしても、「最終的な責任は自分たちにある」という意識が必要になります。
以上がリスクへの3つの対応方法でした。
自社のサイトや扱っている情報を整理し、どのような対応を取るべきか考えてみてください。
自ずと必要な対策が見えてくるはずです。
しかし、そもそもセキュリティ対策を検討するための土台がない企業もあるはず。
そうした企業がセキュリティを考えるためには、組織として仕組み作りが必要になってきます。
そこで参考にしたいのが、次で紹介する情報セキュリティマネジメントシステムです。
情報セキュリティマネジメントシステム
これから情報セキュリティを高めたい企業は、会社としてセキュリティに関する仕組み作り
が必要になります。
ただ、セキュリティに知見のない会社が、闇雲にルールを作ろうとしても上手くいきません。
そこで参考にしたいのが、情報をセキュリティマネジメントシステムです。
情報セキュリティマネジメントシステム(Information Security Management System)は、英語の頭文字を取ってISMSと略されます。
ここではISMSと呼びます。
ISMSは、一言でいうと「情報を管理する仕組み」のことです。
少しイメージがつかないですよね。
しかし、実はこの仕組については、すでにお話していますよ。
ここまで解説してきた内容を思い出してみてください。
- 情報セキュリティにおける脅威は何か
- 情報セキュリティを高める上で大切な3大要素
- リスクを把握し、対応するための3つの方法
これらは全てISMSの一環です。
自分たちが所有する情報は何かを整理し、リスクに対応する。
これはまさに、「情報を管理する仕組み」を実施していると言えるでしょう。
そうはいっても、ピンと来ていない人もいるのではないでしょうか。
情報セキュリティを考えたり、セキュリティ製品を導入したりしただけで、本当に情報を管理する仕組みができたと言えるのかと。
わざわざ「情報セキュリティマネジメントシステム」と仰々しい名前がついているくらいですから、何か基準がないか気になりますよね。
実際にその通りで、ISMSには認証制度があります。
次でその認証制度を解説しますので、どのような制度なのかを確かめてみてください。
情報セキュリティに関する認証制度
情報セキュリティの仕組みを作る上で、何かしらの基準が欲しいところですよね。
また、仕組みを作ったなら、きちんとセキュリティ対策していることを対外的にもアピールしたいところ。
そうした希望があるなら、ここで紹介する認証制度の取得を検討してみてください。
- ISMS認証
- プライバシーマーク
それぞれどのような制度なのか、順番に見ていきましょう。
ISMS認証
1つ目がISMS認証です。
ISMS(情報セキュリティマネジメントシステム)は、情報資産のセキュリティを管理する為の“システム(仕組み)”を取り決め、“実行”していく事を指します。
日本では、ISMSの標準としてISO27001が用いられており、日本の「情報セキュリティ全体の向上への貢献」、「外国からも信頼を得られる情報セキュリティレベルの達成」を目的としています。
ISMSを取得するメリットは、2つあります。
- 社内のセキュリティ向上:ISMSの基準に則って仕組み作りをおこなうため、「情報の管理」や@社員のセキュリティ意識向上」が図れる
- 社外へセキュリティ対策のアピール:第三者機関に、セキュリティ対策への取り組みを評価してもらえるため、「社外からの信頼性向上」が図れる
このISMSは、会社全体でなくとも取得できる認証制度です。
例えば、社内のいち部門からの取得も可能となっています。
ISMS認証を得ることは、簡単ではありません。
社内のルールや仕組みづくりはもちろん、社員の情報セキュリティに対する意識教育も行う必要があります。
それをいきなり会社全体で進めるのは、非常に骨が折れるでしょう。
ですので、最初は社内の1つの部門で取得を目指してみてください。
そこで取得できたら、徐々に会社全体に取得範囲を広げることで、スムーズにISMS認証を得られるはずです。
いずれにしても、会社全体の情報セキュリティをどうしたら良いか悩んでいる人は、ISMS認証の取得を検討してみてください。
ISMS認証は、取得できると名刺に載せられます。
対外的にもアピールしやすい認証制度と言えるでしょう。
プライバシーマーク
続いて紹介する認証制度は、プライバシーマークです。
こちらは財団法人「日本情報処理開発協会(JIPDEC)が認証する制度となっています。
ISMSが「組織全体の情報管理」を対象していたのに対し、プライバシーマークは「個人の情報管理」を対象とした認証制度。
プライバシーマーク取得のメリットは、以下の通りです。
- 個人情報の取り扱いに関する社内の意識向上:個人情報の取り扱いに関する「ルールの策定」や「社員の意識向上」が図れる
- 個人情報の取り扱いが適切と社外にアピール:第三者機関に、個人情報を適切に取り扱っていると認証してもらえるため、「社外からの信頼性向上」が図れる
メリットの内容自体は、ISMSとほとんど同じです。
ただし、プライバシーマークは前述の通り、個人情報の取り扱いに焦点を置いています。
そのため、通販サイトやスマホゲームなど、一般ユーザーを相手にする会社にとっては、有用な認証制度と言えるのではないでしょうか。
いかがでしたか?
