• マルウェア対策
  • ゼロトラスト
  • エンドポイント
  • IT資産管理

情報セキュリティ対策とは?そのポイントと具体的な対策


                                                                    security_article.jpg
ITがビジネスに欠かせない存在となった今、さまざまなサイバー攻撃から社内の情報を守るセキュリティ対策は不可欠です。しかし、行うべき対策は多岐に渡り、「自社にはどのような対策が必要か」といった判断は難しい上に、日々巧妙化する攻撃への対策も求められます。本記事ではポイントを押さえたセキュリティ対策を実現するために、セキュリティ対策の基本から、まず行うべき対策や最新情報まで解説します。

この記事のポイント

  1. 情報セキュリティ対策とは
  2. 情報セキュリティの脅威を3つに分類
    (1)技術的な脅威
    (2)人的な脅威
    (3)物理的な脅威
  3. 2022年最新のセキュリティトレンドと被害状況
  4. 情報セキュリティ対策でまず押さえるべき対策事例
    (1)OSやソフトウェアは常に最新の状態に
    (2)ウイルス対策ソフトを導入しよう
    (3)パスワードを強化しよう
    (4)共有設定を見直そう
    (5)脅威や攻撃の手口を知ろう
  5. 自社の状況にあわせた情報セキュリティ対策を

情報セキュリティ対策とは

情報セキュリティ対策とは、企業が持つ情報資産をさまざまな脅威から保護することを指します。多くの業務がシステム化される中、顧客情報や製品・サービスの情報、営業資料、メールなど、企業は多くの情報資産を抱えており、これらを脅威から保護しなければなりません。また、脅威といってもその種類は不正アクセス、マルウェア感染、データ改ざんなどと幅広く、それぞれへの対策が求められます。
情報セキュリティ対策への投資は企業にとって負担が大きく、利益に直結する領域ではないため、後回しにされがちです。しかし、万が一、情報漏洩が起きてしまうと企業の信頼は大きく損なわれ、個人情報が流出した場合、補償などでさらにダメージが大きくなります。また、サイバー攻撃によりシステム停止に陥った場合、業務が滞りビジネスに深刻な影響を与える可能性があります。そのためにも、必要な対策を早急に行うことを強くお勧めします。

情報セキュリティの脅威を3つに分類

情報セキュリティの脅威は大きく3つに分類できます。

(1)技術的な脅威

まずは、外部の攻撃者からIT技術を悪用した攻撃を受ける「技術的な脅威」です。脆弱性を悪用した攻撃によりソフトウェアの脆弱性を悪用した攻撃や、サーバやネットワークに過剰な負荷をかけるDoS/DDoS攻撃などが挙げられます。特に脆弱性を悪用した攻撃の結果引き起こるマルウェアの感染は企業内に大きな被害をもたらし、PCやサーバ内のデータを暗号化して身代金を要求するランサムウェアは代表的な例となります。こうした攻撃に対応するには、PCにインストールするウイルス対策ソフトウェアやネットワーク系のセキュリティ機器、セキュリティサービスなどを組み合わせて導入する必要があります。

(2)人的な脅威

技術的な脅威だけでなく“人”に起因した脅威もあります。社員による不正や、メール誤送信といったうっかりミスによる情報漏洩などにも対策は必要です。さらに、最近はメールの送信者を詐称し取引先を装って攻撃を仕掛ける「フィッシングメール」の被害も増加しています。社員へのセキュリティ教育とあわせて、不正を未然に防ぐ仕組みやミスをしてもセキュリティ事故につながりにくい環境の整備が求められます。

(3)物理的な脅威

最後は、地震や洪水などの自然災害、火災などによりオフィスやデータセンターが被災する物理的な脅威です。遠隔地にサーバを冗長化する、遠隔バックアップを行うなどの対策が考えられます。

2022年最新のセキュリティトレンドと被害状況

情報セキュリティにおける脅威は、日々変化を続けています。IPA(独立行政法人 情報処理推進機構)では、そのトレンドをまとめた「情報セキュリティ10大脅威」の2022年版を発表しました。(※1)

■情報セキュリティ 10 大脅威 2022 「組織」向けの脅威の順位

順位「組織」向け脅威昨年の順位
1位ランサムウェアによる被害1位
2位標的型攻撃による機密情報の窃取2位
3位サプライチェーンの弱点を悪用した攻撃4位
4位テレワーク等のニューノーマルな働き方を狙った攻撃3位
5位内部不正による情報漏えい6位
6位脆弱性対策情報の公開に伴う悪用増加10位
7位修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)NEW
8位ビジネスメール詐欺による金銭被害5位
9位予期せぬIT基盤の障害に伴う業務停止7位
10位不注意による情報漏えい等の被害9位

