経営者が知っておきたい最初に行うべき情報セキュリティ対策

 2019.12.03  EDR実践ポータル

企業経営者にとって、情報セキュリティ対策は悩ましい問題の1つです。対策の必要性は重々理解しているものの、なかなか対策に踏み込めない。そこには、「自社にとって有効な情報セキュリティ対策が分からない」、「情報セキュリティ対策への適切な投資が分からない」などの理由があるでしょう。

そこで、本稿では情報セキュリティ対策に対する実施意識を高めていただくために、経営者が知っておきたい一般的な対策についてご紹介します。

security-measure

情報セキュリティ対策の「基本中の基本」

情報セキュリティ対策における基本として、「アンチマルウェアの導入」や「ファイアウォールの設置」をイメージする方が多いでしょう。そして、最近ではアンチマルウェアだけでは防ぎきれないこともわかってきており先進的な経営者であればエンドポイントでの検知と対応 - EDRの導入を検討しているかもしれません。確かに、これは基本の情報セキュリティ対策ではありますが、一番の基本は他のところにあります。それが「情報セキュリティポリシーの策定」です。

情報セキュリティポリシーとは、企業や組織において実施していく情報セキュリティ対策の方針および行動の指針のことです。その内容は、社内規定などの組織全体のルールから、どのような情報資産をどのように保護するかといった基本的な考え方、さらには情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載することが一般的です。

ここで理解しておきたいのは、「情報セキュリティ対策は画一的ではない」ことです。企業が持つ情報、組織の規模、体制などによって対策方法は大きく異なり、業務形態、ネットワークやシステムの構成、情報資産などを踏まえて、それぞれに見合った情報セキュリティポリシーを作成する必要があります。つまり、企業ごとにその内容は違うということになります。

情報セキュリティポリシーを作成する目的とは、情報資産を守ることが根本ですが、これは顧客や取引先との情報を守ることにも通じるため、結果として信頼性向上といったメリットもあるのです。顧客からの信頼がビジネスの源泉であることを考えると、情報セキュリティポリシーの策定は、企業の責務と言えるでしょう。

 

情報セキュリティマネジメントの実施

情報セキュリティポリシーが策定されたら、企業は次に情報セキュリティマネジメントを実施していく必要があります。情報セキュリティポリシーは1度策定しただけでは高い効果は期待できませんし、間違った内容になっている可能性もあります。運用をしながら実態に沿った内容になっているかを定期的にチェックすることが大切です。

情報セキュリティマネジメントの実施サイクル

計画(Plan)

企業の情報資産を洗い出し、リスクや課題を整理しながら企業の実態に合った情報セキュリティ対策の方針を定めたポリシーを策定します。

導入、運用(Do)

全従業員に情報セキュリティポリシーを周知し、必要に応じてセキュリティ教育なども行います。従業員全員が情報セキュリティポリシーに則って行動することで、目標とする情報セキュリティレベルの維持を目指します。

点検、評価(Check)

情報セキュリティの導入後、現場の状況や問題点、社会的状況などを踏まえて定期的に情報セキュリティポリシーを評価し、それらが順守されているかの調査を行います。

見直し、改善(Act)

点検、評価の内容を参考にしながら情報セキュリティポリシーに見直しおよび改善に取り組みます。

つまり、情報セキュリティポリシーを策定した後も、PDCAサイクルをしっかりと回しながら、より良い情報セキュリティ対策を講じていくことが重要です。日々継続的な改善があるか否かで、企業の情報セキュリティ対策の強度は大きく変化しますので、必ず取り組んでいきましょう。

現代の情報セキュリティに欠かせない対策とは?

20年前の情報セキュリティ対策といえば、アンチマルウェアやファイアウォールといった基本的な情報セキュリティシステムさえ導入していれば安全、というものでした。単なる愉快犯が多かった過去においては、事実、これら2種の情報セキュリティシステムがあるだけで、大半のサイバー攻撃は防ぐことができました。

しかしITの環境は変化しています。ファイアウォールで守られた中だけに自組織のIT環境、利用者が存在していた時代から、クラウドの採用、リモートワーク従業員の存在でファイアウォールで守る境界は無くなったも同然です。

サイバー攻撃は日々多様化/高度化しており、上記のような一般的な情報セキュリティシステムでは防ぎ切れなくなっているのが現状です。「100%のセキュリティ対策はない」という言葉も浸透しています。そこで「サイバー攻撃に遭ってからの情報セキュリティ対策」も意識すべきです。

アンチウイルスやファイアウォールといった従来型の情報セキュリティシステムは、サイバー攻撃を未然に防ぐ、『防御』のためのものです。サイバー攻撃を未然に防げればそれに越したことはありませんが、昨今のサイバー攻撃は高度化、複雑化するだけでなく、その攻撃量も膨大になってきており、防御が困難です。

たとえば「標的型攻撃」。これは、ある特定の企業や組織に狙いを定め、目的を達成するまで攻撃が続けられます。目的はその組織の機密情報や金銭など様々です。企業内の特定の人物に偽装メールを送信し、添付されたファイルやリンクを実行させようとする手口を使う事が知られています。偽造メールは非常に巧妙で、新規顧客や政府機関、取引企業を装う、あるいはターゲットが興味を持ちそうな内容で偽装メールを送信します。さらに、添付されたマルウェア感染ファイルも拡張子やアイコンが偽装されていることが増えているので、以前にも増して従業員個人での判別が難しくなっています。

こうした状況下で企業ができることといえば、「サイバー攻撃に遭うことを想定し、情報セキュリティ対策を講じる」ことです。「情報セキュリティに100%は無い」を念頭に置きながら、『防御する』対策だけでなく、問題が発生することを前提にした対策についても考えます。サイバー攻撃に遭っても、それを迅速に『検知』し、排除する情報セキュリティシステムが構築されていれば、被害を最小限にとどめられます。

サイバー攻撃による被害が起きたらどうする?

情報セキュリティ対策と聞くと、被害が起きる前の事前対策ばかりに気を取られがちですが、被害が起きた後の事後対策についても十分検討する必要があります。「サイバー攻撃が起きれば被害の規模など関係ない」と考える方もいますが、サイバー攻撃が起きた後も被害を最小限にとどめることで、企業が失うものをより少なくできます。そこで、サイバー攻撃による被害が実際に起こったことを想定して、その事後対応についての情報セキュリティポリシーを策定することも重要になります。

インシデントの検知

情報システムにおいて定期的なログチェックを行う体制を設け、通常とは異なる不審な状況の発生を素早く検知します。あるいは、外部からインシデントを告げられる場合もあると思いますので、その際のプロセスも検討が必要です。

インシデントの初動処理

インシデントが発生したら、関連部署や担当者へ連絡をし、事前に設定した優先順位によって手続きを行います。侵害されている端末の切断、ビジネスを継続するかの判断などでさらなる被害を防ぎます。初動処理によって被害規模は決まるものなので重要です。これらをポリシーなどで明記しておかなければ、どうするかを判断するのに時間がかかり、状況を悪化させかねません。

インシデントの分析

被害内容の規模などを整理して、事故が発生した原因を分析し、対応策を決定していきます。どの様に分析を進めるかについても、外部の専門家を利用するのかどうか、依頼した際にかかる時間なども事前に押さえておく事が重要です。

復旧作業

情報システムが正常に動作していることを確認し、復旧。それが完了したら関係者や利用者に連絡します。

再発防止策の実施

事故原因を究明し、同じようなセキュリティ事故が再発しないように対策を講じます。事故に対する処理および対策からのフィードバックを情報セキュリティポリシーに反映し、今後に備えましょう。

いかがでしょうか?

関係機関への報告や、報道発表など、他にも事前にプロセスや体制を検討すべき事項、情報セキュリティ対策について考えるべきことはたくさんありますが、これらをしっかりと行うことで企業の競争力を高めることにも繋がります。これらは経営者やマネジメント層の理解が必要不可欠ですので、しっかりとそのことを理解し、まずは自社の情報セキュリティポリシーの策定/更新状況を確認してみてはいかがでしょうか。

CrowdStrike Services サイバーセキュリティ侵害調査報告書2018

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「セキュリティ全般」の最新記事


経営者が知っておきたい最初に行うべき情報セキュリティ対策
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング