
好きな所から読む
情報セキュリティとは?
企業の情報資産である顧客情報や蓄積してきたノウハウ、従業員などの個人情報を破壊・改ざん・流出から守ることです。外部からのサイバー攻撃やマルウェア感染だけではなく、内部からの情報漏洩にも対策を講じなければなりません。対策を講じる範囲は社員が利用するスマートフォンやPCなどのデバイス機器、データのやりとりを実現するネットワーク環境など多岐に渡ります。
情報セキュリティの対策強化が叫ばれているのは、現代において情報の価値が高く評価されているからです。つまり、情報に利用価値があるという意味です。
例えば、個人情報はダークウェブで流出すると犯罪への悪用や名簿業者への転売が望めるので、高値で取引が行われます。個人情報の中に、クレジットカードやインターネットバンキングなどの情報が入っていれば、金銭を不正利用できます。
つまり、犯罪者にとって企業の情報資産は、高額な報酬が期待できる利用価値の高い取引対象が多く詰まった場所なのです。今後も犯罪者による不正アクセスやサイバー攻撃が止むことはないでしょう。
情報漏洩によってどのような影響が発生するか?
情報流出によって想定されるリスクをまとめました。近年は多くの企業が情報漏洩に敏感になっており、企業規模に関わらず一度でも情報漏洩が起きると、社会的信用が失墜し企業ブランドが傷つきます。
想定される攻撃 | 想定される影響 | 影響の結果 | |
内容 |
|
|
|
情報セキュリティの7要素とは?
ISO/IEC 27002で定めた3要素である機密性・完全性・可用性とISO/IEC 27001ではそれに加え、正真性、責任追及性、信頼性、否認防止の4要素を合計した7要素にてセキュリティ対策を行うべきとしています。ISO/IEC 27002は、国 際標準化機構 (ISO) と 国際電気標準会議 (IEC) が定めた情報セキュリティマネジメントシステムに関する規格です。つまり、ISO/IEC 27001で定めた仕様を運営するための規格です。そして、ISO/IEC 27001は情報セキュリティマネジメントシステムの仕様をを定義する規格であるため、認証が可能になります。
7要素について、特徴をみていきます。
機密性
特定のデータファイルやサービスに関して、アクセス権限が認められた者しか操作できない状態にすることです。閲覧・編集できる人数を限定することで、情報の破壊・改ざん・流出を防ぎます。対策としては、社員の所属している部署ごとに閲覧できるデータファイルを限定するアクセス管理や多要素認証の設定などにより、情報の機密性を保持します。
完全性
技術データや取引先とのやりとりなどの情報が破損や改ざんをされておらず、正確で完全な状態を保っていることを指します。
セキュリティ対策が不十分の場合、不正アクセスによる情報の削除や改ざんを招き、今後のビジネスに大きな支障を与えます。
主な対策としては、アクセス権の制限やセキュリティツールによるログ監視、情報資産を暗号技術によって保護するといった内容が挙げられます。
可用性
特定の情報の閲覧や操作を業務で必要なときに通信障害やエラーが発生せずに、問題なく行える状態を保つことです。
可用性が維持できない場合、業務に支障が出る場合や取引先に迷惑が掛かるといった影響が懸念されます。
サイバー攻撃やマルウェア感染といったセキュリティインシデント対策、地震や洪水時が起きた際のバックアップ体制などの確率が必要です。
真正性
データにアクセス要求をしている人物が本人であること、情報処理のプロセスが正しいこと、閲覧した情報が改ざんされていない正しい状態であることを指します。
社員になりすました犯罪者による不正アクセス、取引先や経営層を装ったビジネスメール詐欺などによる情報漏洩を防ぎます。
不正アクセスを防ぐためには、社内ネットワークへのログイン時に顔認証や指紋認証といった生体認証の要求・多要素認証の実施、データの有用性と特定の人物とのやりとりを証明する電子署名の利用などが対策として挙げられます。
責任追跡性
データファイルへのアクセスや操作をどのユーザーが行っていたか明確にすることです。
ユーザー行動を可視化することで、異変を感じた場合はすぐに対策に動けます。
対策としては、不正アクセスの攻撃傾向や回数を分析できるログ・レポート機能を搭載したWAF(Web Application Firewall)の設置、アプリケーション制御やWebフィルタリングなど多彩な機能を搭載するUTM(Unified Threat Management)の導入が有効です。
信頼性
ユーザーが行った操作に対して正しい反応や結果が返ってくるか、システムダウンが発生していない、情報処理の透明性確保がされているなどの状態を指します。
例えば、資料を印刷する操作を行ったのにも関わらず印刷できない状態や何も操作をしていないにも関わらずメール送信が勝手に行われるといった状態は、信頼性が損なわれている状態です。
対策として、WAFの設置やデバイス機器内の脅威を検知・隔離する EDR(Endpoint Detection and Response)の導入が挙げられます。
否認防止
不正行為を行った人間が否定したとしても、情報のやりとりや文章の正当性を証明して不正行為を明確にすることです。
タイムスタンプの押印やハッシュ関数の入力を求めて情報の正当性と特定の相手とのやり取りを証明する電子署名の活用、デバイス機器やネットワーク構成機器、導入済みのセキュリティツールからのデータログを自動収集するSIEM(Security Information and Event Management)の導入が対策として挙げられます。
企業が抱えるセキュリティ上の3つの脅威とは?