どのように社内の情報セキュリティを高めたら良いか、悩んでいる企業もいるでしょう。
そうした場合は、紹介した認証制度の取得を検討してみてください。
しかしながら、紹介した認証制度の取得には、費用や労力が少なからず掛かります。
あまりコストをかけず、とりあえずセキュリティ対策を始めたい会社はどうしたら良いのでしょうか?
情報セキュリティ対策とは
認証制度を取得すれば、情報セキュリティを向上できるとお話しました。
とはいえ、いきなり認証制度の取得は、ハードルが高いと感じる企業もあるでしょう。
そこで、これからセキュリティ対策を始めたい企業に向けて、最初に実施するべきセキュリティ対策をお話します。
そのセキュリティ対策は、IPAが出している「情報セキュリティ5か条」が参考になります。
内容を抜粋して表にまとめましたので、ご覧ください。
OSやソフトウェアのバージョンアップ、パスワード強化などは、すぐにでもできる対策でしょう。
小さなことですが、できていない企業も多くあります。
従業員それぞれが徹底することで、情報セキュリティの脅威を減らせるはずです。
対策 | 概要 | 対策例 |
---|---|---|
OSやソフトウェアは常に最新にしよう! | 古いOSやソフトウェアは、セキュリティ上の問題点が解決されていないことがあり、そこを攻撃して不正アクセスされる可能性がある。 最新バージョンにすることで、問題点をなくすようにする |
|
ウイルス対策ソフトを導入しよう! | ID・パスワードの盗難、遠隔操作などをおこなうウイルスが増加している。 ウイルス対策ソフトを導入することで、ウイルスを撃退する |
|
パスワードを強化しよう! | パスワードの推測や解析、流出したパスワードの悪用がおこなわれている。 パスワードは「長く」「複雑に」「使い回さない」ようにして対策する |
|
共有設定を見直そう! | データの共有設定を間違ったことで、無関係な人に重要情報を見られてしまうことがある。 |
|
脅威や手口を知ろう! | 取引先に装ってウイルスを送る「標的型攻撃」や本物そっくりに作られた「フィッシングサイト」などさまざまな攻撃手法がある。 そうした手法を知って対策を取る |
|
ここに挙げた以外にも、様々なセキュリティ対策があります。
セキュリティ製品だけで言っても、
- ウイルス対策ソフト
- ファイアウォール
- IPS
- WAF
- メール誤送信対策ツール
など、多数の製品が出ています。
しかし、そうした製品を全て導入したり、あらゆる対策を施そうしたりすることは、現実的ではありません。
お金と時間がいくらあっても足りませんよね。
ですから、解説したリスクアセスメントが大切になる訳です。
スマホ・タブレットのセキュリティ対策
従来の携帯電話(ガラケー)とは違い、スマホ・タブレットは小さなパソコンと言えます。安心して利用するためには、パソコンと同じくセキュリティ対策が必要です。具体的な対策は、以下をご覧ください。
- ウイルス対策アプリのインストール
- OSとアプリを最新新状態に保つ
- 公式ストア以外のアプリは使わない
- 紛失・盗難に備え、端末をロックする/遠隔操作できるアプリを入れておく
スマホ・タブレットは、パソコンよりも携帯性に優れます。万が一の紛失時も想定した対策が重要です。
