企業が取り組むべき情報セキュリティ対策とは?対策方法と企業事例を紹介
はじめに
この記事では、情報セキュリティ対策の基本として知っておきたい7つの概念と、企業が取り組むべきセキュリティ対策、具体的な対策事例をご紹介します。
情報セキュリティ対策とは
企業における情報セキュリティ対策は、企業の保有する機密情報や個人情報などの情報資産を保護し、情報漏えいなどのセキュリティ事故を起こさないようにするためのものです。
日本においては、近年のセキュリティ事故の増加やその影響の大きさから、政府が企業に対して情報セキュリティ対策に関する情報を提供しています。
企業にとって情報セキュリティ対策が必須である理由
セキュリティ事故が起きると、業務が停止して利益を得られないだけでなく、関係者や取引先、顧客からの信頼を失い取引の縮小や顧客離れを招く恐れがあります。組織で働く人たちのモチベーションも低下するでしょう。また情報システム復旧のための費用、重要な情報の漏えいともなれば損害賠償問題に発展するなどで、金銭面でも痛手となります。
情報漏えいや不正アクセス被害が増加
近年では、情報漏えいや不正アクセスの被害が増加しています。独立行政法人 情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威 2024」の「組織」部門では、ランサムウェア被害が1位となりました。ほかにもサプライチェーンの弱点を利用した攻撃や内部不正も上位に挙がっています。
企業規模に関わらず情報セキュリティ対策が必要であること、また従業員に対してもセキュリティ教育が必要であることが見て取れます。
参考:情報セキュリティ10大脅威 |IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
個人情報を保護する社会的責任は大きい
特に個人情報を取り扱っている企業は、社会的責任が大きいものとなります。東京商工リサーチによると、2023年の「個人情報漏洩・紛失事故」は、前年比6.0%増の175件、漏えいした個人情報は前年比590.2%増となる4,090万8,718人分でした。事故数こそ前年から減少しているものの、大型の事故が相次いでいました。
いまや情報セキュリティ対策は、企業が果たすべき責務であるともいえます。
参考:東京商工商工リサーチ 2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分
https://www.tsr-net.co.jp/data/detail/1198311_1527.html
情報セキュリティ対策の7要素
※ISO/IEC 27001:ISMS(Information Security Management System:情報セキュリティマネジメントシステム)のための要求事項をまとめた国際規格
機密性
機密性は、許可された者だけが情報資産にアクセスできることです。情報へのアクセス権限は必要最低限にすることが基本であり、情報の重要度に応じて適切なアクセス権限の設定や、認証システムの利用が求められます。
完全性
完全性は、情報が改ざんなどされておらず正確であることです。情報の内容が古いために正確でない場合も、完全性を満たしていない状態といえます。対策としては適切な文書の管理に加え、不正アクセス対策も求められます。
可用性
可用性は、許可された者だけを対象に、必要なときにいつでも情報資産にアクセスできることです。システム障害や災害でシステムにアクセスできないなどの場合は、可用性を欠いている状態です。対策としては情報システムや電源の多重化や、非常時にも事業を継続できるように対策を行う「BCP(事業継続計画)」が挙げられます。
真正性
真正性は、情報にアクセスする企業や個人、PCやモバイル機器などの媒体が「正しくアクセスを許可されたもの」と認めることです。なりすまし行為は、真正性のないことの例です。対策としては、二段階認証や多要素認証、デジタル署名などがあります。
信頼性
情報セキュリティ対策における信頼性は、システムが実行する処理に欠陥や不具合を起こすことなく、意図した通りの処理が実行されることです。対策としてはプログラムに例外処理を行うこと、WebページにSQLインジェクション防止策を施すことなどがあります。
責任追跡性
責任追跡性は、情報資産の参照・変更・削除といった操作を、どのユーザーが行ったかを確認できることです。情報資産の操作ログのほか、作業ルームの入退室記録も責任追跡性を示すものとなりえます。
否認防止
否認防止は、内部不正などの問題が発生した際に、実行した人が後から否認できないようにすることです。否認防止の方法としては、情報資産の操作ログや通信ログを改ざん・消去できないようにする、タイムスタンプを付与することなどが挙げられます。
