08 May 2023
企業や組織が情報セキュリティに関して、講じるべき基本的な対策とは何でしょう?
セキュリティベンダーの広告や、メディアでのセキュリティ関連情報によって、数多くの対策すべき情報が溢れています。そんな中、企業が情報セキュリティにおいて、何が必要なのか基本的な考えをまとめてみます。
1.情報セキュリティポリシーの策定
企業や組織の情報資産を情報セキュリティの脅威から守ることを目的に、まずは情報セキュリティ対策の方針や行動指針である情報セキュリティポリシーを作ることが必要です。社内規定となる組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載します。保有する情報量や組織の規模、体制などによって内容は異なりますが、業務形態、ネットワークやシステムの構成、情報資産などを踏まえた上で、それに見合った情報セキュリティポリシーを明確に定め、従業員に周知徹底することが必要です。
企業や組織の情報資産を情報セキュリティの脅威から守ることを目的に、まずは情報セキュリティ対策の方針や行動指針である情報セキュリティポリシーを作ることが必要です。社内規定となる組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載します。保有する情報量や組織の規模、体制などによって内容は異なりますが、業務形態、ネットワークやシステムの構成、情報資産などを踏まえた上で、それに見合った情報セキュリティポリシーを明確に定め、従業員に周知徹底することが必要です。
2.アクセス権の設定と制御
社外や部外者などへ安易に情報が漏れないように情報にアクセスできる人や部署を限定し、不正アクセスを防止するために個々にアクセス権を設定し適切なアクセス制御を実施することが必要です。ユーザ認証については、パスワードのルール設定や、多要素認証の導入などが有効な手段であり、リソースに対しては、暗号化や接続デバイスの制限などが有効です。また、管理者権限に対する特権IDの管理も重要です。
社外や部外者などへ安易に情報が漏れないように情報にアクセスできる人や部署を限定し、不正アクセスを防止するために個々にアクセス権を設定し適切なアクセス制御を実施することが必要です。ユーザ認証については、パスワードのルール設定や、多要素認証の導入などが有効な手段であり、リソースに対しては、暗号化や接続デバイスの制限などが有効です。また、管理者権限に対する特権IDの管理も重要です。
3.リスクマネジメントの実施
情報セキュリティに関するリスクを特定し、分析し、評価するリスクアセスメントや、適切なリスク対応などをするためのリスクマネジメントプロセスを実施することで、起こり得るリスクやその影響を把握し対策を講じることが可能となり、インシデントが発生した場合でも発生時の損失を極小化できます。リスクに対応する方法には、回避、低減、移転、受容の4つが代表的なものですが、回避、適正化、共有、保有といったリスクへの新しい対処方法も事業継続に有効です。
情報セキュリティに関するリスクを特定し、分析し、評価するリスクアセスメントや、適切なリスク対応などをするためのリスクマネジメントプロセスを実施することで、起こり得るリスクやその影響を把握し対策を講じることが可能となり、インシデントが発生した場合でも発生時の損失を極小化できます。リスクに対応する方法には、回避、低減、移転、受容の4つが代表的なものですが、回避、適正化、共有、保有といったリスクへの新しい対処方法も事業継続に有効です。
4.システム毎のセキュリティ対策
システムのセキュリティリスクを最小限に抑えるため、システムやアプリケーションの脆弱性を定期的に評価し、その脆弱性に対して適切な対策を実施するため、最新のセキュリティパッチを適用したり、ファイアウォールや不正アクセス検知システムなどを導入することが必要です。また、情報システムのログなどの監視を行い、不正アクセスや不審な操作を早期に検知し、迅速な対応ができるようにすることも重要です。
システムのセキュリティリスクを最小限に抑えるため、システムやアプリケーションの脆弱性を定期的に評価し、その脆弱性に対して適切な対策を実施するため、最新のセキュリティパッチを適用したり、ファイアウォールや不正アクセス検知システムなどを導入することが必要です。また、情報システムのログなどの監視を行い、不正アクセスや不審な操作を早期に検知し、迅速な対応ができるようにすることも重要です。
5.従業員の教育・訓練
情報セキュリティに関する教育・訓練を実施することで、企業や組織のセキュリティ意識を高めることが可能になり、従業員が情報セキュリティに関するリスクを理解し、適切な対策を講じることができるようになります。
情報セキュリティに関する教育・訓練を実施することで、企業や組織のセキュリティ意識を高めることが可能になり、従業員が情報セキュリティに関するリスクを理解し、適切な対策を講じることができるようになります。
また、企業において基本的に講じるべき情報セキュリティの対策は、経済産業省の「サイバーセキュリティ経営ガイドライン」や「中小企業の情報セキュリティ対策ガイドライン」などにも記載されています。
これらのガイドラインによると、重複しますが基本的な対策として、次のような項目が挙げられています。
・情報資産の管理
・アクセス制御
・外部からの攻撃対策
・内部からの不正対策
・セキュリティ意識の啓発
・セキュリティポリシーの策定
・インシデント対応体制の整備
・情報セキュリティ監査の実施
・情報セキュリティの継続的改善
・ベンダリスクの管理
・アクセス制御
・外部からの攻撃対策
・内部からの不正対策
・セキュリティ意識の啓発
・セキュリティポリシーの策定
・インシデント対応体制の整備
・情報セキュリティ監査の実施
・情報セキュリティの継続的改善
・ベンダリスクの管理
企業によっては個別に調整や改善が必要となりますが、基本的にはこれらの項目を踏まえた情報セキュリティ対策を講じることが求められます。 しかしながら、安心安全な情報セキュリティを目指すのであれば、マルウェアなどのセキュリティ脅威に対して入口で侵入を防止し、内部でも常時監視を行い、問題を素早く検知し通知し、システムを構成している機器やアプリケーションなど、あらゆるログを収集して分析し、セキュリティインシデントの予兆を抽出して予防保全を実現するセキュリティ マネジメント システム体系を確立することが理想です。
それには、ネットワーク、サーバ、アプリケーション、エンドポイントの各分野において、抑止・防止、検知・監視、情勢把握、予兆保全、対処・回復の継続的な見直しと実践が求められます。
企業や組織は、切迫したセキュリティ脅威による近視眼的な対策ではなく、基本に立ち返り体系だって対策を講じていくことが、最も有効な手段といえるでしょう。