中小企業だからこそ狙われる!?最低限やっておくべき情報セキュリティ対策をICT SOLUTION!
Webサイトの改ざんや標的型攻撃メールなど、巧妙な手口で企業を狙うサイバー攻撃は近年多発している。こうしたサイバー攻撃の恐ろしい点は何といっても、企業の保有している個人情報や機密情報の漏洩だ。狙われた企業の管理体制の脆弱性や情報セキュリティ対策が大きなニュースとして取り上げられることが増えてきたが、大企業や有名企業のニュースに目が行き、実は劇的に増えている中小企業への標的型攻撃被害を見落としていないだろうか。そんな“対岸の火事”よろしく、のんびり構えている情シスがここにもひとり─────
(カップラーメンをすすりながら)
ふーん…あの大手企業が情報漏えいかぁ…
原因は企業や特定の個人にあたかも関係ありそうなメールを送り、開封するとマルウェアに感染する「標的型攻撃メール」ねぇ… 怪しそうに見えるけど気づかないもんなのかなぁ
ま、多田野ぶちょーなら(もぐもぐ)
開けちゃいそうだけどっ…(もぐもぐ)
うちにはかんけーないね!(もぐもぐ)
お疲れさま!にのまえくん!
ぐっ、ぐふっ…(口に含んだ麺を何とか飲み込む)
たっ、多田野部長…な、なんでしょうか~?ハハハ
(さっきの聞かれてないよな…?)
私にこんなメールが来たんだが…
私よりキミが読むべきメールだと思ってね
キミに転送しておいたよ
んんん?何ですかこのメール?
先月ご依頼いただいた中小企業のセキュリティ現況調査について…?
こんなの頼んだかなぁ?
なに!?にのまえくん、何のメールか覚えてないのか!?
しょうがないやつだなぁ…
ここに添付ファイルがあるから見てみればわかるだろう
じゃあ、よろしく頼むよ!
──── 数時間前 ────
(とある雑誌を広げながら)
なになに?
週刊ハッカーくんによると、いまトレンドなのは標的型攻撃メール…
ククククッ…!
これは面白そうだナ!試しにいくつか送ってみるか!
セキュリティのあまそうな小さな会社と…
いつも間抜けなアイツの会社にも送ってやろう!
ククククッ!
伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。
よし、これで私のラボのサーバーをめいっぱい使って
色んなところに攻撃メールを送ってやろう!
内容はセキュリティ調査結果の送付!
今の時期なら健康診断結果の送付メールなんかも良いナ…
ククククッ騙されてくれよ
よろしく頼むよって、部長も適当だなぁ…
本当にこんなの頼んだ覚えないんだけど
でも勉強になりそうだし、えーい!ポチッと…
押すな!そこのキサマ!
!?
あ、あなたはJoshisu Manさん!
お昼どきに来るなんてめずらしいですね
そしてキサマ呼ばわりって…
この近くの激辛ラーメン店に並んでいたんだが、
危険を察知してかけつけたんだ…!おかげで今日は食いっぱぐれそうだ!
というわけでキサ…いやキミ、そのメールがどこの誰から送られてきて、何が目的で、中身が何のファイルなのかわかっているのか?
こ、これですか?
さっき部長から転送されてきたセキュリティ調査結果のメールです
よくは知りませんけれど……ハッ!これってまさか…!?
そうだ、
標的型攻撃メールだ
げげーーっ!ぶ、ぶちょー!
今すぐさっきのメール消してくださーーーい!
──── 数分後 ────
な、なんとか猛ダッシュして部長の机に滑りこみ…
部長が添付ファイルを開く寸前で止めて削除できた…っ!
(ゼェ…ハァ…)つ、疲れたぁ…!
おい!にのまえくん!これは一体どういうことだ!?
標的型攻撃メールだか何だかわからないが、
いきなり危険だからメールを消せだなんて…!
まさか、今テレビで流れている大手企業と同じ状況なのか!?
それはまずい!
すぐに社内に最適なセキュリティ体制を考えてくれ!