上記の攻撃や脅威は、大企業だけが気にすればよいというものではありません。例えば、3位の「サプライチェーンの弱点を悪用した攻撃」ですが、これは強固な対策を行っている大企業を直接狙うのではなく、サプライチェーンの中で対策が脆弱な中小企業をまず標的とし、そこを踏み台に本来のターゲットである大企業を攻撃する手法です。この場合、自社が“加害者”になってしまうケースもあり、企業規模問わず情報セキュリティ対策は必須と言えます。
ちなみに、2021年上半期のIPA「コンピュータウイルス・不正アクセスの届出事例」によると、「IDとパスワードによる認証を突破された不正アクセス(31件)」がトップであり、ランサムウェアなどによる「身代金を要求するサイバー攻撃の被害(30件)」、「脆弱性や設備不備を悪用された不正アクセス(24件)」と続きます(※2)。コンピュータウイルスや不正アクセスは自社には関係ないと考えず、まずは基本的な対策から行いましょう。

※1 : IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2022」より
https://www.ipa.go.jp/files/000095773.pdf
※2 : IPA「コンピュータウイルス・不正アクセスの届出事例[2021年上半期(1月~6月)]」より
https://www.ipa.go.jp/files/000093083.pdf

情報セキュリティ対策でまず押さえるべき対策事例

では、具体的にどのような対策を行えばよいのでしょうか。IPAが公開する中小企業・小規模事業者向け「情報セキュリティ5か条(※3)」をベースに、セキュリティ対策の基本として押さえるべきポイントを解説します。

※3 : IPA「情報セキュリティ5か条」(2021年3月10日)
https://www.ipa.go.jp/files/000055516.pdf

(1)OSやソフトウェアは常に最新の状態に

WindowsなどのOSや、各種ソフトウェアは常に最新のバージョンに更新することが基本です。最新のバージョンには新たに見つかった脆弱性への対策などが含まれており、古いバージョンのままではリスクが残ります。そのため、OSなどのバージョンアップは社員に任せるのではなく、資産管理ツールなどを利用してバージョンやアップデート状況を把握し、より確実に最新のバージョンへ更新するようにしましょう。
また、Windows 10では年4回の大型アップデートがあり、大容量データが一斉にダウンロードされるため、回線が混雑し、「アップデートが始まり、PCを起動できない」などのトラブルも発生しがちです。回線に負担をかけず段階的にアップデートするなど、スムーズにOSアップデートを行うためにIT資産管理ツールなどを活用するとよいでしょう。

参考記事

Windows 10 アップデートを見据えた端末管理にどう対応すべきか
https://www.scsk.jp/sp/itpnavi/article/2018/03/ivanti.html
Windows 10の機能アップデートを効率化! 悩める管理者への処方箋https://www.scsk.jp/sp/itpnavi/article/2019/10/ivanti2.html
テレワーク特集~ 社外でもクライアントPCをセキュアに保つためのポイントや注意点、取り組み方とはhttps://www.scsk.jp/sp/itpnavi/article/2020/09/telework04.html

(2)ウイルス対策ソフトを導入しよう

エンドポイント(社員が利用するPC)の対策として、まずウイルスを検知・駆除する対策ソフトの導入は必須と言えます。以前は、ウイルスをパターン化したものを対象と突き合わせることで検出する「パターンマッチング型」が主流でしたが、最近ではウイルスの挙動(ふるまい)を確認することで検知する「ふるまい検知」機能や機械学習による検知を行う「NGAV(次世代アンチウイルス)」が登場し、導入する企業が増えています。
さらに、ウイルスやマルウェアの侵入はもはや防ぎきれないことを前提に、エンドポイント(PC)の挙動を継続的に監視し、異常を発見次第通知する「EDR(Endpoint Detection and Response)」も注目を集めています。EDRでは継続的にログを収集し監査することで、侵入検知時に被害状況を追跡することが可能です。従来にはない、より強固なセキュリティ対策を実現します。

参考記事

運用担当者が語る!次世代エンドポイントセキュリティ導入の裏側と、1年間運用して実感した効果
https://www.scsk.jp/sp/itpnavi/article/2019/05/cybereason.html