LINEのセキュリティ対策
スマホ用連絡ツールに、LINEを使用している人は多いのではないでしょうか。LINEアカウント乗っ取り被害の事例もあるため、次のセキュリティ設定も欠かさずにおこないましょう。
- アプリにパスコードをかける
- 「情報の提供」と「アプリからの情報アクセス」を拒否
- 「友だち自動追加」と「電話番号による友だち追加」をオフ
- 「Letter Sealing」設定をオン(トーク内容を暗号化する)
ビジネスでLINEを利用している場合、セキュリティ対策の重要性がより高まります。一度、自分のアカウントの設定を見直してみてください。
ノートパソコン・持ち出しパソコンのセキュリティ対策
社用パソコンを社外に持ち出すと、置き忘れや盗難によるリスクが生じます。セキュリティソフトの導入や端末のロックといった、基本的な対策は必ず実施しましょう。
基本対策に加えて、パソコンを社外に持ち出す際の事前申請を義務付けましょう。持ち出す使用者・目的・使用場所・日時を記録すると、厳格に管理できます。
端末にデータを保存せず、クラウドストレージにデータを預ける方法も効果的です。仮に端末を紛失しても、端末からデータが流出する恐れはありません。
スマホのOCR(文字認識)機能を使った盗み見にも、注意が必要です。たとえばカフェの離れた席からパソコン画面を撮影するだけで、テキストを読み取られる可能性があります。覗き見防止のフィルターを貼るなど、物理的な対策もおこないましょう。
クラウドサービスのセキュリティ対策
意外と忘れがちなのが、クラウドサービスのセキュリティ対策です。クラウドサービスのセキュリティ強度は、事業者に依存します。クラウドサービスを利用する際は、事業者のセキュリティ体制のチェックが大切です。
チェック項目は、総務省の「クラウドサービスを利用する際の情報セキュリティ対策」が参考になります。以下に、チェック項目を抜粋してまとめました。
- 通信の暗号化
- データセンターの災害・侵入対策
- ハードウェアの障害対策・データのバックアップ体制
- ソフトウェアやOSなどの脆弱性対策
- 不正アクセス防止策・アクセスログの管理
クラウドサービスは、上記の項目を継続的に実施している事業者から選びましょう。
自分たちが持つ情報とそのリスクを適切に把握し、最適なセキュリティ対策を取るようにしましょう。
ただし、いずれの場合でも実施してほしい対策があります。
それは「暗号化」です。
情報漏洩対策の最終解は「暗号化」
情報セキュリティ対策をどこまで実施するかは、各企業によって異なります。
その理由は、持っている情報の違いや予算、リスクの影響度が違うからです。
ですが、いずれの企業でも実施してほしい対策があります。
それは「暗号化」です。
セキュリティ事故と聞いて、真っ先に思い浮かべるものはどんな内容でしょうか?
多くの人は、情報漏えいを想像するかと思います。
その情報漏えいに対する最適解が「暗号化」です。
暗号化とは、簡単に言えば「データの中身が他人にはわからないようにすること」。
データの中身を知られないようにすることが、情報漏えいへの対策となります。
例えば、極秘プロジェクトをまとめたデータがあったとします。
このデータが誰でもアクセスできて、閲覧できる状態だったらいかがでしょう?