頼んだぞ!
げげぇっ!これまた急なジャストアイデアやめてくれよ~!
でも…もし、さっきのメール添付を開いていたらどうなっていたんだろう…?
間一髪、何ごともなくて幸いだったな!
またどこからともなく現れてくれましたね…
急に社内のセキュリティ体制を整えろって言われちゃいましたよ、まったく
そもそも、うちにそんな大切な情報ってあったか…?
そんなことを言っているようでは甘いぞ!にのまえ!
こんな情報がキミの会社にもあるんじゃないか?
調査
犯罪者に標的にされる程の重要な情報なんてない…と思っている企業こそCheck!
こんな情報を持っていないだろうか?
- 従業員データ(例:氏名・電話番号・住所・メールなどの連絡先、マイナンバー、給与明細、健康診断結果などの機微な個人情報)
- 顧客データ(例:氏名・電話番号・住所・メールなどの連絡先や取引額)
- 取引先データ(例:取引額や卸額などの取引内容、取引先から預かった資料)
- 機密データ(例:自社サービスや新製品の開発資料、設計図、調査資料、論文)
げげっ…!確かに守らなきゃいけない情報って意外にいっぱいありますね…!
パソコンでのデータ管理がほとんどだし、流出したらすごいことになりそう…
そうだ。企業である以上、真剣に考えなければならない。それが情報セキュリティだ。
情報セキュリティとは
私たちが生きていく上で必須とされる生活インフラに「電気・ガス・水道」がありますよね。現代社会において、インターネットは3大生活インフラに次ぐ必須アイテムです。
インターネットによって、離れた地域にいる人と顔を見て話をする事が出来たり、自宅に居ながら買い物や仕事が出来るようになったり、自らが情報発信者となれる等、それまでは想像もつかなかった事が当たり前のように出来る世の中になっています。
しかし、膨大な重要データ(情報)が行き交うインターネットの世界は悪意あるユーザから見れば宝箱です。私たちは無頓着にインターネットの利便性だけを見ていてはいけませんし、企業は自社の信頼性や事業継続性を維持するべく、あらゆる要因から自社が持っている重要情報を堅牢に保護しなければなりません。
また、自社の信頼性や事業継続性を脅かすあらゆる要因とは、悪意あるユーザからのサイバー攻撃だけではなく、火災や地震などの自然災害、また従業員の業務上過失に至るまでの全てを指します。これが情報セキュリティです。
情報セキュリティにおける3大脅威とは?
情報セキュリティにおける脅威は3つに大きく分類されています。それは、技術的脅威(サイバー攻撃)と物理的脅威(自然災害や故障)、そして人的脅威(会社関係者による業務上過失)です。以下にそれぞれについて詳しく説明したいと思います。
技術的脅威
悪意のあるユーザによってITの知識・技術を使いネットワーク領域で行われた攻撃事由のものを技術的脅威と称します。
具体的に言うと、マルウェア、フィッシング詐欺、標的型メール、クロスサイトスクリプティング、バッファオーバーフロー攻撃、Dos攻撃、ポートスキャン、ゼロデイ攻撃、総当たり攻撃などのサイバー攻撃のことです。
情報セキュリティについて考えると、最初に想起されるのはサイバーセキュリティ(サイバー攻撃への対策)だと思いますので容易に想像がつきますね。
これらへの対策は、適切なパッチ管理やアクセス先やアクセス権限の制御、EPP等の外部サービスの導入、従業員へのセキュリティ教育が有効となります。
物理的脅威
物理的脅威は、文字通り、サーバやパソコン、その他ネットワーク機器など物理的なものに対する脅威を指します。原因になりうるのは地震、雷、火災、水害などの自然災害や、経年劣化による故障も含まれます。
これらを未然に防ぐというのは難しいかもしれませんが、予め自然災害が少ない土地にオフィスを構えたり、データセンター等の頑丈な建物にサーバを置くことが対策になります。また万が一の事があった場合も、予めバックアップをとったり冗長化をしておくことで事業継続性は保たれます。
人的脅威
