セキュリティ対策の実装 それは時代の要請

情報漏えいや第三者からの攻撃だけでなく、企業の存続にも影響を与えるセキュリティ問題。規模にかかわらず考えたい対策のポイントと具体例をご紹介します。

[2016年12月16日公開]

「セキュリティ対策の実装 それは時代の要請」:資料概要

セキュリティ対策が求められる最大の理由は「企業を守る」ということ。企業規模にかかわらず考えたい対策のポイントと対策のためのステップを説明します。また人的・物理的なセキュリティ対策の具体例や、ウイルス対策、不正アクセス対策、暗号化といった対策のためのツールやサービスをご紹介します。

目次(抜粋)

  • 中小企業が抱える情報セキュリティ上の課題
  • セキュリティ対策が必要な理由
  • 守るべき3つのポイント─C.I.A.
  • 情報は低いところから漏れる
  • セキュリティ対策のステップ
  • 一番弱いところから始めるセキュリティ対策
  • 人的セキュリティ対策の要は教育
  • 環境的セキュリティ対策は、入退室管理から
  • 情報セキュリティ対策のツールとサービス

仕様など

形式:
PDF
ページ数:
4ページ
容量:
2.7MB
関連するメーカー名:
トレンドマイクロ、日立ソリューションズ
関連する製品名:
InterScan VirusWall、秘文AE Full Disk Encryption

この資料をダウンロードする(無料)

資料の関連コラム「セキュリティ対策は、一番弱いところから着手する」

著者紹介

株式会社大塚商会
営業本部トータルソリューショングループシニアリーダー 山口 大樹
ISO14001・27001審査員補
経営品質協議会認定セルフアセッサー

複合機販売を中心とした飛び込み営業から、大手企業担当営業を経て、大塚商会ミッションステートメント具現化のために社長が創設したトータルソリューショングループの創設メンバーとなり現在に至る。お客様目線のソリューション提案によりお客様との信頼関係構築を進める。

  • * 取材当時(2012年)の情報です。

セキュリティ対策は、費用対効果ではなく、発生したときの損害を考えるべき

企業が何か新しい仕組みや機器を導入するとき、経営者は「費用対効果」を重要視する。これは、当然のことだが、セキュリティ対策に関しては、この普遍的とも思われる価値基準とは異なる物差しを採用する必要がある。その異なる物差しを大塚商会 営業本部 トータルソリューショングループ TSM課シニアリーダーの山口大樹は以下のように語る。

「セキュリティ対策の優先順位が企業の中で下がってしまう理由に、費用対効果の算出が難しい、あるいはできない、といったことがあります。しかし、セキュリティ対策に関しては、費用対効果ではなく、リスクが発生したときの損害を考えるべきです。」(山口)

企業のセキュリティを脅かす事柄は、多岐にわたる。人の問題、物理的な環境の問題、情報セキュリティ、企業の組織・体制など、全方位でセキュリティ対策を行わなければならない。大企業であれば豊富な人材、潤沢な資金を投入できるだろうが、中堅以下の企業にとって専任者を置くことはもちろん、必要十分な予算を確保することすら難しいかもしれない。

「大企業であっても、できるだけ費用をかけずにセキュリティ対策を実施したい、とお考えでしょう。ましてや、中堅企業以下では、なおさらのことだと思われます。いきなりセキュリティ対策を全方位で実施するというのはかなり難しくなります。費用と人手をかけずに行える対策から始めるといいと思います。その際、始めるのは一番弱いところから、というポイントを忘れないようにしましょう。」(山口)

入退室管理は紙でもできる

物理的なセキュリティというと真っ先に思い浮かぶのが、入退室管理だ。しかし、ビルの1室、あるいは1フロアーを間仕切りで仕切って使っている事業所では、安全区域、機密区域など、区域をしっかり分けることが難しい。だからといって、誰もが自由気ままに事業所内を歩き回れる状況をそのままにしておくことはセキュリティ対策上好ましくない。そこで山口は、以下のような方策を提示した。

「小さな事業所、事務所では、物理的・環境的なセキュリティ対策を講じることはかなり難しいと思います。理想的には、入り口付近に安全区域を設定し、入退室台帳を作成します。台帳があるということは、入退室の履歴が残るということになります。企業が保持する情報を盗み出そうという行為に対して、一定レベルの抑止力にはなると思います。さらに、ここでゲストカードを発行し、ゲストカードに応じて、入出区域をコントロールできれば、セキュリティレベルは1段上のものとなります。」(山口)

この入退室台帳は、見方を変えると、安否確認のデータとしても利用可能だ。火事が発生し、全員が部屋から退出したとする。しかし、火事が発生したとき、その部屋に誰がいたのか台帳がなければ正確な確認が難しくなる。社員だけであればまだしも、外部の人がいた場合、安否確認すらできなくなる。このように、入退室台帳を作ることは、セキュリティ対策だけでなく、別の機能をも併せ持つことになる。

「最近の傾向として、入退室管理はアナログではなく、社員証(カード)にICを埋め込み利用するスタイルが急増しています。企業規模にかかわらず、個人情報取扱事業者となれば、個人データの安全管理のために必要かつ適切な処置が求められますので、自社のビジネス上、法律に定められたセキュリティ対策が必要となります。このような企業におけるセキュリティ対策を考えると、物理的な部分、さらにITを活用して、統合してセキュリティ対策を行うのが有効です。」(山口)

情報セキュリティ対策は、4視点から実施

情報セキュリティ、ことにIT関連のセキュリティを考えると、以下のような四つの視点が中心となる。

  1. ウイルス対策
  2. ボット対策
  3. 不正アクセス対策
  4. ぜい弱性対策

2の「ボット」とは、コンピューターウイルスの一種で、コンピューターに感染し、そのコンピューターを、インターネットを通じて外部から操ることを目的として作成されたプログラムのこと。管理の不十分なコンピューターにユーザーの知らない間にボット(プログラム)が設置されると、本人が気づかないままDDoS攻撃、迷惑メール送信等の実行マシンに仕立てられてしまうことになる。よって、ボットへの感染防止、駆除および被害の極小化などは企業セキュリティ上で非常に重要になる。

「デジタル(IT関係)のセキュリティでは、外からの攻撃を守る、内側からの漏えいを防ぐという両面を考えなければなりません。悪意のある攻撃は、ファイアウォールで、ウイルスに対しては、ウイルスチェックソフトの導入で対応するというように、ある程度、システムに組み込むことでセキュリティ対策を講じることが可能です。しかし、ウイルスに感染したときどうするのか、DoS攻撃を受けた場合どう対処するのかといったことに関しては、組織的として対応策を考える必要があるでしょう。」(山口)

一般的に情報漏えい事故の7~8割が人的要因によって引き起こされ、そのうち8割は悪意がないといわれている。これは、単に制度としてのセキュリティ対策ではもはや不十分で、いつでも誰でも事故の当事者になり得るのだというセキュリティ教育の重要性を示唆していると思われる。社員各自のセキュリティ意識が高まることが、企業全体のセキュリティレベルを確実に引き上げることにつながるのだ。

お客様にお勧めの資料