情報セキュリティ対策の基本とは?被害の事例や必要な取り組みを解説
企業の重要な機密情報や顧客情報を守るため、情報セキュリティ対策が求められています。しかし、専門知識を持つ担当者がいないなど、課題を持つ企業も少なくありません。
本記事では、企業が行うべき情報セキュリティ対策について詳しく紹介します。
目次[非表示]
- 1.情報セキュリティ対策の重要性とは
- 2.情報セキュリティ被害と事例
- 3.企業が実施すべき情報セキュリティ対策
- 3.1.脅威や攻撃の手口を知る
- 3.2.ウイルス対策ソフトを導入する
- 3.3.ソフトウェアを更新する
- 3.4.IDとパスワードを適切に管理する
- 3.5.個人情報を含むドキュメントを適切に管理する
- 4.情報セキュリティ対策の課題
- 4.1.専門的な知識を持つ人材の不足
- 4.2.情報セキュリティ教育が不十分
- 5.情報セキュリティ対策の仕組みづくり
- 5.1.情報セキュリティポリシーを策定する
- 5.2.認証を取得する
- 5.3.ISMS認証
- 5.4.プライバシーマーク
- 6.まとめ
情報セキュリティ対策の重要性とは
情報セキュリティ対策とは、会社が保有する顧客データや機密情報などをウイルス感染や不正アクセス、情報漏洩といったリスクから守ることです。
企業にとって重要な情報が流出すれば、社会的信頼が失われ、経営に大きな打撃を与えます。
ここでは、情報セキュリティ対策の重要性や、行うべきことについて紹介します。
情報セキュリティに伴うリスクを防ぐ
情報セキュリティ対策は、企業が保有する機密情報や顧客情報などが外部に漏れるリスクを防ぐために欠かせません。情報セキュリティリスクは、Webサイトの改ざんなどの「脅威」とセキュリティホールなどの「脆弱性」に大きく分けられますが、そこに含まれるリスクは多種多様で、必要となる対策もさまざまです。
まずは、組織として対策の方針と規則を定めることが必要です。
また、定めた方針と規則を守り、ルールに沿った行動が取れるよう社員への教育を行うことが求められます。
情報セキュリティ被害と事例
企業において発生しうる情報セキュリティ被害はさまざまです。ウイルスの感染や不正侵入など外部からの被害だけでなく、重要書類の紛失などで情報漏洩するリスクや、災害による障害で情報を失う危険もあります。
起こりうるリスクを予想し、それぞれに適した対策を立てなければなりません。ここでは、情報セキュリティ被害と事例について見ていきましょう。
不正侵入
不正侵入とは、アクセス権限を持たない者がシステムの内部へ侵入する行為です。不正侵入には、次のような手口が考えられます。
- 不正に入手した他人のIDやパスワードでログインする
- システムやソフトウェアの脆弱性を狙って侵入する
- なりすましや詐欺行為でログインする
- フィッシングサイトを作りIDやパスワードを盗む
インターネットは世界中とつながっているため、不正侵入はどこからでも行われる可能性があります。不正侵入の結果、サーバや情報システムが停止する、重要情報が漏えいするなどの被害を受けることになります。
ウイルス感染
ウイルスは、パソコンを攻撃したりデータを盗んだりする不正プログラムです。似たものにマルウェアがありますが、マルウェアとは悪意のあるプログラムを総称する言葉で、ウイルスはその一種です。
ウイルスはホームページの閲覧やUSBメモリなどの記憶媒体、電子メールなど、さまざまな方法を介して感染します。
さまざまな種類があり、感染するとプログラムの書き換えや自己増殖、コンピュータの内部に潜んでバックドア(侵入口)を作成する、システムを破壊するなど多様な活動を行います。
情報漏洩
情報漏洩とは、悪意ある者の攻撃や社内での不注意により、企業が保有する情報が外部に流出してしまうことです。
自社の機密情報が漏えいすることは大きな損害となりますが、顧客情報が漏えいすることは信頼も失うことになり、多額の損害賠償を請求される可能性もあります。