直接人間が介在するものを人的脅威といいます。
その中には、メール誤送信等の操作ミスや、従業員や出入りの業者が事故的にハードウェアを紛失、破損させてしまったというような事故的な形で発生する偶発的脅威と、ソーシャルエンジニアリングや盗難、内部不正や外部ユーザからの不正アクセスやなりすましという意図的脅威に大別されます。
不正アクセスやなりすましが技術的脅威から派生したものでもあるように、二つの脅威にまたがるものもあります。
この3大脅威は、いずれかひとつに分類されるというものではなく、全ての脅威がいずれかには当てはまるという意味合いで使われています。人的脅威への対策は、DLPや誤送信防止等の外部サービスの導入、従業員へのセキュリティ教育や、物理的な防犯対策も予防線となるでしょう。
※ソーシャルエンジニアリングとは...ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法(電車で社用PCを開いている人の隣りに座って盗み見する等)
※DLPとは...機密情報や重要データの紛失、外部への漏えいを防ぐシステムやツール
くぅ...真剣に考えると情報セキュリティを脅かす脅威はこんなにあるのか。部長のうっかりミスを気にしてるだけじゃ全然足りないですね。
そうだ。サイバー攻撃なんて他人事…と侮っていると非常に危険だぞ!
こんなリスクがあることを想定しておこう。
想定リスク
- メディアや顧客への通知など危機管理広報の対応
- 情報漏えいに遭った被害者への損害賠償対応
- 信用の失墜からの取引停止や解約、顧客の流出
- ネット遮断や原因調査による業務停止、業務効率の低下、従業員の士気低下
IPA発表の脅威2022 TOP10
IPA(独立行政法人情報処理推進機)は2006年以降毎年情報セキュリティにおける10大脅威をランキング形式で公表しています。ご覧の通り、人的×技術的脅威が上位であることが分かります。ひとつのセキュリティインシデントが企業の存続を揺るがす程の損害に繋がることも珍しくありません。
※セキュリティインシデントとは...企業や組織における情報資産に対しての事件や事故のこと
順位 | 組織 | 昨年順位 |
|---|---|---|
1位 | ランサムウェアによる被害 | 1位 |
2位 | 標準型攻撃による機密情報の窃取 | 2位 |
3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
4位 | テレワーク等ニューノーマルな働き方を狙った攻撃 | 3位 |
5位 | 内部不正による情報漏えい | 6位 |
6位 | 脆弱性対策情報公開に伴う悪用増加 | 10位 |
7位 | 修正プログラムの公開前を寝ある攻撃(ゼロデイ攻撃) | NEW |
8位 | ビジネスメール詐欺による金銭被害 | 5位 |
9位 | 予期せねIT基盤の障害に伴う業務停止 | 7位 |
10位 | 不注意による情報漏えい等の被害 | 9位 |
スクロールできます
引用:IPA(独立行政法人情報処理推進機) 情報セキュリティにおける10大脅威2022より
実際に起きた被害
日本ネットワークセキュリティ協会の情報セキュリティインシデントに関する調査報告書2019によると2018年の情報漏えい人数は約561万人、インシデント件数は443件、想定被害賠償額総額は2,684億円(インシデント1件あたりの平均被害総額は6億円)にもなると言われています。
日時 | 事件の概要 | 被害件数 |
|---|---|---|
2022年2月8日 | 株式会社エイチ・アイ・エス | 1,846名の個人情報流出 |
2022年1月29日 | 株式会社日能研 | 最大28万106件のメールアドレスの流出 |
2022年1月25日 | ビバリーグレンラボラトリーズ株式会社 | 4万6,702件のクレジットカード情報流出 |
うわぁ…うちくらいの規模の会社なら倒産の危機になるかもしれない…!