言わずもがな、簡単に情報が漏れてしまいますよね。
ですので、こうした重要情報は限定された人だけが見られるよう、暗号化する訳です。
暗号化と言っても、複雑なことをおこなっている訳ではありません。
暗号化のシステムやツールを使って、元のデータを全く違うデータに変換しているだけです。
変換後のデータからは、元データの内容がわからないため、第三者に情報を見られないよう防止できます。
メールの自動暗号化ツールなどは、わかりやすい例でしょう。
このツールは、メールにファイルが添付されていると自動で暗号化します。
そして、後で送られるパスワードを入力しないと、ファイルを開けません。
扱う情報や状況によって、暗号化の仕方に違いはあります。
しかし、いずれも他人から内容を見られないようにする点は同じです。
もしあなたの会社が、まだ暗号化を導入していないのであれば、まずはそこからセキュリティ対策を始めることをおすすめします。
その上で、必ずデータのバックアップを取るようにしましょう。
仮にデータやサイトが書き換えられたり、破壊されたりしても、バックアップがあれば復旧できます。
「暗号化」と「バックアップ」をおこなうことで、情報漏えいにしっかりと対策できるはずです。
情報セキュリティ対策の目的・必要性
そもそも、情報セキュリティ対策はなぜ必要とされるのでしょうか。理由の1つに、情報の価値の変化が挙げられます。
近年、企業が扱う情報は「情報資産」と呼ばれるほど質・量ともに向上しました。企業内に蓄積された情報は、マーケティングや経営に活用されます。情報の活用手段が広まり、企業は大量の情報を保管するようになりました。
2003年に個人情報保護法が公布されてから、企業によって個人情報は堅固に守られています。個人情報を集めづらくなったことで、さらに情報の希少価値が高まりました。
情報の価値が高まれば、情報を狙う攻撃者も増加します。個人情報や企業機密を売買するため、サイバー攻撃や内部不正を仕掛けてくるわけです。常に情報が狙われるようになった今、企業の情報セキュリティ対策は必須と言えます。
情報セキュリティ対策の課題・問題点
情報セキュリティ対策の重要性が広まった昨今、何も対策していない企業はほとんどないでしょう。きちんと対策している一方で、下記3つの課題や問題点も存在します。
- IT人材不足
- 困難なインシデント対応
- 不十分な情報セキュリティ教育
順番に理由を解説します。
1. 情報セキュリティ人材不足
企業によってはきちんと対策を施そうにも、担当者となる情報セキュリティ人材が足りないケースもあります。専門的な知識を持つ担当者がいなければ、徹底的な対策は実現できません。
自社に適切な情報セキュリティ人材がいない場合、担当者を新たに確保する必要があります。そのために、まずは自社が求める人材を定めましょう。
たとえば、セキュリティインシデントに対応する「インシデント担当者」や、社内システムの運用・管理を任せる「セキュリティエンジニア」などが挙げられます。自社に足りない人材を洗い出し、適したスキルを持つ人物を配置することが肝心です。
2. 困難なインシデント対応
インシデント対応の難しさも、課題の1つです。インシデント発生時の緊急対応は、どの企業でもおこないます。緊急対応の難易度は、企業の日頃のセキュリティ対策に左右されます。
セキュリティ対策状況を定期的に見直し、現状把握できているなら、インシデント対応もスピーディにおこなえるでしょう。さらに「インシデントは発生するもの」と想定してCSIRTを構築していれば、緊急時も迅速に対処できます。CSIRTとは、インシデントの予防や発生時の対処にあたる専門チームです。
反対に、セキュリティ対策を見直していない場合、現状の把握から始めなくてはいけません。CSIRTを構築していなければ、インシデント発生後に慌てて対応チームなどの体制作りをすることになります。
インシデント対応をスムーズに処理するためには、インシデントは起きる前提で考えましょう。その上で、日頃からの組織構築や定期的な対策の見直しが必要です。
3. 不十分な情報セキュリティ教育
いくらシステム上で対策しても、運用する人間の意識が低ければ意味がありません。意識を高める手段として、情報セキュリティ教育が効果的です。
IPAの「2020年度情報セキュリティの脅威に対する意識調査」を見ると、情報セキュリティ教育が行き渡っていない実情がわかります。情報セキュリティ教育の受講経験は、10代が最も高い40.5%です。働き手となる20代は20.9%、30代は13.2%と、年代が上がるにつれて低下しています。