技術的脅威、人的脅威、物理的脅威の3つに分けられます。
技術的脅威
不正プログラムを利用した技術的要因によって発生する脅威で、マルウェア感染やサイバー攻撃などの被害が該当します。多様な種類の攻撃に備える必要があり、不正アクセスの予防とマルウェア感染やサイバー攻撃が発生した場合に被害を最小限に抑える対策の両方が求められます。
マルウェアとサイバー攻撃の一部をまとめました。
マルウェアの特徴と被害事例
特徴 | 被害 | 事例 | |
ウイルス |
|
|
|
ワーム |
|
|
|
トロイの木馬 |
|
|
|
ボット |
|
|
|
サイバー攻撃の事例紹介
特徴 | 被害 | 攻撃種類 | |
標的型攻撃 |
|
|
|
負荷をかける攻撃 |
|
|
|
不特定多数を狙った攻撃 |
|
|
人的脅威
操作ミスや不正行為など、人間の操作や行動によって引き起こされる脅威です。メールの誤送信や詐欺メールの開封、USBメモリやPCの紛失、機密情報の持ち出しやコピーなどが挙げられます。内部犯行の対策は非常に難しく、社員の行動が見えづらいことと退職した社員にも目を配らなければならない点が内部漏洩が減らない大きな要因です。
現役社員は在宅勤務やテレワークの普及によりオフィスでは機能していた監視の目が無くなり自由度の高い自宅で過ごす時間が長いため、オフィスへの出勤がデフォルトの状態よりも内部漏洩を起こしやすい状態になっています。一方、退職者は企業に不満があった状態での退職や転職先での好待遇を築くための取引材料として、情報流出を実行します。
どちらのケースも給料や人間関係、待遇など企業に恨みや不満があった場合は、行動を起こすきっかけとなりますので注意が必要です。現役社員には情報漏洩やセキュリティ分野に関しての教育を行うことで、情報漏洩が自らの責任で発生した場合の責任の大きさを伝えます。懲戒解雇だけではなく多額の賠償金を要求されるケースもあるといったことを伝え、人生を棒に振るう行為になることを理解させてください。
一方、退職する社員に対しては、退職時に情報流出をした場合の罰則や情報持ち出しを禁止とする誓約書を記載させるなど、情報漏洩を予防するための書面を交わしておくことが大切です。
物理的脅威
地震や大雨による天災による被害、サーバーやデータセンターなどネットインフラの老朽化、オフィスの経年劣化などが挙げられます。オフィスの設備が古くなって劣化した場合は、天候被害や外部からの不正侵入による防御力が落ちるため、情報資産の盗取・破損のリスクが高まります。また、PCやネットワーク機器の破損や浸水によるトラブルのリスクも向上しますので、定期的なメンテナンスが必要です。
身近に行える情報セキュリティ対策の事例を4つ紹介
定期的なアップデートの実施、怪しいメールを開封しない、業務上関係ないWebサイトを閲覧しない、USBメモリ利用の機会を減らすといった対策は、個々で行える身近なセキュリティ対策です。
定期的なアップデートの実施
OSやブラウザ、セキュリティソフトは小まめにアップデートを行い最新のバージョンを使用しましょう。古いバージョンを使用していると最新のマルウェアに対応できず、感染リスクが上昇します。特に自己増殖が可能なワームに感染した場合、すぐに感染が広まるので注意が必要です。
怪しいメールを開封しない
内容的に違和感を覚えるメールや自身の業務に関係ないメールが来た場合は、すぐに開封しないでください。本文のリンクや添付ファイルにマルウェアが仕込まれている可能性が十分にあるからです。社内で怪しいメールを受け取った場合は、先輩や上司に確認してから行動を起こすことも情報漏洩防止のために重要です。
業務上関係ないWebサイトの閲覧の制限・禁止
掲示板や2ちゃんねるなど業務上関係ないサイトやデータ通信が暗号化されていないHTTP(Hypertext Transfer Protocol)通信のWebサイトの閲覧を制限・保護します。セキュリティ面に不安を抱えているサイトは犯罪者が用意した偽サイトの可能性もあるため、情報流出のリスクが上がります。昨今においてはHTTPS通信が必須です。
マルウェア感染や情報漏洩のリスクも軽減するためにも、業務上関係ないWebサイトの閲覧をしないことをおすすめします。ただし、個人の判断に任せてしまうとセキュリティレベルにばらつきが生まれるため、UTMを導入することで業務上関係ないWebサイトの閲覧やアプリケーションの利用を一括で制限します。
USBメモリ利用の機会を減らす
緊急の時以外はUSBの利用を禁止することで、社員の業務進捗管理と内部漏洩の防止に効果があります。働き方改革の影響で表立っての残業や休日出勤はしづらくなりました。
ですが、仕事量が減るわけでは無く新しい人材が入らない場合は、既存社員が業務効率を上げて多くの仕事をこなさなくてはなりません。自宅で仕事を行うためにUSBメモリが利用されますが、実態はサービス残業を課しているのと何も変わりません。
優秀な社員ほど仕事を多く振られてしまうので、上司が従来以上に仕事の進捗管理と満遍なく仕事の振り分けを行う必要があります。仕事に疲弊した社員が多くなると、企業への不満が高まり離職率の増加につながります。また、USBを利用する機会が多くなると、情報漏洩のリスクが高まります。
現在は在宅勤務で仕事を行う方も増えており、企業への不満が溜まっている場合は情報漏洩に及んでも不思議ではありません。USBメモリの利用機会を減らすことで、仕事量の管理と情報漏洩のリスク管理を行います。