皆さん、こんにちは。
EXOセキュリティサポートセンターです。
ネットワークコンピューティング、クラウド、ビッグデータ、人工知能(AI)など、
多様なIT技術が生産性向上および勤務環境改善のために企業に導入されています。
特に、変化に素早く対応するスタートアップと中小企業は、より早くこのような変化を受け入れています。
このような企業のデジタル化に伴い、急速に増加する脅威があります。それはセキュリティ事故です。
最近、サイバー攻撃および情報流出の試みが急速に広がっていますが、
まだIT予算で情報セキュリティの比重は1%未満から1~5%未満のところが大部分です。
結局、情報保護への投資は少ないまま、サイバー攻撃や内部情報流出が発生しないことを願っている状況です。
多くの企業が情報セキュリティの重要性には共感しています。
これにより、セキュリティに対する担当者、または組織をわずかながら保有しているところが多いです。
しかし、その限界が明確です。 多くの場合、企業内の情報セキュリティ組織は、
総務チームや経営支援チームで下位業務と並行したり、
情報セキュリティに対する実務経験のない人員が担当するなど、組織内の重要度を低く評価しています。
したがって、セキュリティ業務が正常に行われにくく、行
われても各チームにセキュリティ脆弱性の改善を要請しても
サービス可用性、および業務進行の円滑さに押されて反映されない場合がほとんどです。
基本的に利潤追求を目的とする企業で、売上増大に重大な影響を与えると判断されない領域には、
微温的な態度であるしかありません。 したがって、このような情報セキュリティの問題を解決するためには、
企業の危機感認識と積極的な態度が重要ですが、少ないリソースでも効率的に企業内情報を保護できる方法を
見つけることも重要です。
多くの情報セキュリティインシデント(ハッキング内部情報漏洩など)は、
ほとんどが基本的かつ常識的なセキュリティルールを守らないことによって引き起こされます。
代表的な情報セキュリティインシデントの例をご紹介します。
一般的に「情報セキュリティ」という言葉を聞くと思い浮かぶアンチウイルス機能も、
個人向けソフトウェアやWindowsに基本的なWindowsディフェンダーに依存する企業が多いほど、
情報セキュリティ意識や備えが不足しているため、国内ではサイバー犯罪が盛んです。
第一に、内外のすべてのセキュリティ脅威に対応できるセキュリティ対策が必要です。
情報流出は外部からも内部からも発生する可能性があります。 外部のハッキング攻撃および悪性コード感染から、
内部の従業員の情報無断複製および流出などを、全て対応できる立体的なセキュリティ対策が必要です。
第二に、セキュリティ業務及び情報セキュリティポリシーの業務適用時のリソース考慮
大企業を除くと、純粋にセキュリティ業務のみを担当する部署が
十分なリソースを持って運営されることが少ないため、
セキュリティ担当者の少ないリソースでも効率的に社内情報セキュリティポリシーを変更できるか、
情報セキュリティポリシーが社内に導入された際の
実務者の業務環境はどのように変化するか、を考慮する必要があります。
第三に、アカウントおよびアクセス権限の管理とアクセス記録のモニタリング
職務で区分するのではなく、実質的に必要に応じて各役職員別に区分して、
アカウントおよびデータ接続権限を付与する必要があります。
- 各実務者ごとの業務に応じて実質必要性のある実務者に権限を付与
- 各実務者の管理者は実質必要性があるか、いつまでに必要かを判別し区分
- データを使用目的に応じて閲覧、編集、転送など差別化して権限を付与
- データアクセスに関するログ情報を記録し、モニタリングおよび今後の点検用に使用
- 組織が所有している情報への、外部または第三者への制限されたアクセス権の付与
第四に、企業向け情報セキュリティ技術の導入及び活用
企業内のセキュリティレベルを高めるために、目的に応じた情報セキュリティ技術の導入が必要です。
企業で主に利用される情報セキュリティ技術は以下の通りです。
家庭で使用する個人用ウイルス対策ソフトとは異なり、中央管理システムが含まれている
企業用ウイルス対策ソフトがあります。 企業用ウイルス対策ソフトは中央で管理するため、
管理者が社内全体のアンチウイルス関連のセキュリティポリシーを立てることもでき、
従業員が任意に終了および削除することもできません。
データ流出予防と呼ばれるDLPセキュリティ機能は、メールやメッセンジャーのようなソフトウェアやUSB、
外付けハードディスク、携帯電話などの移動式保存媒体を通じて
内部の情報が外部に流出しないように防ぐセキュリティ機能です。
資料搬出遮断、搬出時承認手続き追加、搬出ログ記録など必要に応じて流動的な設定が可能です。
「デジタル著作権管理」と呼ばれるDRMセキュリティ機能は、
特定のユーザーだけを許可してコンテンツまたは文書、ファイルなどにアクセスできるようにします。
ファイルの暗号化により、不正コピーを事前に遮断し、ドキュメントと著作権を保護します。
「ネットワークアクセス制御」と呼ばれるNACセキュリティ機能は、
特定のセキュリティポリシーに合致する端末(PC、モバイル、タブレットなど)のみ
ネットワークにアクセスできるようにし、
非認可端末およびユーザーが内部ネットワークに侵入できないよう遮断する機能です。
第五に、情報セキュリティ認証により情報セキュリティレベルを客観的に診断
各社のセキュリティ製品の情報セキュリティレベルが高いかどうか疑問に思うことはありませんか。
実際、サイバー攻撃および内部情報流出が発生するまでは、
どこまで情報保護水準が高いのか可視的に確認することは難しいです。
この時、セキュリティ認証を取得することが
セキュリティ製品のセキュリティレベルを採点するための良い指標になり得ます。
セキュリティ認証を取得したからといって、100%安全なわけではありませんが、
その認証を取得·維持するための過程で情報セキュリティレベルを高めることができます。
ISMS認証とは、情報セキュリティマネジメントシステムともいわれる、
情報セキュリティを管理する仕組みのことを指します。
情報保護システムを適切に備えているかどうかを検証する代表的なセキュリティ認証で、
第三者機関によって情報セキュリティに関する要件を満たしていると判断されると、ISMS認証を取得できます。
個人情報を適切に保護するための体制を整備している企業に付与されるマークです。
ISMS認証は保護対象がすべての情報資産ですが、Pマークの保護対象は個人情報のみとなっております。
ISMSと同様に、企業の情報セキュリティシステムを適切に備えているかを検証する、
代表的なグローバルセキュリティ認証であり、世界中で通用するため、
たった一つのセキュリティ認証で複数の国で
自社のセキュリティレベルをアピールできるというメリットがあります。
情報保護は「達成」ではなく「維持」です。 上記5つのセキュリティノウハウで、
社内にしっかりとしたセキュリティシステムを構築しても、新しい従業員の流入、
新しい協業ツールの導入、新しいパートナーとの協業など、
さまざまな理由により、新たにセキュリティ状況を改善し、システムを強化する必要があります。
EXOセキュリティが、皆さんの安全なPCセキュリティのお力になれたら幸いです。
お問い合わせは、こちらから↓
■メールでのお問い合わせ :exo@jiransoft.jp
■チャットボットでのお問い合わせ :https://exosecurity.channel.io
