Webサイトの改ざんや標的型攻撃メールなど、巧妙な手口で企業を狙うサイバー攻撃は近年多発している。こうしたサイバー攻撃の恐ろしい点は何といっても、企業の保有している個人情報や機密情報の漏洩だ。狙われた企業の管理体制の脆弱性や情報セキュリティ対策が大きなニュースとして取り上げられることが増えてきたが、大企業や有名企業のニュースに目が行き、実は劇的に増えている中小企業への標的型攻撃被害を見落としていないだろうか。そんな対岸の火事よろしく、のんびり構えている情シスがここにもひとり─────

にのまえ はじめ

(カップラーメンをすすりながら)
ふーん…あの大手企業が情報漏えいかぁ…
原因は企業や特定の個人にあたかも関係ありそうなメールを送り、開封するとマルウェアに感染する「標的型攻撃メール」ねぇ… 怪しそうに見えるけど気づかないもんなのかなぁ
ま、多田野ぶちょーなら(もぐもぐ)
開けちゃいそうだけどっ…(もぐもぐ)
うちにはかんけーないね!(もぐもぐ)

多田野部長

お疲れさま!にのまえくん!

にのまえ はじめ

ぐっ、ぐふっ…(口に含んだ麺を何とか飲み込む)
たっ、多田野部長…な、なんでしょうか~?ハハハ
(さっきの聞かれてないよな…?)

多田野部長

私にこんなメールが来たんだが…
私よりキミが読むべきメールだと思ってね
キミに転送しておいたよ

にのまえ はじめ

んんん?何ですかこのメール?
先月ご依頼いただいた中小企業のセキュリティ現況調査について…?
こんなの頼んだかなぁ?

多田野部長

なに!?にのまえくん、何のメールか覚えてないのか!?
しょうがないやつだなぁ…
ここに添付ファイルがあるから見てみればわかるだろう
じゃあ、よろしく頼むよ!

──── 数時間前 ────

Dr. Protocol

(とある雑誌を広げながら)
なになに?
週刊ハッカーくんによると、いまトレンドなのは標的型攻撃メール…
ククククッ…!
これは面白そうだナ!試しにいくつか送ってみるか!
セキュリティのあまそうな小さな会社と…
いつも間抜けなアイツの会社にも送ってやろう!
ククククッ!

~Dr.Protocol Equipment①:マルチLANハンド

伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。

Dr. Protocol

よし、これで私のラボのサーバーをめいっぱい使って
色んなところに攻撃メールを送ってやろう!
内容はセキュリティ調査結果の送付!
今の時期なら健康診断結果の送付メールなんかも良いナ…
ククククッ騙されてくれよ

にのまえ はじめ

よろしく頼むよって、部長も適当だなぁ…
本当にこんなの頼んだ覚えないんだけど
でも勉強になりそうだし、えーい!ポチッと…

Joshisu Man

押すな!そこのキサマ!

にのまえ はじめ

!?
あ、あなたはJoshisu Manさん!
お昼どきに来るなんてめずらしいですね
そしてキサマ呼ばわりって…

Joshisu Man

この近くの激辛ラーメン店に並んでいたんだが、
危険を察知してかけつけたんだ…!おかげで今日は食いっぱぐれそうだ!
というわけでキサ…いやキミ、そのメールがどこの誰から送られてきて、何が目的で、中身が何のファイルなのかわかっているのか?

にのまえ はじめ

こ、これですか?
さっき部長から転送されてきたセキュリティ調査結果のメールです
よくは知りませんけれど……ハッ!これってまさか…!?

Joshisu Man

そうだ、
標的型攻撃メールだ

にのまえ はじめ

げげーーっ!ぶ、ぶちょー!
今すぐさっきのメール消してくださーーーい!

──── 数分後 ────

にのまえ はじめ

な、なんとか猛ダッシュして部長の机に滑りこみ…
部長が添付ファイルを開く寸前で止めて削除できた…っ!
(ゼェ…ハァ…)つ、疲れたぁ…!

多田野部長

おい!にのまえくん!これは一体どういうことだ!?
標的型攻撃メールだか何だかわからないが、
いきなり危険だからメールを消せだなんて…!
まさか、今テレビで流れている大手企業と同じ状況なのか!?
それはまずい!
すぐに社内に最適なセキュリティ体制を考えてくれ!
頼んだぞ!