情報セキュリティ教育が不十分な企業は、まずは情報セキュリティポリシーを定めてください。情報を扱う際の行動方針を周知しましょう。「なぜポリシーを守る必要があるのか」理解してもらうために、サイバー攻撃の脅威と対策を学べる研修も大切です。
大企業・中小企業のセキュリティ対策
サイバー攻撃の巧妙化が進んだ今、大企業だけでなく中小企業もサイバー攻撃の対象となり得ます。大企業・中小企業ともに、セキュリティソフトの導入や、情報セキュリティ管理体制の構築といった対策が必要です。
根本的にセキュリティ対策を見直したい場合は、経産省の「サイバーセキュリティ経営ガイドライン」やIPAの「中小企業の情報セキュリティ対策ガイドライン」が参考になります。
ガイドラインには、情報セキュリティポリシーの指針の定め方や対策の実践方法が詳しく解説されています。手順を一部抜粋し、下記にまとめました。
- 自社の情報セキュリティの現状を把握する
- 「基本方針の作成」や「現状の問題点」を改善する
- 自社のリスクに応じた対策を検討し、対策予算を確保する
- 構築した情報セキュリティ体制を継続的に運用する
- 情報セキュリティ体制を定期的に見直し、改善する
上記の対策をおこなうためには、情報セキュリティの正しい知識や最新のサイバー攻撃事情を知る必要があります。情報収集する際は、「サイバーセキュリティメルマガ」がおすすめです。最新のセキュリティトレンドや書籍「情報漏洩対策のキホン」が無料で読めます。社員のセキュリティ対策マニュアルとして、そのまま使用可能です。
情報セキュリティ対策のチェックリスト
自社の情報セキュリティの現状を知りたい場合、「中小企業の情報セキュリティ対策ガイドライン」のチェックリストで確認してみてください。
組織の取り組み状況や物理セキュリティなど、各分野ごとに自社の状況を把握できます。項目ごとの対応策も示されているので、ぜひご活用ください。
Webサイトセキュリティ対策(自社管理している場合)
自社でWebサイトを運営している企業は、Webサイトのセキュリティ対策も必要になります。対策は、以下の4項目に分けておこないましょう。
項目 | 詳細 |
---|---|
Webアプリケーション |
|
Webサーバー |
|
ネットワーク |
|
その他 |
|
Webサイトにセキュリティ対策をしていないと、Webサイトの改ざんや顧客情報の流出などの被害に遭う恐れがあります。上記の対策を施して、安全なWebサイトを構築しましょう。
WordPressセキュリティ
WebサイトをWordPressで作成しているのなら、上記の基本対策に加えてWordPress側のセキュリティ状況も確認しましょう。
- WordPressのバージョン、テーマやプラグインは最新か
- 不要なテーマ・プラグインは削除しているか
- セキュリティプラグインは導入しているか
- ログインユーザー名・パスワードは複雑にしているか
WordPressは利用者が多い分、攻撃者にも狙われやすくなっています。きちんと対策をして、サイバー攻撃の被害に合わないようにしましょう。
まとめ
ここまで、情報セキュリティについて解説してきました。
今やどの企業も自社サイトを持ち、インターネットを利用する時代です。
その分、インターネットを利用した脅威は身近にあります。
いつ自分たちが、その脅威の標的になってしまうかはわかりません。
もしまだ何も起きていないのであれば、今からセキュリティ対策をおこないましょう。
セキュリティ事故は、起こってからでは遅いのです。
会社が大きな損害を被る前に、事前に対策しなければいけません。
そのためにも、まずは会社にどのような情報があるのか、正しく把握しましょう。
把握した後に、各情報がどのようなリスクを持っているかを判断し、適切なセキュリティ対策を施してください。
それでも、「どのようにセキュリティ対策を始めれば良いかわからない」と悩む企業もいますよね。
そうしたときは、「暗号化」と「バックアップ」の2つから始めましょう。
情報漏えいや情報の改ざん、自然災害への対策がおこなえます。
まずはできるところから、情報セキュリティ対策を始めてみてください。
情報を守ることは、会社を守ること。
適切に管理していきましょう。
セキュリティ対策の補助金制度
中小企業がサイバーセキュリティ対策を実施する際、「サイバーセキュリティ対策促進助成金 」の申請を検討してみてはいかがでしょうか。
東京都中小企業振興公社から、最大1,500万円の助成金を受け取れます。助成金の対象は、IPAの「SECURITY ACTION」における二つ星ロゴマークを使用している都内の中小企業です。詳しい申請方法は、公式HPをご覧ください。