【情報セキュリティ対策】企業における対策の種類や方法を詳しく解説

企業において、日々重要性を増しているのが「情報セキュリティ」です。しかし、その対策方法は多岐にわたるため、どこから手を付けていいのかが分からない方も多いのではないでしょうか？

この記事では、情報セキュリティにおける10大脅威を紹介したあと、どのような対策の種類に分類できるのかについて解説いたします。

情報セキュリティの対策方法について知るには、まず、どのような脅威が待ち受けているのかを理解しておくことが重要です。IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2021」によると、以下の10個の脅威が盛り上がりを見せているといわれています。

1位にある「ランサムウェア」とは、コンピュータウイルスの一種のこと。感染してしまうと、ファイルにロックがかかってしまったり、デバイスの利用が制限されてしまったりします。

なかでも特筆すべき点は、近年導入が進んでいる「テレワーク」が、サイバー攻撃の対象となっていることです。たとえば、業務システムへのログイン時に、さまざまなIDやパスワードを入力して突破を試みる「総当たり攻撃」や、リモートアクセス時におけるシステムの脆弱性をついた攻撃などが増えています。

新しく登場するセキュリティの脅威に合わせて、企業は適切な対策を講じなければなりません。そのためには、それぞれがどのような種類に分けられるのか、大まかに分類しながら考える必要があります。

出典：IPA：情報セキュリティ10大脅威 2021

情報セキュリティの対策の種類には、大きく分けて3つあります。以下では、それぞれを詳しく解説します。

まずは、3つの中でも非常に重要な、技術的なセキュリティ対策についてです。具体的には、コンピュータ・サーバー・アプリケーション・ネットワークなどの情報システムに対して、サイバー攻撃や情報漏洩などを防ぐための技術的なアプローチを行います。

たとえば、以下のようなものが挙げられます。

• マルウェアやウイルスの侵入・検知・出口対策
• 通信データの盗聴対策
• 不正アクセスへの対策
• 不具合によるシステム障害への対策
• 高負荷通信への対策
• 不審メールの受信対策
• 機密情報のコピー対策

技術的なセキュリティ対策は、多様かつ高度な対応が求められるため、ボトルネックになりやすい部分だといえるでしょう。

上記の対策を実施できる施策の例は、以下です。

• アンチウイルスソフトやサンドボックスの導入
• WebサイトのSSL化
• ファイルの暗号化
• メールの暗号化
• ログ管理システム・ネットワーク監視システムの導入
• シンクライアントの導入
• フィルタリングソフトの導入
• クラウド環境の構築
• スパム対策ソフトの導入

上記を端から端まですべて実施するとなると、運用に大きな負担がかかるうえ、コストが高くつきがちです。そのため、自社のセキュリティで弱い部分へ絞って対策するのがおすすめです。

次に、物理的なセキュリティ対策についてです。具体的には、オフィスへ不審者が侵入するのを防いだり、オフィス外へ機密情報が洩れないようにしたりする、といったものです。

物理的なセキュリティ対策として挙げられるものの例は、以下です。

• 監視カメラを設置する
• 従業員用のIDカードや生態認証システムを導入する
• 民間警備会社と契約する
• パーテーションやブラインドを設置する
• 鍵付きのキャビネットで重要書類を保管する
• バックアップ用のサーバーを用意する
• サーバーやケーブルを安全な場所へ保管する
• オンプレミス型のシステムを構築する
• 古くなったハードウェアを廃棄する
• シュレッダーを使って重要書類を廃棄する
• オフィスへの水漏れ対策をする

最後に、人的なセキュリティ対策についてです。具体的には、従業員のセキュリティ意識を向上させることや、運用ルールを適時見直していくことなどが挙げられます。

とくに近年は、従業員が不審なファイルを誤って開いてしまったり、悪意を持った人間が機密情報を漏らしたり、といったことが多々発生しています。ほかにも、USBメモリを紛失してしまう、取引先へメールを誤送信してしまうなどの事例があるでしょう。

また、人的に定めた運用ルールがなければ、技術的なセキュリティ対策や、物理的なセキュリティ対策の実施が困難になってしまいます。そのため、人的なセキュリティ対策にも同じように力を入れなければなりません。

以下で、代表例をご紹介します。

情報セキュリティポリシーは、ウイルスの防御方法、ユーザー権限の設定方法、バックアップの奨励など、企業で実施すべき事項を明文化して規定したもののことです。基本方針、運用規定、運用体制といった項目を記載します。

情報セキュリティポリシーの策定は、外部の脅威から自社を守ることが目的なのはもちろん、情報セキュリティに対する従業員の意識向上や、顧客からの信頼性向上といった副次的な効果もあります。

策定時は、情報セキュリティ部門だけでなく、トップ層や現場の従業員と連携していくことが重要です。策定後は、ポリシーが現実に即したものかどうかを定期的にチェックし、見直していくことが必要でしょう。

セキュリティポリシーを策定するだけでなく、役員や従業員へ教育していくことが欠かせません。実際に従業員の意識が高まっていかないと、人的なセキュリティ事故がなくならないからです。