にのまえ はじめ

げげぇっ!これまた急なジャストアイデアやめてくれよ~!
でも…もし、さっきのメール添付を開いていたらどうなっていたんだろう…?

Joshisu Man

間一髪、何ごともなくて幸いだったな!

にのまえ はじめ

またどこからともなく現れてくれましたね…
急に社内のセキュリティ体制を整えろって言われちゃいましたよ、まったく
そもそも、うちにそんな大切な情報ってあったか…?

Joshisu Man

そんなことを言っているようでは甘いぞ!にのまえ!
こんな情報がキミの会社にもあるんじゃないか?

【調査】~MISSION!~

犯罪者に標的にされる程の重要な情報なんてない…と思っている企業こそCheck!
こんな情報を持っていないだろうか?



・従業員データ(例:氏名・電話番号・住所・メールなどの連絡先、マイナンバー、給与明細、健康診断結果などの機微な個人情報)
・顧客データ(例:氏名・電話番号・住所・メールなどの連絡先や取引額)
・取引先データ(例:取引額や卸額などの取引内容、取引先から預かった資料)
・機密データ(例:自社サービスや新製品の開発資料、設計図、調査資料、論文)

にのまえ はじめ

げげっ…!確かに守らなきゃいけない情報って意外にいっぱいありますね…!
パソコンでのデータ管理がほとんどだし、流出したらすごいことになりそう…

Joshisu Man

そうだ。企業である以上、真剣に考えなければならない。それが情報セキュリティだ。

情報セキュリティとは

私たちが生きていく上で必須とされる生活インフラに「電気・ガス・水道」がありますよね。現代社会において、インターネットは3大生活インフラに次ぐ必須アイテムです。

インターネットによって、離れた地域にいる人と顔を見て話をする事が出来たり、自宅に居ながら買い物や仕事が出来るようになったり、自らが情報発信者となれる等、それまでは想像もつかなかった事が当たり前のように出来る世の中になっています。
しかし、膨大な重要データ(情報)が行き交うインターネットの世界は悪意あるユーザから見れば宝箱です。私たちは無頓着にインターネットの利便性だけを見ていてはいけませんし、企業は自社の信頼性や事業継続性を維持するべく、あらゆる要因から自社が持っている重要情報を堅牢に保護しなければなりません。
また、自社の信頼性や事業継続性を脅かすあらゆる要因とは、悪意あるユーザからのサイバー攻撃だけではなく、火災や地震などの自然災害、また従業員の業務上過失に至るまでの全てを指します。これが情報セキュリティです。

情報セキュリティにおける3大脅威とは?

情報セキュリティにおける脅威は3つに大きく分類されています。それは、技術的脅威(サイバー攻撃)物理的脅威(自然災害や故障)、そして人的脅威(会社関係者による業務上過失)です。以下にそれぞれについて詳しく説明したいと思います。

技術的脅威

悪意のあるユーザによってITの知識・技術を使いネットワーク領域で行われた攻撃事由のものを技術的脅威と称します。

具体的に言うと、マルウェア、フィッシング詐欺、標的型メール、クロスサイトスクリプティング、バッファオーバーフロー攻撃、Dos攻撃、ポートスキャン、ゼロデイ攻撃、総当たり攻撃などのサイバー攻撃のことです。

情報セキュリティについて考えると、最初に想起されるのはサイバーセキュリティ(サイバー攻撃への対策)だと思いますので容易に想像がつきますね。

これらへの対策は、適切なパッチ管理やアクセス先やアクセス権限の制御、EPP等の外部サービスの導入、従業員へのセキュリティ教育が有効となります。

物理的脅威

物理的脅威は、文字通り、サーバやパソコン、その他ネットワーク機器など物理的なものに対する脅威を指します。原因になりうるのは地震、雷、火災、水害などの自然災害や、経年劣化による故障も含まれます。
これらを未然に防ぐというのは難しいかもしれませんが、予め自然災害が少ない土地にオフィスを構えたり、データセンター等の頑丈な建物にサーバを置くことが対策になります。また万が一の事があった場合も、予めバックアップをとったり冗長化をしておくことで事業継続性は保たれます。