情報漏洩で代表的な事例といえるのが、情報が記載された書類や情報を保存したパソコン、USBメモリなどの紛失です。
また、メールの誤送信による情報の漏えいも少なくありません。社内のデータを誤って取引先に送信する、顧客のデータをほかの顧客に送ってしまうなどが考えられます。
災害などによる障害
情報は災害などによる障害で失われるリスクもあります。特に日本は地震が多く、大地震が起こる可能性も考えて対策を立てなければなりません。
災害による情報のリスクとしては、書類やメディア、サーバなどが物理的な損傷を受けてデータが失われる、停電の影響や交通のストップによる必要物資の不足により情報処理機器が稼働できなくなるといった例が考えられます。
企業が実施すべき情報セキュリティ対策
多様な情報セキュリティのリスクに対し、適切な対策を講じることが必要です。まずは自社を取り巻くリスクにどのようなものがあるのか脅威や攻撃の手口を把握することから始めましょう。その上で、具体的な対策を講じましょう。
ここでは、企業が行うべき情報セキュリティ対策について代表的なものを紹介します。
脅威や攻撃の手口を知る
まず、自社の情報がどのような脅威や攻撃の手口にさらされているかを把握しましょう。
脅威には、人為的なものと作業環境によるものがあります。人為的脅威には、標的型攻撃や攻撃や不正アクセスなど外部からの行為のほか、従業員の誤った操作によるヒューマンエラーが挙げられます。
作業環境による脅威は、自然災害によるものです。自社が抱える情報セキュリティ対策の課題がどこにあるのかを確認しましょう。
ウイルス対策ソフトを導入する
コンピュータに保存する情報を守るには、ウイルス対策が欠かせません。ウイルス対策でまず行いたいのが、対策ソフトの導入です。
ウイルス対策ソフトは送受信するメールにウイルスが含まれていないかをチェックするとともに、ウイルスを検知して隔離したり、駆除したりする機能があります。
また、プログラムの破壊や情報の収奪を目的とするスパイウェアの検知、企業情報を盗み取るフィッシングへの対策を行う機能などがあります。ソフト導入後は、ウイルス定義ファイルを最新の状態に保つようにしましょう。
ソフトウェアを更新する
ウイルス対策にはソフトウェアの更新も大切です。ソフトウェアは定期的な更新が行われますが、これはプログラムの不具合など脆弱性が見つかった場合に提供される問題解決のための修正プログラムです。
アップデートされたプログラムの更新を怠ると、パソコンは脆弱な状態のままでウイルスに感染しやすくなってしまいます。そのため、ソフトウェアは常に最新の状態にしておかなければなりません。
IDとパスワードを適切に管理する
情報漏洩を防ぐには、IDとパスワードを適切に管理することも重要です。管理に不備があると、他人に不正利用される可能性があります。
具体的な対策としては、同じパスワードの使い回しをしない、パスワードは人に教えない、推測されにくい強力なパスワードを設定する、多要素もしくは多段階認証を採用するといった方法をとるとよいでしょう。
個人情報を含むドキュメントを適切に管理する
個人情報を含むドキュメントを適切に管理することも必要です。個人情報が含まれるファイルの所在が把握できていないと、万全なセキュリティ対策を行えません。
どこにどのような情報が保存されているか、常に把握できるようにすることが必要です。重要な情報を含むドキュメントをひとつにまとめ、厳重なセキュリティ対策を施すようにしましょう。
情報セキュリティ対策の課題
情報セキュリティ対策をしている会社でも、いくつかの課題は存在します。また、対策を施したくても、専門的な知識を持つ人材がいないという会社も少なくありません。
さらに、どれだけ完璧な情報セキュリティ対策を構築しても、情報を扱う社員の意識が低ければ適切な運用は難しいと言えます。ここでは、情報セキュリティ対策の課題について、紹介します。
専門的な知識を持つ人材の不足