情報セキュリティ教育を行う際は、専任者を選定するのがおすすめです。自社のポリシーとすり合わせをしながら、より効果的な教材づくりを目指します。

教育手段は、e-ラーニングや外部セミナーの活用など、さまざまに存在します。定期的にテストを実施するなどして、情報セキュリティへの理解度を確認してもよいでしょう。

上記では、情報セキュリティの対策について、「技術的な対策」「物理的な対策」「人的な対策」の3つの種類をご紹介しました。一方で、見方の次元を変えると、以下のように分けることも可能です。

• 防止対策：サイバー攻撃やインシデントを防ぐための対策
• 検知対策：サイバー攻撃やインシデントを検知するための対策
• 事後対策：サイバー攻撃やインシデントが発生した後、被害を最小限に食い止めるための対策

従来の情報セキュリティ対策の基本は、「防止対策」でした。しかし近年、攻撃手法やインシデントリスクが多様化してきていることから、「いかに早く異常へ気づけるか」「発生後の被害をいかに抑制するか」といった観点が重要になってきています。

最初に紹介した情報セキュリティ対策の3つの種類に加えて、これらの見方も加えることで、より効果的な対策が可能になるでしょう。

ここでは、企業のセキュリティ担当者が今からでも取り組める対策内容を6つご紹介します。

オフィスにある業務用パソコンや、オープンソースのソフトウェア、ベンダーが提供するアプリケーションなどのアップデートは、欠かさずに行いましょう。OSやアプリの脆弱性情報が公開されるとともに、悪用される事例も多々発生しているからです。

もし、利用するサービスやシステムが社内に乱立しているような場合は、それらをリストアップし、どれくらいの間隔で更新のチェックを行うのかを明確にしましょう。

業務システムの利用者へ、わかりにくいパスワードを設定させることも、強力なセキュリティ対策になります。たとえば、「0000」や「1234」、「password」といったパスワードは、セキュリティへの意識が低い方が付けがちです。

では、具体的にどのようにパスワードを設定すればよいのでしょうか？2008年にIPA（情報処理推進機構）が発表した「コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について」によると、パスワードの解読時間は以下のようになっています。

出典：IPA：コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について

上記の表を参考にすると、最低でも「大小の英字+数字」の組み合わせで、8桁以上にするのが望ましいでしょう。ただ、コンピュータの処理速度は日々向上しているため、より複雑に設定する方が安心です。

悪意ある攻撃者がもっともウイルスを仕込みやすいのが、メールの添付ファイルです。そのため、業務に関係ないと思われるメールは、極力開かせないのが良策でしょう。

もし開いてしまっても、添付のURLやファイルをクリックしなければ問題ないです。その際は必ず、差出人メールアドレスを確認し、本物かどうかを見分けさせるようにしましょう。

とくに、「標的型攻撃」や「ビジネスメール詐欺」の対象にならないためにも、徹底しておきたい項目のひとつです。

業務以外の不要なWebサイトを閲覧させないことで、フィッシングに引っかかったり、未知のウイルスへ感染したりするリスクを抑えられます。従業員一人ひとりの心がけで実施できるので、取り組みやすい対策のひとつだといえるでしょう。

もし、Webサイトの閲覧制限をシステマチックに行いたい場合は、ブラウザやOSに標準搭載している、フィルタリング機能を使うのがおすすめです。特定のWebサイトだけ閲覧させない「ブラックリスト」や、許可したWebサイトのみへアクセスできる「ホワイトリスト」などの閲覧制限ができます。

社内のUSBメモリを使用する機会を減らしていくことも、有効な対策のひとつです。なぜなら、USBメモリの紛失や盗難によって、情報漏洩が発生する事例も存在しているからです。

とくに、外出の多い営業マンや、外部との交流が多い役員などは、データを外へ持ち出す機会が多くなります。その際に、USBメモリをポケットからうっかり落としてしまったり、カフェなどへ置き忘れてしまったりするだけでも、情報漏洩につながってしまうのです。

対策方法としては、端末内へデータを直接保存したり、外部のクラウドサービスを活用したりするのが望ましいでしょう。

ウイルス感染やフィッシング詐欺へ、手っ取り早く対策したいと考える方は、セキュリティソフトを導入しましょう。無料ではなく費用がかかりますが、導入した直後から攻撃の被害に遭うリスクを抑えてくれます。

セキュリティ対策ソフトを選ぶ際は、「パソコンの動作がスムーズに行えるか」「サポート体制は充実しているか」といった点を確認しましょう。「管理画面が操作しやすいか」どうかもチェックしておきたいポイントのひとつです。

この記事では、情報セキュリティの対策の種類や、担当者が簡単に取り組める対策をご紹介しました。まとめると、以下の種類に分けられます。

サイバー攻撃やインシデントは日々多様化していくため、完璧に対策できるわけではありません。そのため、自社の現状を把握し、優先事項を決めながら少しずつ進めることが失敗しない秘訣です。