人的脅威

直接人間が介在するものを人的脅威といいます。
その中には、メール誤送信等の操作ミスや、従業員や出入りの業者が事故的にハードウェアを紛失、破損させてしまったというような事故的な形で発生する偶発的脅威と、ソーシャルエンジニアリングや盗難、内部不正や外部ユーザからの不正アクセスやなりすましという意図的脅威に大別されます。
不正アクセスやなりすましが技術的脅威から派生したものでもあるように、二つの脅威にまたがるものもあります。

この3大脅威は、いずれかひとつに分類されるというものではなく、全ての脅威がいずれかには当てはまるという意味合いで使われています。人的脅威への対策は、DLPや誤送信防止等の外部サービスの導入、従業員へのセキュリティ教育や、物理的な防犯対策も予防線となるでしょう。

※ソーシャルエンジニアリングとは...ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法(電車で社用PCを開いている人の隣りに座って盗み見する等)
※DLPとは...機密情報や重要データの紛失、外部への漏えいを防ぐシステムやツール

にのまえ はじめ

くぅ...真剣に考えると情報セキュリティを脅かす脅威はこんなにあるのか。部長のうっかりミスを気にしてるだけじゃ全然足りないですね。

Joshisu Man

そうだ。サイバー攻撃なんて他人事…と侮っていると非常に危険だぞ!
こんなリスクがあることを想定しておこう。

IPA発表の脅威2022 TOP10

IPA(独立行政法人情報処理推進機)は2006年以降毎年情報セキュリティにおける10大脅威をランキング形式で公表しています。ご覧の通り、人的×技術的脅威が上位であることが分かります。ひとつのセキュリティインシデントが企業の存続を揺るがす程の損害に繋がることも珍しくありません。

※セキュリティインシデントとは...企業や組織における情報資産に対しての事件や事故のこと

順位 組織 昨年順位
1位 ランサムウェアによる被害 1位
2位 標準型攻撃による機密情報の窃取 2位
3位 サプライチェーンの弱点を悪用した攻撃 4位
4位 テレワーク等ニューノーマルな働き方を狙った攻撃 3位
5位 内部不正による情報漏えい 6位
6位

脆弱性対策情報公開に伴う悪用増加

10位
7位 修正プログラムの公開前を寝ある攻撃(ゼロデイ攻撃) NEW
8位 ビジネスメール詐欺による金銭被害 5位
9位 予期せねIT基盤の障害に伴う業務停止 7位
10位 不注意による情報漏えい等の被害 9位

引用:IPA(独立行政法人情報処理推進機) 情報セキュリティにおける10大脅威2022より

実際に起きた被害

日本ネットワークセキュリティ協会の情報セキュリティインシデントに関する調査報告書2019によると2018年の情報漏えい人数は約561万人、インシデント件数は443件、想定被害賠償額総額は2,684億円(インシデント1件あたりの平均被害総額は6億円)にもなると言われています。

日時 事件の概要 被害件数
2022年28

株式会社エイチ・アイ・エス 
子会社が運用するサーバに対するサイバー攻撃により個人情報が流出

1,846名の個人情報流出
2022年129 株式会社日能研
Webサイトを格納しているサーバに対するサイバー攻撃により、メールアドレスが流出した可能性
最大28106件のメールアドレスの流出
2022年125

ビバリーグレンラボラトリーズ株式会社
同社運営のECサイトに対する不正アクセスにより、利用者のクレジットカード情報が流出した可能性

4万6,702件のクレジットカード情報流出

にのまえ はじめ

うわぁ…うちくらいの規模の会社なら倒産の危機になるかもしれない…!

情報セキュリティの必要性

IPAの発表にもあった通り、人的×技術的脅威への警戒が必要不可欠となっています。近年のクラウドサービスの浸透に比例するようにサイバー攻撃もこれまで以上に活発化しているのです。
闇市場ではサイバー攻撃ですらクラウドサービス化(RaaSなど)していますので、サイバー攻撃をしかけるスキルやノウハウがなくても攻撃者になることができます。
また、直接的な攻撃は有名企業や大企業からセキュリティ意識の甘い中小企業に標的を変え、中小企業を踏み台に大企業に派生させるサプライチェーン攻撃という流行も出ています。
IT化により経営効率が向上する一方で、セキュリティの弱点を狙った攻撃が増えているため、企業のIT責任者はより一層強固なセキュリティ対策を打つ必要があるでしょう。

にのまえ はじめ

ヤバイ!すぐにセキュリティ体制を整えないと!
でも、どうしたらいいんだ?何から始めたらいいんだ?誰かぁぁ!助けてぇぇぇ!