情報セキュリティ対策を行いたくても、社員に専門的知識を持つ人材がいないという会社も多いでしょう。企業のIT利用が拡大するとともにサイバー攻撃は複雑かつ巧妙化し、情報セキュリティ対策のスキルを持つ人材の需要は高まっています。
情報セキュリティの知識を持つ人材を新たに雇うのが難しければ、社内で育成することも検討する必要があるでしょう。
情報セキュリティ教育が不十分
情報セキュリティ対策を実施するには、従業員への情報セキュリティ教育が不可欠です。情報漏洩の多くは人的なミスが原因とされており、誤操作や紛失などによる情報漏洩は、情報セキュリティに対する意識の低さに起因します。
漏えいが従業員による社外へのデータ持ち出しや、SNSによる公開だった事例もあり、情報セキュリティ教育の必要性が高まっています。
情報セキュリティ対策の仕組みづくり
情報セキュリティ対策の仕組みづくりには、対策の方針と規則を定めるとともに、情報セキュリティ教育の徹底が求められます。そのためには、情報セキュリティポリシーの策定が不可欠です。
また、具体的に基準となるものとして認証制度を取得するという方法もあります。
ここでは、情報セキュリティ対策の仕組みづくりについて見ていきましょう。
情報セキュリティポリシーを策定する
情報セキュリティポリシーとは、情報セキュリティを確保するために定める全体的な指針です。自社の従業員に情報セキュリティ教育が足りないと感じる場合は、情報セキュリティポリシーの策定から始めましょう。
基本方針と対策基準、その実施手順を定めたら、全従業員に対し周知と遵守を徹底し、情報セキュリティに対する意識を浸透させます。
認証を取得する
情報セキュリティ対策の仕組みづくりに明確な基準を設けたい場合、認証制度を取得するのもひとつの方法です。取得により、セキュリティ対策をしていることを外部にアピールすることもできます。
認証制度には主に、ISMS(情報セキュリティマネジメントシステム)とプライバシーマークの2種類があります。それぞれ紹介しましょう。
ISMS認証
ISMSとは「Information Security Management System」の略で、情報セキュリティの目標を達成するための仕組みです。
日本ではISMSの標準として国際規格のISO27001が用いられており、さまざまな要求事項を実現して認証機関に認められることで、ISMS認証を取得できます。
プライバシーマーク
プライバシーマークとは、財団法人「日本情報処理開発協会」が認証するもので、個人情報の管理を目的にした制度です。個人情報を適切に取り扱っているかの審査基準をクリアした会社には、その旨を示すプライバシーマークを付与します。
認証された会社は事業活動にプライバシーマークの使用を認められ、個人情報の取り扱いが適切なことを社外にアピールできる制度です。
まとめ
企業の持つ情報はさまざまなリスクにさらされており、保護するためには情報セキュリティ対策が欠かせません。被害を防ぐには、自社の現状を把握し、対策の方針と規則を定めることが重要です。
また、情報セキュリティ対策では従業員への情報セキュリティ教育も必要不可欠です。そのためには、従業員のセキュリティ意識向上につながるツールの導入も効果的です。
P-Pointerは、社内のパソコンやファイルサーバの中から、ファイルの内容や属性情報をもとに保管ルールに違反している個人情報ファイルを検出する「個人情報ファイル検出・管理ソリューション」です。
ファイルの所在をチェックし、自動で移動や削除が可能なため、個人情報ファイルの把握と安全管理に課題をお持ちの企業様に最適なツールです。どこにどのような情報が保存されているかを事前に把握しておくことで、効果的な情報漏洩対策が図れます。
従業員自身が情報管理のPDCAサイクルを回すため、従業員の情報セキュリティ教育にもご活用いただけます。
無料でP-Pointerの資料をダウンロードできますので、ぜひご確認ください。