情報セキュリティの必要性
IPAの発表にもあった通り、人的×技術的脅威への警戒が必要不可欠となっています。近年のクラウドサービスの浸透に比例するようにサイバー攻撃もこれまで以上に活発化しているのです。
闇市場ではサイバー攻撃ですらクラウドサービス化(RaaSなど)していますので、サイバー攻撃をしかけるスキルやノウハウがなくても攻撃者になることができます。
また、直接的な攻撃は有名企業や大企業からセキュリティ意識の甘い中小企業に標的を変え、中小企業を踏み台に大企業に派生させるサプライチェーン攻撃という流行も出ています。
IT化により経営効率が向上する一方で、セキュリティの弱点を狙った攻撃が増えているため、企業のIT責任者はより一層強固なセキュリティ対策を打つ必要があるでしょう。
ヤバイ!すぐにセキュリティ体制を整えないと!
でも、どうしたらいいんだ?何から始めたらいいんだ?誰かぁぁ!助けてぇぇぇ!
落ち着け、にのまえ!
どんな対策をするべきかは情報セキュリティの基本概念から理解する必要がある。逆に、全てはこの3大要素に繋がっていると理解すれば何をすべきか見えてくるぞ!
情報セキュリティの三大要素
ISMS規格には根幹に情報セキュリティの3大要素である「機密性」「完全性」「可用性」があります。この3大要素を維持していくことが情報セキュリティ対策の基盤になります。
機密性(Confidentiality)
機密性とは情報が漏洩しないことです。機密性を維持するには、権利を持った人(もしくは組織、設備、ソフト、物理媒体)だけが情報にアクセスしたり利用できる状態にしておく必要があります。アクセス権の管理やパスワード利用をすることで機密性を保つことにより、情報漏洩を防ぐことができます。
完全性(Integrity)
完全性とは情報を保存した時点のまま維持されることです。完全性を確保するには、情報が破損したり改ざんされたりせず、完全である状態にしておく必要があります。完全性を維持することで意図されない情報の変更を防ぐことができます。
可用性(Availability)
可用性とは情報を利用したい時に正しく利用できることです。可用性を維持するには、いかなる状況でもクライアントが情報を必要とする時に取り出したり使ったりできる状態にしておく必要があります。自然災害時の対策やバックアップが、可用性を維持するために必要です。
なるほど。機密性と完全性と可用性...全部の頭文字を取ってセキュリティのCIAか。
うむ。このCIAが確保できている状態を保たなければならない。自社にとってどんな事が起きたらCIA維持が揺らぐのか予め推測しておいて、重要度順に対策を検討しておくといいぞ。
リスク対応の考え方「リスクアセスメント」について
厚生労働省によると、リスクアセスメントとは職場にある様々な危険の芽(リスク)を見つけ出し、それにより起こることが予測される労働災害の重大さからリスクの大きさを見積もり、大きいものから順に対策を講じていく手法のことと定義しています。つまり、いざ起こったら被害が大きいであろうものを予め洗い出し、起こってからの事後対応ではなく、起こる前から対策を講じようという事ですね。
このプロセスを踏むことで、リスクが回避できたり、また不可避であったとしても被害を低減、迅速な復旧を行うことができます。
情報セキュリティマネジメントシステムとは?
前述した脅威に対して、適切にリスクアセスメントを実施して企業における総合的な情報セキュリティを確保するために必要なのが情報セキュリティマネジメントシステム(ISMS: Information Security Management System)です。
ISMSは、組織における情報資産のセキュリティを管理するための枠組みを指し、情報セキュリティマネジメントとは、策定したISMSを実施することを指します。
ISMSの構築・運用は第三者機関により評価される事でそれが適正かどうか判断してもらう事が出来ます。
日本では、一般財団法人日本情報経済社会推進協会(JIPDEC)が、企業の情報セキュリティマネジメントシステムを審査し、国際標準(ISO/IEC27001)と同等の「ISMS認証基準」に準拠していれば「ISMS認証」が与えられます。
ISMS認証(ISO/IEC27001)は、個人情報保護法の要件や、国内で広く普及しているプライバシーマークの対象範囲もほぼ網羅しているので、国際標準への対応、説明責任能力や組織力のアピールなどの対外的なメリットが見込めるほか、セキュリティリスクの低減や従業員の目的意識の向上など、組織力の強化にも役立ちます。
そういえば部長が昔プライバシーマークとかISMS認証を取りたいとかなんとか言ってたな。とはいえ何から着手していいかも分からないし、うちにはハードル高すぎるって諦めてたけど。
急に認証を取りに行くのは難しいかもしれないが目指すのは良いことだな。
はじめの会社のように情報セキュリティ対策をしたいが、何から始めて良いかわからない企業にはまず押さえてほしい5つのポイントがある!