Joshisu Man

落ち着け、にのまえ!
どんな対策をするべきかは情報セキュリティの基本概念から理解する必要がある。逆に、全てはこの3大要素に繋がっていると理解すれば何をすべきか見えてくるぞ!

情報セキュリティの三大要素

ISMS規格には根幹に情報セキュリティの3大要素である「機密性」「完全性」「可用性」があります。この3大要素を維持していくことが情報セキュリティ対策の基盤になります。

機密性(Confidentiality)

機密性とは情報が漏洩しないことです。機密性を維持するには、権利を持った人(もしくは組織、設備、ソフト、物理媒体)だけが情報にアクセスしたり利用できる状態にしておく必要があります。アクセス権の管理やパスワード利用をすることで機密性を保つことにより、情報漏洩を防ぐことができます。

完全性(Integrity)

完全性とは情報を保存した時点のまま維持されることです。完全性を確保するには、情報が破損したり改ざんされたりせず、完全である状態にしておく必要があります。完全性を維持することで意図されない情報の変更を防ぐことができます。

可用性(Availability)

可用性とは情報を利用したい時に正しく利用できることです。可用性を維持するには、いかなる状況でもクライアントが情報を必要とする時に取り出したり使ったりできる状態にしておく必要があります。自然災害時の対策やバックアップが、可用性を維持するために必要です。

にのまえ はじめ

なるほど。機密性と完全性と可用性...全部の頭文字を取ってセキュリティのCIAか。

Joshisu Man

うむ。このCIAが確保できている状態を保たなければならない。自社にとってどんな事が起きたらCIA維持が揺らぐのか予め推測しておいて、重要度順に対策を検討しておくといいぞ。

リスク対応の考え方「リスクアセスメント」について

厚生労働省によると、リスクアセスメントとは職場にある様々な危険の芽(リスク)を見つけ出し、それにより起こることが予測される労働災害の重大さからリスクの大きさを見積もり、大きいものから順に対策を講じていく手法のことと定義しています。つまり、いざ起こったら被害が大きいであろうものを予め洗い出し、起こってからの事後対応ではなく、起こる前から対策を講じようという事ですね。

このプロセスを踏むことで、リスクが回避できたり、また不可避であったとしても被害を低減、迅速な復旧を行うことができます。

情報セキュリティマネジメントシステムとは?

前述した脅威に対して、適切にリスクアセスメントを実施して企業における総合的な情報セキュリティを確保するために必要なのが情報セキュリティマネジメントシステム(ISMS: Information Security Management Systemです。
ISMSは、組織における情報資産のセキュリティを管理するための枠組みを指し、情報セキュリティマネジメントとは、策定したISMSを実施することを指します。
ISMSの構築・運用は第三者機関により評価される事でそれが適正かどうか判断してもらう事が出来ます。
日本では、一般財団法人日本情報経済社会推進協会(JIPDEC)が、企業の情報セキュリティマネジメントシステムを審査し、国際標準(ISO/IEC27001)と同等の「ISMS認証基準」に準拠していれば「ISMS認証」が与えられます。
ISMS認証(ISO/IEC27001は、個人情報保護法の要件や、国内で広く普及しているプライバシーマークの対象範囲もほぼ網羅しているので、国際標準への対応、説明責任能力や組織力のアピールなどの対外的なメリットが見込めるほか、セキュリティリスクの低減や従業員の目的意識の向上など、組織力の強化にも役立ちます。

にのまえ はじめ

そういえば部長が昔プライバシーマークとかISMS認証を取りたいとかなんとか言ってたな。とはいえ何から着手していいかも分からないし、うちにはハードル高すぎるって諦めてたけど。

Joshisu Man

急に認証を取りに行くのは難しいかもしれないが目指すのは良いことだな。
はじめの会社のように情報セキュリティ対策をしたいが、何から始めて良いかわからない企業にはまず押さえてほしい5つのポイントがある!

