今回のテーマは「情報セキュリティ対策の種類」です。

企業では多種多用な情報資産を保有し、適時適切に情報が社内・社外へと開示されます。情報資産は、技術情報や顧客・個人情報など「情報」だけでなく、ネットワーク、コンピュータ、情報システム/ソフトウェア、ノウハウなどさまざまな形態のものがあり、ITの普及に伴い情報資産も経営資源の1つとして欠かせません。

企業経営で重要度を増す「情報資産」、いつ犯罪グループの標的にされサイバー攻撃を受けるかわかりません。しかし、セキュリティインシデントの中でも大きな損失をもたらす「個人情報漏洩」の主な原因は、実は社内利用者による”人的ミス”です。

≪情報漏洩の主な原因≫

  • メールやFAXの誤送信
  • メール添付ファイルのファイル間違い
  • 従業員による機密データの持ち出しや業務上知り得た情報の口外
  • 情報機器やUSBメモリなど記憶媒体の紛失や置忘れ
  • なりすましによる不正アクセス

情報セキュリティ対策を実施する際は、サイバーセキュリティの最新動向や脅威の傾向などの情報も参考に、組織の現状を調査・把握する必要があります。
セキュリティ対策の実現方法には「技術的・物理的・人的」の対策がありますが、バランス良く3つの観点から対策を取ることで”人的ミス”による個人情報漏洩を防止することができます。

≪調査内容 *1≫

     
  • 組織がどのような情報資産を保有しているか
  • 組織にどのような情報セキュリティリスクがあるのか
  • セキュリティインシデントが発生する可能性の有無
  • セキュリティインシデント発生時の被害規模や影響度
    (その他)

情報セキュリティ対策は「技術的・物理的・人的」(対策種類)のバランスが重要

技術的対策

技術的対策には、ネットワーク・セキュリティ機器のようにハードウェアに機能を持たせたものや、OSやソフトウェアを利用したサービスもあり、さまざまな対策方法があります。

≪技術的対策-例≫

  • ウイルス対策ソフトの導入
  • 不正アクセスを管理する認証システムの導入
  • ハードディスクおよび外部記憶媒体の暗号化
  • 不正侵入検知システム(IDS)を利用した不正侵入/異常トラフィックの検出
  • ファイアウォールで外部ネットワークからのパケットを通過/拒否させる
  • ファイアウォールで防げない脅威を不正侵入防止システム(IPS)でブロック
  • WAFを利用してWEBサイトへの攻撃をブロックする
  • 専用ソフトウェアを利用してデータの社外持出を制御、メールやFAXの誤送信を管理

なお、セキュリティ機器は技術的な対策になりますが、これら機器の設置場所やセキャリティ設定は人が講じる対策です。ファイアウォールのように機器単独では防御できない場合はIPSを組み合わせるなど、カバー範囲を確認し全ての攻撃を遮断できるようセキュリティ機器やサービスを組み合わせて利用するようにしましょう。

物理的対策

情報セキュリティ対策でも不審人物の侵入を防いだり、災害・事故などの被害への予防措置が必要です。IT社会となり、物理的対策では建物や設備だけでなく、スマートフォンやタブレットが普及しBYODを放置してきた企業も対策を検討せざるを得ない状況になりつつあること、新型コロナ対策として政府がテレワークを推奨するなど社会的背景も大きく変化しており、以下に示すような物理的対策も講じなければなりません。

≪物理的対策-例≫

  • 建物やフロア/オフィスへの入退管理/施錠管理
  • セキャリティワイヤーによるPC等、盗難防止対策
  • 停電や瞬停への対策として無停電電源(UPS)の設置
  • サーバー室の温度・空調管理、耐震・防火設備の導入
  • タブレット/スマホ/カメラなど撮影機能を持つ情報機器や、USBメモリ/SDカード/紙など記録媒体の管理
  • 廃棄処分することになったPCなど情報機器や外部メディア等は、営業機密が漏洩することのないよう完全にデータを消去
  • 自然災害に備え、リモートバックアップ

人的対策

組織のセキュリティやリスク状態の調査結果に基づき、技術的・物理的対策と併せて人的対策も必要になります。組織がどのような情報を保有し保管管理しているのか、情報の形態や利用方法など把握した上で情報セキュリティポリシーや規程/手順書など策定し、内部不正・人的ミスの防止対策、データ保全に取り組む必要があります。また、人的対策では社員教育に重点がおかれますが、教育は派遣社員・アルバイト・パート・管理職など全社員を対象に実施しなければなりません。

≪実施教育内容-例≫

a.情報セキュリティポリシー(必要に応じてコンプライアンスも含む)の周知および説明
b.情報セキュリティ関連

  • ①メールソフトの操作方法(全般)や添付ファイル取り扱い(パスワード設定/暗号化や誤送信防止)含む、社内研修を実施
  • ②USBメモリやDVDなど外部メディアの紛失や取り扱いについて注意喚起
  • ③スマートフォン、タブレット、デジタルカメラ、ビデオカメラなど撮影機能を搭載するIT機器の社外持ち出しおよび個人所有端末(BYOD)の持ち込みなど禁止事項について周知徹底
  • ④FAXの誤送信および受信・送信紙媒体の置きっぱなしについて注意喚起
  • ⑤機密情報紙媒体の破棄方法について周知徹底
  • ⑥インターネット/Webサイト閲覧時の危険性など啓発
  • ⑦パスワード文字列の考え方およびパスワードの厳重管理の必要性について
  • ⑧企業を取り巻く情報セキュリティの「脅威」・「被害の影響」について
  • ⑨ネット詐欺やマルウェア感染防止対策(個人的対策含む)について
  • ⑩その他
  • c.セキュリティインシデント発生時の対応手順作成および教育
    e.認証システム導入時におけるアカウント管理/ホスト管理について
    d.その他

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。