中小企業が最低限行いたい情報セキュリティ対策
情報セキュリティについて主体的に向き合おうと思っても、果たして何から着手すべきか...と悩める経営者またはIT責任者の方へ、IPA(独立行政法人情報処理推進機)は情報セキュリティ5か条を提言しています。もちろん、個人のセキュリティ対策にも当てはまりますので是非参考にしてください。
1.ソフトウェアやOSは常に最新の状態にしよう!
まずはこれだ!業務に使っているパソコン、買ったときのまま何もしていない…なんてことはないだろうな…?必ず更新プログラムやアップデート通知があるはずだ。むやみに消したり、最新の状態に更新しないまま使い続けるのは危険だ
うちの会社ではWindowsを使っているから、修正や更新プログラムはWindows Updateで各自プログラムを自分のパソコンにかけてもらうようにしてます!
パソコンだけでなく、スマートフォンも気をつけてくれ。MacやiPhoneならソフトウェア・アップデート、AndroidはOSのバージョンアップをチェックするように。
その他にもPDFを閲覧・編集するAdobe ReaderやJavaなどのソフトウェア、業務で使っているツールもアップデート通知が来るものは必ずチェックして更新しよう
2.パスワードを強化しよう!
誕生日や名前など推測されやすいパスワードは突破されやすいため、避けたほうが無難だ。また、最近は複数のWebサービスで同じパスワードを使うこと、つまりパスワードの使いまわしも問題になっているぞ。
どこかのサービスからID・パスワードが流出したことにより、芋づる式に他のサービスに不正にログインされるケースが増えているんだ
僕は好きなアイドルが何人かいるので、彼女たちのあだ名やスリーサイズや名前の画数を組み合わせて各サイトのパスワードにしてるので大丈夫です!
そ、そうか…パスワードは英数字だけでなく、記号を含めて10文字以上にしておくといい。長く複雑なものを設定することがポイントだ。
とはいえ、個人に任せるとつい覚えやすいパスワードを設定しがちだ。社内では、パスワードの設定方法を情報セキュリティ規則としてルール化しておくといいだろう。
3.ウイルス対策ソフトを導入しよう!
これは一番大切だと思って、まっさきに導入しました!
ファイルを勝手に暗号化されて変な警告が出るウイルスとか流行りましたもんね!
他にも社員が勝手に海外サイトで資料に使うフリー素材をダウンロードしたら感染しちゃってたり…
ウイルス対策ソフトは導入したら終わりではなく、ウイルスのパターンファイルを最新に保つことも忘れないようにな!パターンファイルとは、新しいウイルスやさまざまなウイルスの攻撃パターンなどが入ったファイルだ。これがあることで世にある80%までの攻撃を検知できるが、最新じゃないと効果が半減だからな。
パソコンのOSやソフトウェアアップデートと同じく、ウイルス対策ソフトも最新の状態に保つ必要があるんですね!
4.共有設定を見直そう!
インターネット上にデータを保管できるクラウドサービスや社内で共有しているハードディスク(NAS)を業務で使っている企業も多いだろう。
こうしたデータ保管先へのログインやファイル閲覧の権限を正しく設定しないと、
誰でも機密情報が閲覧できる状態になっていたり、関係ない人に情報を覗かれる可能性がある。
そういえば、退職した社員が勝手にクラウドのファイル保管庫を覗いていて問題になったことがあったな…
従業員の異動や退職があったら、必ず共有範囲の設定を見直して権限の変更やアカウントの削除を行なうことが大切だ。
また、ネットワークに接続されているコピーなどの複合機やカメラも要注意だ!
便利になったぶん、気を付けないといけないですね!
台数が増えるほど抜け漏れが出そうだから管理簿をつくっておこう…
5.脅威や攻撃の手口を知ろう!
標的型攻撃メールもそうだが、近年はサイバー攻撃とわからないような巧妙な手口が増えている。例えば、いつも使っている通販サイトからセールのお知らせが来て、アクセスしてみたら実は本物そっくりの偽サイトでID・パスワードなど個人情報を盗まれたというケースなどだ。
多田野部長とかブランドもの大好きだから、飛びつきそう…
こういうのはどうすればいいんでしょう?
僕だけが気をつけていても仕方ないような気が…
もちろん、会社の中でキミひとりだけが気を付ければいいという問題ではないが、まずは担当となった以上は情報収集をすることが大切だ。
セキュリティ専門機関のサイトやメルマガを読んだり、ITニュースをチェックしてみよう。あとは、利用している店舗やサービス機関、取引先からセキュリティに関するお知らせが届くことがある。こうした通知も見逃さず、きちんと中身を確認することだ。
この5つのポイントなら、確かにうちの会社でもできそうです!
でも、ひとつひとつ別のツールを使ったり、Excelとかで管理簿をつくる…となると、ちょっと面倒だなぁ。ウイルス対策ソフトも予算とってなかったから、慌ててフリーのものを入れたっきりだし…
おい!にのまえくん!
さっきのメール、総務部が開けたって言ってるぞ!何か変な文字が出てるって!
すぐにどうにかしてくれ!
!?い、いきなり、何なんですか!?
…まさか部長、総務部にも転送してたんですか!?
げげーーっ!絶対マルウェアに感染したんだ…!
もうやだ…僕一人で情報セキュリティを運用するなんて、無理ゲーだろ~..涙
情報セキュリティ対策の課題・問題点について
情報を扱う全ての企業に情報セキュリティ対策が必要なのは言うまでもありません。更に近年の働き方の変化によって企業のネットワーク構成は複雑化し、サイバー攻撃は巧妙化しています。最近はネットワークエンジニアとしての情報システム担当とは別に、セキュリティに特化した専門性の高い組織(CSIRT)を社内に設置する企業も増えています。
情報セキュリティ対策は片手間で行えるものではなく、相応のスキルやノウハウが必要になるにも関わらず、現在国内では情報セキュリティ人材が不足しているという喫緊の課題があります。情報セキュリティ人材の採用や育成が難しく適切な対策を講じる事が出来ない企業は外部のサービスを導入することによって足りない穴を埋めていくべきでしょう。
※CSIRTとは...Computer Security Incident Response Teamの略。コンピューターセキュリティに関する事故対応チームのこと
仕方ない、ここは私に任せろ!
光ファイバーテイル!ネットワークに入るぞ!
Joshisu Manのベルト部分についているカード型のセキュリティツール。カードについているボタンを押して、共通鍵や秘密鍵の生成はもちろん、カードそのものをかざすことでデータ通信やセキュリティの制御と操作ができる。また、カードを取り外してルーターウォール、光ファイバーテイルに差し込むことで機能をパワーアップ&拡張できる
光ファイバーテイルを振りかざし、Joshisu Manがネットワーク空間に入っていくと見覚えのあるシルエットが浮かび上がってきた。
ククククッ…!いいぞ!誰かがマルウェアに感染してくれたようだナ!
いっきにこのまま広まれェェェェェ!
またおまえの仕業か!Dr.プロトコル!
カードを光ファイバーテイルにセット!
マルウェアに感染したクライアントをネットワークから隔離!
マルウェアファイル無効化!
ククククッ…!
今回はここまでだ!
攻撃の手口はまだまだある…!
この会社は穴だらけだ!楽しみにしていろ…!
(ブォン)
よかった…!総務部のパソコンの不審な動作、止まったみたいです!
安心できるのは私がいる時だけだろう。
これまでのような入口対策だけでは、これからのセキュリティ対策では通用しないぞ。
巧妙化したサイバー攻撃から自社を護る為には、自社を取り巻く全ての通信を信頼せず、入口対策・内部対策・出口対策の多層階防御を講じることが大切だ!
そのほかセキュリティ対策で考えておきたいこと
これまで、セキュリティ対策の基本は社内ネットワークは安全、社外ネットワーク(インターネット)は危険という概念の下、重要なのは「外からの侵入」を防ぐことだとされてきました。しかし、働き方の変化やサイバー攻撃の巧妙化によって、この対策法だけでは安全性が担保できなくなっています。これらに対応する為、注目を集めているのが「多層防御」や「ゼロトラストセキュリティ」です。
ゼロトラストセキュリティとは、クラウドネイティブな働き方をする上で必須となる「社内外の全てにおいて安全性を信頼せずに、全ての通信を検証する」という概念が基盤になっています。これをベースに多層防御(入口対策・出口対策・内部対策)を検討することで、セキュリティをより強固なものにできます。
入口対策は「内部ネットワークへの侵入を防止する」ことが主な目的です。
具体的には、ファイアウォールやスパムフィルタなどを設定し、危険な通信のブロックやウイルスの検知・駆除などを行います。
内部対策は、不正侵入してしまったマルウェアなどから「機密情報を守る」対策です。
入口対策を行っていても、日々巧妙化するマルウェア、新種のウイルスを防ぎ切ることは困難です。
不正侵入や感染をいち早く検出し、隔離を行なうなど、そこからの感染拡大を防ぐ事を目的としたEDRなどの導入もその1つです。
また、不正な通信が行われた際に、その行動を追跡できるようにするログ管理等も必要です。さらに、内部対策として浸透しつつあるのがDLP(Data Loss Prevention)です。重要情報が格納されるフォルダやユーザのアクセス権限視点で制御するのではなく、ファイルそのものの中身を見て情報漏洩対策を講じる事が出来ます。
出口対策は、入り込んだマルウェアによる「外部通信を防ぐ」対策のことをいいます。
侵入したマルウェアが情報を持ち出したり、C&Cサーバと通信をするなど、不審な通信を行った場合に検知・遮断することが主な目的です。近年はサプライチェーン攻撃のように、自社が踏み台となり取引先に被害を及ぼしてしまうケースも多発していますので、「外に出さない」というのも大切な対策のひとつです。
Joshismanさん、ありがとうございました。
また次Dr.protocolに不審なメールを送られても危険に晒されないようにする為にも
改めて「情報セキュリティについて」考えなおしてみます。
無事、解決したようだな…
強い情シスが企業を伸ばす!また会おう!さらばだ!
情報セキュリティ対策はどこから手を付けていいのか、また、どこまでやればいいのか判断が難しいものです。特に中小企業では担当者を任命したものの、他業務と兼任していて手が回らなかったり、セキュリティ対策費用の確保が難しい事もあるかもしれません。紹介した情報セキュリティ対策5つのポイントは、個人も徹底していきましょう。また近年ではテレワークへの対応を優先してそれに伴ったセキュリティ対策の見直しが出来ていない企業もままあります。急なネットワーク変更でマンパワーが追いつかない、ISMSやPマーク取得などとにかく情報セキュリティ対策の構築が急務といった場合は、USENが提供するセキュリティソリューションの導入も選択肢の1つに入れてみてください。
- FirewallやIDS/IPSは勿論数多くの機能を搭載したUTM
- 情報漏えい、WEB改ざん、踏み台、サービス妨害等の公開用サーバへの攻撃にWAF
- エンドポイントセキュリティにはEPP/EDR/MMS
- サイバー保険付帯出口対策サービスDDH-BOX
- シャドーIT含むインターネット利用時のリスクにSWG
- セキュリティ専門の人材不足にSOC
- クラウドサービス利用の細かい制御にはCASB
本記事の著者
情シスマン
本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。