企業の情報セキュリティ対策の例
1、ランサムウェアなどのマルウェア感染対策
ランサムウェアによるサイバー攻撃は現在最も脅威となっており、既知のランサムウェアの防止策だけでは感染を防げない可能性があります。未知のランサムウェアへの感染も想定して、迅速に復旧できるようデータのバックアップを定期的に実施しましょう。
参考コラム:ランサムウェアとは?想定される被害や、主な感染経路・対策方法 |
2、不正アクセスへの対策
不正アクセスへの対策は、セキュリティソフトを導入することが第一の対策となります。OS・ソフトウェアやセキュリティソフトを最新の状態に保ちつつ、二段階認証や多段階認証の導入も検討すると良いでしょう。
参考コラム:不正アクセスされたら?被害に遭った時の対処法とやるべきセキュリティ対策 |
3、内部不正による情報漏えい対策
経営者が情報セキュリティ対策に主体となって取り組むことが、内部不正者に対しての抑制力となります。経営者の責任を明確化し組織を横断した体制を構築すること、情報資産の管理方法を確立し責任者を任命することなどが対策として挙げられます。
参考:組織における内部不正防止ガイドライン|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
4、システム障害や災害による障害への対策
ITシステムの障害は、短時間の停電やディスクドライブの障害といった軽度のものから、災害による破壊や火災、テロ行為など重度のものまであります。システム障害や災害を想定し、緊急時の対応計画を立てることが有効となります。
参考:IT システムにおける緊急時対応計画ガイド|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025327.pdf
企業の情報セキュリティ対策事例
事例1 従業員のセキュリティ意識向上:金属製品製造業
東京都の「中小企業サイバーセキュリティ対策継続支援事業」における事例です。ある金属製造業の企業では、セキュリティポリシーの作成など基本的なセキュリティ対策はある程度行えている一方で、PCのパスワード設定ができていないなど従業員のセキュリティ意識に課題がありました。
そこで同社では専門家に依頼してセキュリティ対策の状況や課題を洗い出し、PCの認証パスワードなどセキュリティ設定を確認。それらの対策も加味したセキュリティガイドラインを作成し、関係者に周知しました。またインシデント管理体制の構築を検討することとなりました。
参考:令和5年度 中小企業サイバーセキュリティ対策 継続支援事業 事例集|東京都
https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Tokyo_CyberSecurity_jireishu_2023_Text.pdf
事例2 アクセリアのデータバックアップサービス(VDaP)を活用:株式会社フューメック様
省力化自動機械の設計製作を行う株式会社フューメック様では、災害対策や社内ネットワークのセキュリティ対策が課題となっていました。検討の末、ランサムウェア対策・災害対策を行うべく、アクセリアの「データバックアップサービス(VDaP)」を導入。社内に分散していたバックアップを効率よく一本化できました。
導入事例:コストパフォーマンスが良いサービスで重要データの安全性を確保(株式会社フューメック) |
事例3 全社的なセキュリティポリシー改善にまでつながる攻撃者目線の侵入テスト:JRAシステムサービス株式会社様
中央競馬のITシステムを扱うJRAシステムサービス株式会社様では、外部からの攻撃には対策を行っていたものの、内部ネットワークに侵入されてからの対策を課題としていました。内部ネットワークの脆弱性を探るべく、アクセリアのペネトレーションテスト(侵入テスト)を採用。テストの結果、個人情報の奪取に至る可能性があるルートを発見し、全社サーバーへの対応やセキュリティポリシーの改善・セキュリティレベルの向上につながりました。
導入事例:全社的なセキュリティポリシー改善にまでつながる攻撃者目線の侵入テスト(JRAシステムサービス株式会社) |
まとめ
アクセリアでは、ホワイトペーパー[サイバー攻撃から経営資産を護る!企業の情報セキュリティ実践ガイド]をご提供しています。企業の課題発見にお役立てください。
そのほか、情報セキュリティ対策についてのお悩みはぜひアクセリアにご相談ください
お問い合わせはこちら▶
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service