中小企業が最低限行いたい情報セキュリティ対策

情報セキュリティについて主体的に向き合おうと思っても、果たして何から着手すべきか...と悩める経営者またはIT責任者の方へ、IPA(独立行政法人情報処理推進機)は情報セキュリティ5か条を提言しています。もちろん、個人のセキュリティ対策にも当てはまりますので是非参考にしてください。

1.ソフトウェアやOSは常に最新の状態にしよう!

Joshisu Man

まずはこれだ!業務に使っているパソコン、買ったときのまま何もしていない…なんてことはないだろうな…?必ず更新プログラムやアップデート通知があるはずだ。むやみに消したり、最新の状態に更新しないまま使い続けるのは危険だ

にのまえ はじめ

うちの会社ではWindowsを使っているから、修正や更新プログラムはWindows Updateで各自プログラムを自分のパソコンにかけてもらうようにしてます!

Joshisu Man

パソコンだけでなく、スマートフォンも気をつけてくれ。MacやiPhoneならソフトウェア・アップデート、AndroidはOSのバージョンアップをチェックするように。
その他にもPDFを閲覧・編集するAdobe ReaderやJavaなどのソフトウェア、業務で使っているツールもアップデート通知が来るものは必ずチェックして更新しよう

2.パスワードを強化しよう!

Joshisu Man

誕生日や名前など推測されやすいパスワードは突破されやすいため、避けたほうが無難だ。また、最近は複数のWebサービスで同じパスワードを使うこと、つまりパスワードの使いまわしも問題になっているぞ。
どこかのサービスからID・パスワードが流出したことにより、芋づる式に他のサービスに不正にログインされるケースが増えているんだ

にのまえ はじめ

僕は好きなアイドルが何人かいるので、彼女たちのあだ名やスリーサイズや名前の画数を組み合わせて各サイトのパスワードにしてるので大丈夫です!

にのまえ はじめ

そ、そうか…パスワードは英数字だけでなく、記号を含めて10文字以上にしておくといい。長く複雑なものを設定することがポイントだ。
とはいえ、個人に任せるとつい覚えやすいパスワードを設定しがちだ。社内では、パスワードの設定方法を情報セキュリティ規則としてルール化しておくといいだろう。

3.ウイルス対策ソフトを導入しよう!

にのまえ はじめ

これは一番大切だと思って、まっさきに導入しました!
ファイルを勝手に暗号化されて変な警告が出るウイルスとか流行りましたもんね!
他にも社員が勝手に海外サイトで資料に使うフリー素材をダウンロードしたら感染しちゃってたり…

Joshisu Man

ウイルス対策ソフトは導入したら終わりではなく、ウイルスのパターンファイルを最新に保つことも忘れないようにな!パターンファイルとは、新しいウイルスやさまざまなウイルスの攻撃パターンなどが入ったファイルだ。これがあることで世にある80%までの攻撃を検知できるが、最新じゃないと効果が半減だからな。

にのまえ はじめ

パソコンのOSやソフトウェアアップデートと同じく、ウイルス対策ソフトも最新の状態に保つ必要があるんですね!

4.共有設定を見直そう!

Joshisu Man

インターネット上にデータを保管できるクラウドサービスや社内で共有しているハードディスク(NAS)を業務で使っている企業も多いだろう。
こうしたデータ保管先へのログインやファイル閲覧の権限を正しく設定しないと、
誰でも機密情報が閲覧できる状態になっていたり、関係ない人に情報を覗かれる可能性がある。

にのまえ はじめ

そういえば、退職した社員が勝手にクラウドのファイル保管庫を覗いていて問題になったことがあったな…

Joshisu Man

従業員の異動や退職があったら、必ず共有範囲の設定を見直して権限の変更やアカウントの削除を行なうことが大切だ。
また、ネットワークに接続されているコピーなどの複合機やカメラも要注意だ!

にのまえ はじめ

便利になったぶん、気を付けないといけないですね!
台数が増えるほど抜け漏れが出そうだから管理簿をつくっておこう…

5.脅威や攻撃の手口を知ろう!

