1.情報セキュリティ対策とは？

各企業では事業に関する機密情報や顧客の個人情報など、さまざまな情報が数多くやり取りされています。社内のPCなどの電子機器でインターネットを利用すると、情報のやり取りが行いやすくなる反面、外部からの攻撃を受けやすくなります。外部のサーバー攻撃から組織・企業の持つ情報を守るために必要なのが情報セキュリティ対策です。組織や企業が持つデータを脅かす情報セキュリティ上のリスクにはさまざまな種類があり、それらに応じた対策も多様にあります。

多様なリスクに対して適切な対策を講じるためにも、事前にセキュリティ対策の方針や規則などを定めておくことが大切です。組織や企業においては、組織幹部やセキュリティ対策の責任者の指揮のもと、セキュリティマネジメントを実行していく必要があります。

2.インターネットを使う上での脅威とは？

インターネット上にはさまざまな脅威があり、これらを対策していくには具体的にどのような危険があるのか把握しておくことが重要です。例えば、ウイルスやワーム、トロイの木馬などがセキュリティ上の脅威として挙げられます。ウイルスは電子メールやホームページ内などに仕込まれている特殊なプログラムです。マルウェアという呼び方もされています。ウイルスの及ぼす被害としては、メッセージや画像をPCの画面に表示するだけのものや、ハードディスクに保管されているデータを破壊するものなどが挙げられます。ワームはネットワークの脆弱性を見つけて、コンピューターの内部に侵入するマルウェアの1種です。システムに過負荷を与えたり、自己複製したメールを外部へ勝手に送信したりするため、情報漏洩につながります。

トロイの木馬は正規のソフトウェアのフリをしてユーザーがインストールすることで感染するマルウェアです。感染するとサイバー攻撃者の指示により、遠隔操作やファイルのダウンロードなどが勝手に行われます。これらの脅威のほかに、標的型攻撃メールやランサムウェアなどによる被害も大きくなっています。標的型攻撃メールは特定の組織やユーザー層に対し行われ、悪意のあるファイルや悪質なサイトへ誘導するためのURLを貼り付けたメールを送信するサイバー攻撃です。多くの場合、カード情報や銀行口座、企業の機密情報を搾取する目的となっています。企業では大きな損害を招いてしまう恐れがあるので、特に注意が必要です。

ランサムウェアは改ざんした正規のサイトや、スパムメールから感染します。感染するとPCの特定機能が無効化され操作不能になることや、データファイルが暗号化され利用できなくなるケースがあります。さらに、PCを感染する前の状態に戻すことと引き換えに、金銭を要求する画面が表示されるといったケースもあり、PCの扱いに慣れていない人が被害に遭うことが多いです。他にも、社員による内部不正や人的ミスなどによって起こる情報漏洩もセキュリティ上の脅威となります。具体的には、社内の機密情報が社員によって持ち出され、他会社に漏れることや、仕事で使っているノートPCを社外で紛失し情報が漏洩するといったケースです。

3.情報セキュリティ対策における3つの対策

外的な脅威から社内の情報を守るには、まず技術的な対策が必要です。具体的には、不正アクセスやコンピューターウイルスの侵入、データの改ざんなどの脅威への対策です。これらの脅威に対しては侵入を防ぐだけではなく、侵入の拡大防止や社内ネットワークの監視なども重要な対策となっています。社内のPCにインストールしているソフトウェアの更新や、ウイルス対策ソフトの導入、セキュリティ診断などを行って、サイバー攻撃から社内の情報を守りましょう。

次は物理的な対策です。これは、不審者の社内への侵入や災害による情報滅失を防ぐための対策方法となっています。社内で保持しているデータや機密情報への脅威は必ずしもインターネット上から来るとは限りません。実際に不審者が社内へ侵入しPCを操作することや、災害によって社内のサーバーが破損しデータが失われるケースもあります。これらの脅威から機密情報や大切なデータを守るには、防犯カメラの設置や鍵の管理、耐震設備の充実などの物理的な対策が必要です。特に、社内にサーバーを設置している企業の場合、その周辺における物理的なセキュリティは充実させておきましょう。

最後は社内の人間による不正行為や人的ミスによる情報流出を防ぐための人的対策です。具体的には、差出人不明の怪しいメールが来ても開かないよう、セキュリティ意識を向上させる研修の実施や、社内ルール・罰則の策定などを行います。物理的・技術的な対策を十分に講じていても、日常的に社内のPCを使用する社員のセキュリティ意識が低下していては情報漏洩などのリスクは高まります。

3-1.技術的対策：安全なインターネット環境作り

サイバー攻撃から機密情報やデータを守るためにも、社内のインターネット環境を安全な状態に保つ必要があります。技術的な対策としては、まずウイルス対策ソフトを導入し、適切な運用を行っていきます。ウイルス対策ソフトの種類は豊富で、無料のタイプや有料で販売されているもの、対策機能がいくつも搭載されているソフトなど多彩です。会社の規模や、インターネットの活用方法などに応じて、適切な種類を導入するようにしましょう。さらに、スパムメール対策機能やファイアウォール機能など、ソフトの持っている機能を有効活用する必要もあります。社内のサーバーやPCは、これらの機能が必要に応じて使われていることを定期的に検査することが大切です。

また、社内のPCのOSやソフトウェア（ウイルス対策ソフトも含む）は常に最新の状態に保たなければなりません。OS・ソフトウェアを更新しておくことで、脆弱性を悪用した攻撃から守ることができます。他にも、企業内で許可されていないソフトの使用は制限するようにしましょう。例えば、無料で配布されているソフトウェアの中にはマルウェアが仕込まれていることもあり、インストールするとセキュリティ上の大きなリスクにつながります。そのため、社内で安全に使用できるソフトはどれかを事前に検討し、それ以外のものはインストール禁止にしなければなりません。

3-2.物理的対策：防犯や災害への備え

セキュリティの物理的な対策方法には、防犯カメラの設置や鍵の管理を徹底するなどが挙げられます。防犯カメラを社内に設置しておくことで、外部からの侵入に対する抑止力になるほか、不審者により大切なデータや情報が盗まれたとしても対応できます。そして、鍵の管理に関して、サーバルームやクライアントPCなどが設置された部屋の入室に必要な鍵は管理者のみが保持しておき、関係者以外の立ち入りを禁止するなどの対策が必要です。入退室の管理も行うと、より強化なセキュリティ対策となります。

また、耐震設備の導入も大切なセキュリティ対策です。会社にとって重要なデータを保管しているPCやサーバーは災害によって破損する恐れがあります。このようなリスクを回避するためにも、災害発生時に備えた物理的な対策（防水・防塵グッズや耐震設備が充実したサーバルームなど）が重要です。さらに、データの紛失や破損に備えて、定期的なバックアップも忘れないようにしましょう。バックアップを取っておくと、何らかの理由で無くなってしまったデータも、一部復旧させることができます。特に、業務に関わる重要なデータや機密情報などは細かくバックアップを取っておくことが大切です。

3-3.人的対策1：パスワードの設定

セキュリティの人的対策を行う際は、パスワードの設定に関してルールを決めていきましょう。まず、PCなどで設定しているパスワードは定期的に変更しなければなりません。パスワードが流出した場合、外部から侵入されるリスクが高まります。しかし、定期的に変更しておくことで漏れたパスワードは無効となり、社内のセキュリティをより強固にできます。注意点としては、数種類のパスワードを使いまわすことや、英数字の羅列をパターン化しないことです。これらの行為を行ってしまうと、変更したパスワードを推測されやすくなってしまいます。

また、ほかのサービスで使用しているパスワードも使用しないようにしましょう。もし、ほかのサービスでも同じパスワードを使用していると、連鎖的にセキュリティが破られてしまう恐れがあります。さらに、簡単には解読されない複雑なものにすることも重要です。大小英字・数字・記号などを混在させて、8文字以上は設定しておきましょう。生年月日や会社・個人に関連する簡単な数字を設定してしまうとパスワードが推測されやすくなり、PCやサーバーに侵入されるリスクが高まります。

3-4.人的対策2：不審なメールを見極める

会社や社員個人に送られてきたメールは、中身が不審かどうかを見極めなければなりません。標的型攻撃メールの場合、添付されているファイルやURLを開いただけでもマルウェアに感染する恐れがあります。さらに、社外からの侵入を許し、貴重な情報が漏れることにもつながるため、不審なメールは開かないようにしなければなりません。不審なメールの特徴としては、文章が不自然、差出人が不明、添付ファイルの容量が大きいなどです。場合によっては実在の組織・企業・人物を騙っているケースや、文章の表現に違和感を感じないなどのメールもあります。一見しただけでは不審かどうかを見極められないこともあるので、確かな情報源から真偽を確認するようにしましょう。

さらに、添付ファイルの拡張子やアイコンが普段と違うケースもあります。このような場合は標的型攻撃メールの可能性があるので、開かないようにするか、社内のセキュリティ担当者に相談するようにしましょう。

3-5.人的対策3：情報の持ち出しを制限する

社内にある情報の持ち出しは人為的な情報流出につながるリスクを増加させます。そのため、セキュリティを向上させる際は、極力持ち出さないよう制限しなければなりません。業務に使用するPCやデータを社外に持ち出す場合のルールを決め、関係部署に周知しておくことが大切です。具体的なルールとしては、PCやデータを持ち出す際、情報の暗号化やファイルにパスワードを設定する、などが挙げられます。そして、適用したルールが問題なく運用されているかどうかも確認するようにしましょう。長期的に運用していると、気持ちが緩んでしまう社員や、習慣化されすぎてしまいセキュリティとしての意識が薄くなってしまうケースもあります。

また、持ち出されている情報・データや出先でPCなどの機器を所持している社員は、しっかりと把握しておきましょう。誰が何を持っているか把握しておかなければ社内で混乱が起きる可能性や、紛失した際の対処ができないこともあります。必ず記録して、関係者や管理者が把握しておかなければなりません。

3-6.人的対策4：情報共有とルールの徹底

社内のセキュリティ向上のためには、情報の共有とルールの徹底が必要です。具体的には、セキュリティの責任者や担当者を決め、こまめに情報共有を行います。誰がどの情報・データを管理しているのか、それらを利用するには誰に相談すべきかなどが明確になっていることで、情報漏洩を防ぐことへつながります。さらに、どのような情報・データが社外に持ち出してはならないかなども社内全体で共有しておくと、セキュリティ上の人的ミスを軽減することが可能です。そして、ルール化したセキュリティ対策は社員全員に徹底させる必要があります。一部の関係者や管理者のみがルールを把握していたとしても守れない社員がいては意味がありません。どの部署に所属している社員であってもルールを把握しておく必要があります。

また、決めたルールは定期的に責任者がチェックし、常にセキュリティ対策へ取り組む姿勢が大切です。ルールを施行したあと、問題なく業務が続けられた場合、現状のセキュリティで問題ないと判断してしまうケースがあります。しかし、マルウェアやサイバー攻撃の手段は日々進化しているため、セキュリティ対策に関しても意識し続けなければなりません。必要に応じて、対策方法の検討や新たなルールを作るなど、実践し続けるようにしましょう。

4.情報は徹底した対策で強固に守ろう！

情報は企業にとって貴重な財産です。そのため、こうした情報を欲しがる人も多くいます。強固なセキュリティ対策を講じて、しっかりと守っていきましょう。