企業に必要な情報セキュリティとは?脅威やおこなうべき対策を紹介
企業は、重要な機密情報や顧客・取引先などの個人情報を保持しているため、情報セキュリティ対策が必要です。担当者だけでなく、社員一人一人がセキュリティへの意識を持たなければなりません。
本記事では、企業に求められる情報セキュリティについて紹介します。
目次[非表示]
- 1.情報セキュリティとは?
- 1.1.企業の情報セキュリティ
- 2.情報セキュリティにおける主な脅威
- 2.1.標的型攻撃による機密情報の窃取
- 2.2.ランサムウェアによる攻撃
- 2.3.内部からの情報漏えい
- 2.4.サプライチェーンの弱点を悪用した攻撃
- 3.企業がおこなうべき情報セキュリティ対策
- 3.1.ウイルス対策
- 3.2.情報セキュリティポリシーの策定
- 3.3.利用者の認証
- 3.4.不正侵入・ハッキング対策
- 3.5.情報セキュリティ教育
- 4.情報セキュリティを確保する3つの要素
- 4.1.機密性を確保すること
- 4.2.完全性を確保すること
- 4.3.可用性を確保すること
- 5.情報セキュリティマネジメントシステムの必要性
- 5.1.ISMS認証を取得するメリット
- 5.2.取得の流れ
- 6.まとめ
情報セキュリティとは?
情報セキュリティとは、重要な情報が外部に漏れたり、ウイルスに感染したりすることがないように、必要な対策を講じることです。特に企業では顧客情報や機密情報など抱えている情報の量が多く、十分な情報セキュリティ対策が求められています。
ここでは、企業に求められる情報セキュリティの内容について見てみましょう。
企業の情報セキュリティ
企業には顧客の個人情報や営業の機密情報など、多くの情報が保管されています。
企業が持つ情報には、顧客情報などの情報そのものをはじめ、それらが記載されているファイルやメールなどのデータ、データを保存するパソコンやコンピュータ、USBなどの媒体や紙の資料などがあげられるでしょう。これらの情報が漏れると、社会的な影響が計り知れません。
情報セキュリティは、情報を脅かすさまざまな脅威から情報を守るために必要な手段です。
情報セキュリティにおける主な脅威
情報セキュリティにおいて脅威となるのは、主に次の4つです。
- 標的型攻撃による機密情報の窃取
- ランサムウェアによる攻撃
- 内部からの情報漏えい
- サプライチェーンの弱点を悪用した攻撃
標的型攻撃による機密情報の窃取は、情報セキュリティにとって最も大きな脅威となります。ランサムウェアによる攻撃や内部からの情報漏えいも、被害が多く報告されています。
ここでは、情報セキュリティで特に被害の多い脅威について紹介します。
標的型攻撃による機密情報の窃取
情報セキュリティの脅威として代表的なのが、標的型攻撃による機密情報の窃取です。標的型攻撃とは特定のターゲットに対しておこなわれる攻撃で、主に偽装メールを送付して添付ファイルやURLをクリックさせるといった手口が使われます。
攻撃の主な目的は機密情報の窃取で、目的を達成するまで執拗に攻撃が繰り返される点が特徴です。手口は年々巧妙化しており、十分な対策が求められています。
ランサムウェアによる攻撃
ランサムウェアとはウイルスの一種で、パソコンなどのデバイスに不正アクセスするプログラムです。感染するとパソコン内のデータが暗号化されて操作ができなくなり、解除するための身代金を請求されます。
ランサムウェアの主な感染経路は、ウイルスが添付されたメールを開く、記載されているURLをクリックするなどで、ほかにもWebサイトやUSBメモリなどの媒体から感染する場合もあります。
また、脆弱なセキュリティソフトやOS、ソフトウエアが攻撃を受けて感染するケースも少なくありません。
内部からの情報漏えい
脅威は外部からの攻撃だけではありません。内部からの情報漏えいも、脅威のひとつです。システムに関与できる従業員が顧客情報を窃取する、メールの誤送信で情報を漏えいするといったケースが考えられます。
このような事態を防ぐには、アクセスやファイルの持ち出しを制限する、情報セキュリティの教育体制を整えるといった対策が必要です。
サプライチェーンの弱点を悪用した攻撃
サイバー攻撃の対象は、大手企業に限りません。中小企業も被害にあう恐れがあるのが、サプライチェーンへの攻撃です。
サプライチェーンとは、原料調達から消費者に届くまでの一連の過程のことです。そこに関わる取引先や関連会社の中には、セキュリティ対策が十分整っていないところがあるケースもあるため、その弱点を悪用し、ターゲットとする企業へ攻撃がおこなわれることがあります。
そのため、情報セキュリティ対策は自社だけでなく、取引先などを含めたサプライチェーンを視野に入れておこなうことが重要です。
企業がおこなうべき情報セキュリティ対策
数多くの脅威に対し、企業は十分な対策が必要です。ウイルス対策はもちろん、情報セキュリティポリシーの策定や利用者の認証といった対策があげられます。従業員への情報セキュリティ教育や、不正侵入を防止する対策もおこなわなければなりません。
企業がおこなうべき情報セキュリティ対策について、詳しく見ていきましょう。
ウイルス対策
コンピュータウイルスはインターネットの利用時に、サイトや電子メール、記憶媒体などさまざまな経路から侵入するプログラムです。
ウイルスに感染すると、パソコン本体やソフトウエアが動かなくなる、個人情報が盗まれる、ウイルス付きのメールが大量に自動送信されるなどの被害を受けることになります。
また、ウイルス被害を受けたことが明るみに出れば、セキュリティ意識の低い企業として社会的信用を失うことにもなりかねません。
情報セキュリティポリシーの策定
情報セキュリティ対策には、情報セキュリティポリシーの策定が必要です。 情報セキュリティポリシーとは、企業が実施する情報セキュリティ対策の方針です。企業の業務形態やシステムの構成、保有している情報を踏まえ、それらの内容に合わせて策定します。
策定の目的は情報セキュリティの脅威から自社の情報を守ることですが、従業員の情報セキュリティに対する意識の向上や、対外的な信頼性を高めるという趣旨も含まれています。
利用者の認証
内部からの情報漏えいを防ぐためには、利用者の認証を徹底することも大切です。利用者認証とは、本人であることを認証する技術のことです。
IDとパスワードによる認証をはじめ、ICカードやワンタイムパスワードなどの所有物認証、指紋認証や筆跡などの身体的・行動的な特徴で認証する方法があります。セキュリティを高めるには、2つ以上の認証を組み合わせることが効果的です。
不正侵入・ハッキング対策
企業のパソコンやネットワークに対する不正侵入は後を絶ちません。不正アクセスを許すと、情報の漏えいや改ざん、破壊といった被害を受けます。
また、高いコンピュータースキルを持つ技術者が、ハードウェアやソフトウエアを改変するハッキングも横行しています。
これら不正侵入やハッキングへの対策には、セキュリティ対策ソフトやセキュリティに強いパソコンの導入、推測されにくいパスワードを使うなどが効果的です。
また、無線LANを使用している会社では、通信の暗号化方式としてセキュリティ効果の高いWPA2を選ぶとよいでしょう。
情報セキュリティ教育
従業員の情報セキュリティ教育も欠かせません。メールの誤送信など、ミスによる情報漏えいなどを未然に防ぐため、個々の従業員が情報セキュリティについて理解し、セキュリティ意識を高めることが必要です。
厳重なセキュリティシステムを完備しても、それを扱う従業員の意識が低ければ情報漏えいは防げません。具体的な情報セキュリティ教育には、研修や現場での業務を通じておこなう教育(OJT)などがあげられます。
情報セキュリティを確保する3つの要素
情報セキュリティを確保するためには、次の3つの要素を備えなければなりません。
- 機密性を確保すること
- 完全性を確保すること
- 可用性を確保すること
3つの要素を確保するためには自社にある情報の内容を把握し、それぞれのバランスを考慮しながら対策をおこなうことが必要です。