Joshisu Man

標的型攻撃メールもそうだが、近年はサイバー攻撃とわからないような巧妙な手口が増えている。例えば、いつも使っている通販サイトからセールのお知らせが来て、アクセスしてみたら実は本物そっくりの偽サイトでID・パスワードなど個人情報を盗まれたというケースなどだ。

にのまえ はじめ

多田野部長とかブランドもの大好きだから、飛びつきそう…
こういうのはどうすればいいんでしょう?
僕だけが気をつけていても仕方ないような気が…

Joshisu Man

もちろん、会社の中でキミひとりだけが気を付ければいいという問題ではないが、まずは担当となった以上は情報収集をすることが大切だ。
セキュリティ専門機関のサイトやメルマガを読んだり、ITニュースをチェックしてみよう。あとは、利用している店舗やサービス機関、取引先からセキュリティに関するお知らせが届くことがある。こうした通知も見逃さず、きちんと中身を確認することだ。

にのまえ はじめ

この5つのポイントなら、確かにうちの会社でもできそうです!
でも、ひとつひとつ別のツールを使ったり、Excelとかで管理簿をつくる…となると、ちょっと面倒だなぁ。ウイルス対策ソフトも予算とってなかったから、慌ててフリーのものを入れたっきりだし…

多田野部長

おい!にのまえくん!
さっきのメール、総務部が開けたって言ってるぞ!何か変な文字が出てるって!
すぐにどうにかしてくれ!

にのまえ はじめ

!?い、いきなり、何なんですか!?
…まさか部長、総務部にも転送してたんですか!?
げげーーっ!絶対マルウェアに感染したんだ…!
もうやだ…僕一人で情報セキュリティを運用するなんて、無理ゲーだろ~..涙

情報セキュリティ対策の課題・問題点について

情報を扱う全ての企業に情報セキュリティ対策が必要なのは言うまでもありません。更に近年の働き方の変化によって企業のネットワーク構成は複雑化し、サイバー攻撃は巧妙化しています。最近はネットワークエンジニアとしての情報システム担当とは別に、セキュリティに特化した専門性の高い組織(CSIRT)を社内に設置する企業も増えています。
情報セキュリティ対策は片手間で行えるものではなく、相応のスキルやノウハウが必要になるにも関わらず、現在国内では情報セキュリティ人材が不足しているという喫緊の課題があります。情報セキュリティ人材の採用や育成が難しく適切な対策を講じる事が出来ない企業は外部のサービスを導入することによって足りない穴を埋めていくべきでしょう。

※CSIRTとは...Computer Security Incident Response Teamの略。コンピューターセキュリティに関する事故対応チームのこと

Joshisu Man

仕方ない、ここは私に任せろ!
光ファイバーテイル!ネットワークに入るぞ!

~Joshisu Man Equipment③:マルチセキュリティツール~

Joshisu Manのベルト部分についているカード型のセキュリティツール。カードについているボタンを押して、共通鍵や秘密鍵の生成はもちろん、カードそのものをかざすことでデータ通信やセキュリティの制御と操作ができる。また、カードを取り外してルーターウォール、光ファイバーテイルに差し込むことで機能をパワーアップ&拡張できる

光ファイバーテイルを振りかざし、Joshisu Manがネットワーク空間に入っていくと見覚えのあるシルエットが浮かび上がってきた。

Dr. Protocol

ククククッ…!いいぞ!誰かがマルウェアに感染してくれたようだナ!
いっきにこのまま広まれェェェェェ!

Joshisu Man

またおまえの仕業か!Dr.プロトコル!
カードを光ファイバーテイルにセット!
マルウェアに感染したクライアントをネットワークから隔離!
マルウェアファイル無効化!

Dr. Protocol

ククククッ…!
今回はここまでだ!
攻撃の手口はまだまだある…!
この会社は穴だらけだ!楽しみにしていろ…!
(ブォン)


にのまえ はじめ

よかった…!総務部のパソコンの不審な動作、止まったみたいです!

Joshisu Man

安心できるのは私がいる時だけだろう。
これまでのような入口対策だけでは、これからのセキュリティ対策では通用しないぞ。
巧妙化したサイバー攻撃から自社を護る為には、自社を取り巻く全ての通信を信頼せず、入口対策・内部対策・出口対策の多層階防御を講じることが大切だ!