(3)パスワードを強化しよう

ID・パスワードを悪用した不正ログインによる被害は後を絶ちません。システムやサービスのパスワードは「英数字記号を交え10文字以上」など複雑なものを設定する、同じID・パスワードは、複数のシステムやサービスで使い回さない、といった対策を社内で徹底しましょう。また、特に重要なシステムには、ID・パスワードだけでなく、複数の要素を組み合わせた「多要素認証」を行うことがお勧めです。例えば、スマートフォンや専用端末に1回だけ利用できる使い捨てのパスワードを発行する「ワンタイムパスワード」などの仕組みと組み合わせる二要素認証とすることで、より強力な対策が可能になります。このほか、顔や指紋、静脈などによる生体認証も手間をかけずに認証強度を上げる方法として有効です。

(4)共有設定を見直そう

オンラインストレージなどのWebサービスで、共有設定のミスから、機密情報がインターネット上に公開されていたなどのトラブルも少なくありません。その対策として、オンラインストレージとActive Directoryを連携させて権限管理を一元化するなど、効率的かつ適切な管理が行える体制を整えることをお勧めします。
もちろんオンラインストレージだけでなく、社内のファイルサーバも同様です。アクセス権が適切に管理されているか、機密情報が指定した場所以外に保管されていないかなどを管理する必要があります。膨大なファイルを1つずつ手作業で管理するのは負担が大きいため、自動で管理するツールを導入するのも有効です。

参考記事

管理が追いつかず、情報漏洩リスクが高まるファイルサーバー。
ファイル・フォルダのアクセス権を自動で適正化し、流出しても情報漏洩しない暗号化の組み合わせでリスク低減!
https://www.scsk.jp/sp/itpnavi/article/2019/11/nias.html

(5)脅威や攻撃の手口を知ろう

情報セキュリティは、一度対策を取れば大丈夫というものではありません。不特定多数を対象にメールでウイルスなどを送りつけるのではなく、特定の企業を狙い業務に関するメールを装う標的型攻撃も後を絶ちません。最近では、コロナ禍で急増したテレワークを狙った攻撃も増加し、社内にアクセスするVPNルータの脆弱性を狙うなど、これまでとは違った攻撃へとシフトしています。
こうした状況の中、注目されているのが「ゼロトラスト」というセキュリティの考え方です。ゼロトラストとは、「社内ネットワークは安全で、社外ネットワークは危険」という従来のセキュリティ対策から脱却し、守るべき情報資産にアクセスするものは「社内も社外も、すべて信頼しない」という考え方です。このゼロトラストを実現するためには、対象ファイルを複数のエンジンで徹底的にスキャンすることでマルウェアの検知率を上げる「マルチスキャン」や、マルウェアがスキャンをすり抜ける可能性を考慮し、事前にファイルを分析してセキュリティ上の脅威となる部分を排除した上で、安全なファイルに再構築する「ファイル無害化」など、最新の対策を取り入れていく必要があります。

参考記事

重要性を増すゲートウェイでのセキュリティ対策!カギは「マルチスキャン」と「ファイル無害化」にあり
https://www.scsk.jp/sp/itpnavi/article/2021/12/a10opswat.html

自社の状況にあわせた情報セキュリティ対策を

今回紹介した5つのポイントはあくまで基本です。クラウドの普及やテレワークの加速により、情報セキュリティ対策で守るべき対象は広がり続けており、対策すべき範囲も広がっています。
もちろん、すべての企業がこれらの全対策を導入すべきというわけではありません。しかし、情報漏洩などのセキュリティ事故が起きてからでは遅いことは事実です。自社において、重点的に対策すべきポイントはどこなのか、どのポイントを押さえておくべきなのかなどは、早急に検討を進めるべき最重要項目といえます。
自社の状況にあわせた適切なセキュリティ対策を実施するために、常にセキュリティに関する最新の情報をチェックするとともに、いつでも相談できるパートナーとの関係を構築しておくことをお勧めします。

情報セキュリティ対策 見直しのための参考図

NGAV 次世代アンチウィルスEDR Endpoint Detection and Response

UTM 統合脅威管理CASB クラウド利用可視化ファイルサーバー統合管理
IT資産管理 エンドポイント管理マルチスキャンファイル無害化
アクセス管理多要素認証SSODLPデータ漏洩防止

最新情報などをメールでお届けします。
メールマガジン登録