それぞれの内容を詳しく紹介します。
機密性を確保すること
機密性とは、権限のある者だけが情報へのアクセスや変更などをできるようにすることです。権限のない者はデータを閲覧することはできても、データを書き換えることができません。
機密性を確保する具体的な方法は、情報にアクセスする際の認証を徹底する、重要なデータを暗号化して解読できないようにするなどの方法があります。
完全性を確保すること
完全性とは、情報が改ざんされず、正確で完全な状態が維持されていることです。完全性が少しでも失われた場合、企業の信頼性も失われてしまいます。
完全性を保つためには、アクセス履歴を残して情報の改ざんや不正アクセスの痕跡を残すことや、データの管理ミスが起きないよう従業員のオペレーション教育をするなどの対策があげられます。
可用性を確保すること
可用性とは、情報が必要なときに、すぐに使えるようにすることです。天災などの災害時やシステムダウンが生じた際、素早い復旧が問われます。このようなシーンでも対処できるよう、バックアップを残す、各拠点で補完しあえるようシステムを二重化するなどの対策が必要になるでしょう。
情報セキュリティマネジメントシステムの必要性
情報セキュリティを確保するには、情報セキュリティマネジメントシステムも必要です。ISMS(Information Security Management System)と呼ばれるもので、ISMS認証は情報セキュリティを管理する仕組みを構築している企業に与えられる国際規格の認証です。
ここでは、ISMSを取得するメリットについて紹介します。
ISMS認証を取得するメリット
情報セキュリティマネジメントシステム(以下、ISMS)とは、情報セキュリティを管理するための仕組みです。趣旨にかなったマネジメントシステムを運用して認証機関の審査を受ければ、ISMS認証を取得できます。
ISMSは情報セキュリティの方針やマニュアル、計画書の作成、情報セキュリティ教育など、目標を達成するためのものをすべて含むシステムです。
ISMS認証を取得するメリットとして、社内的には情報セキュリティのリスクを抑えること、従業員のセキュリティ意識を高めることがあげられます。
また、対外的には顧客からの信頼が向上することがメリットです。 ISMS認証を取得していることは情報セキュリティに対して高いレベルにあるというアピールになり、社会的信用を高められるでしょう。
取得の流れ
ISMS認証の取得は、次のような流れでおこないます。
- ISMS認証取得のための計画を作成する
- ISMSを構築して運用する
- 内部監査をおこない、トップへ報告する
- 2回の審査を受ける
- 認証を取得する
ISMS認証の取得に向けた社内責任者を選び、取得のゴールを設定します。それに向けて計画書を作成し、ISMSの構築と運用、審査を受けるという流れです。計画の作成から認証取得までは、早くて6カ月〜1年ほどかかります。
まとめ
情報セキュリティの確保は、企業にとって重要な課題です。情報セキュリティの脅威は数多く、適切な対策を講じなければなりません。対策は外部からの攻撃だけでなく、内部においても必要です。
また、情報セキュリティを確保するにはISMSを構築することも重要です。そのためにも、まずは社内で保有している情報の把握から始めることをおすすめします。
P-Pointerは、社内のパソコンやファイルサーバの中から、ファイルの内容や属性情報をもとに保管ルールに違反している個人情報ファイルを検出する「個人情報ファイル検出・管理ソリューション」です。
ファイルの所在をチェックし、自動で移動や削除が可能なため、個人情報ファイルの把握と安全管理に課題をお持ちの企業様に最適なツールです。どこにどのような情報が保存されているかを事前に把握しておくことで、効果的な情報漏えい対策が図れます。
無料でP-Pointerの資料をダウンロードできますので、ぜひご確認ください。
\P-Pointerの無料資料はこちら/
\自身のPCの個人情報を「無料体験版」でチェック/