そのほかセキュリティ対策で考えておきたいこと

これまで、セキュリティ対策の基本は社内ネットワークは安全、社外ネットワーク(インターネット)は危険という概念の下、重要なのは「外からの侵入」を防ぐことだとされてきました。しかし、働き方の変化やサイバー攻撃の巧妙化によって、この対策法だけでは安全性が担保できなくなっています。これらに対応する為、注目を集めているのが「多層防御」や「ゼロトラストセキュリティ」です。

ゼロトラストセキュリティとは、クラウドネイティブな働き方をする上で必須となる「社内外の全てにおいて安全性を信頼せずに、全ての通信を検証する」という概念が基盤になっています。これをベースに多層防御(入口対策・出口対策・内部対策)を検討することで、セキュリティをより強固なものにできます。

入口対策は「内部ネットワークへの侵入を防止する」ことが主な目的です。
具体的には、ファイアウォールやスパムフィルタなどを設定し、危険な通信のブロックやウイルスの検知・駆除などを行います。
内部対策は、不正侵入してしまったマルウェアなどから「機密情報を守る」対策です。
入口対策を行っていても、日々巧妙化するマルウェア、新種のウイルスを防ぎ切ることは困難です。
不正侵入や感染をいち早く検出し、隔離を行なうなど、そこからの感染拡大を防ぐ事を目的としたEDRなどの導入もその1つです。
また、不正な通信が行われた際に、その行動を追跡できるようにするログ管理等も必要です。さらに、内部対策として浸透しつつあるのがDLPData Loss Prevention)です。重要情報が格納されるフォルダやユーザのアクセス権限視点で制御するのではなく、ファイルそのものの中身を見て情報漏洩対策を講じる事が出来ます。

出口対策は、入り込んだマルウェアによる「外部通信を防ぐ」対策のことをいいます。
侵入したマルウェアが情報を持ち出したり、C&Cサーバと通信をするなど、不審な通信を行った場合に検知・遮断することが主な目的です。近年はサプライチェーン攻撃のように、自社が踏み台となり取引先に被害を及ぼしてしまうケースも多発していますので、「外に出さない」というのも大切な対策のひとつです。

にのまえ はじめ

Joshismanさん、ありがとうございました。
また次Dr.protocolに不審なメールを送られても危険に晒されないようにする為にも
改めて「情報セキュリティについて」考えなおしてみます。

Joshisu Man

無事、解決したようだな…
強い情シスが企業を伸ばす!また会おう!さらばだ!

【解決】~ICT SOLUTION!~

情報セキュリティ対策はどこから手を付けていいのか、また、どこまでやればいいのか判断が難しいものです。特に中小企業では担当者を任命したものの、他業務と兼任していて手が回らなかったり、セキュリティ対策費用の確保が難しい事もあるかもしれません。紹介した情報セキュリティ対策5つのポイントは、個人も徹底していきましょう。また近年ではテレワークへの対応を優先してそれに伴ったセキュリティ対策の見直しが出来ていない企業もままあります。急なネットワーク変更でマンパワーが追いつかない、ISMSPマーク取得などとにかく情報セキュリティ対策の構築が急務といった場合は、USENが提供するセキュリティソリューションの導入も選択肢の1つに入れてみてください。

「USEN GATE 02 ―セキュリティサービス―」
・FirewallやIDS/IPSは勿論数多くの機能を搭載したUTM
・情報漏えい、WEB改ざん、踏み台、サービス妨害等の公開用サーバへの攻撃にWAF
・エンドポイントセキュリティにはEPPEDRMMS
・サイバー保険付帯出口対策サービスDDH-BOX
・シャドーIT含むインターネット利用時のリスクにSWG
・セキュリティ専門の人材不足にSOC
・クラウドサービス利用の細かい制御にはCASB


TO BE CONTINUED…

この記事に関連するお役立ち資料はこちら

情報システム・セキュリティ学びスタートアップガイド~経営層に響かせろ!セキュリティ対策の重要性~

企業へのサイバー攻撃は年々巧妙化し、企業におけるセキュリティ対策はますます重要になっています。ただし、担当者の方々がセキュリティリスクについて理解されていても、経営層に理解されず、必要な予算を確保できないケースも多いと聞きます。
本資料では、そんな経営層に向けて、大企業だけでなく中小企業こそセキュリティ対策が重要である理由を丁寧に紹介しています。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス