情報漏えい対策

情報セキュリティ対策の必要性と考え方

法人のお客さまに起こりがちな状況

現在インターネットや情報システムは組織運営になくてはならないものになり、企業はその利便性に依存しています。しかし利便性の向上と引き換えに、インターネットを利用している限りセキュリティリスクは常になくなりません。セキュリティ対策の必要性についてまとめ、なぜ力を入れて取り組まなければならないのかについてお伝えします。

情報セキュリティ対策の必要性とは?

そもそも情報セキュリティは本当に必要なのでしょうか?回答としては「必要であり、なければ企業の存続に関わるレベル」となります。近年企業内に存在する情報が「情報資産」と呼ばれるようになってきたように、今や情報の価値は非常に高くなってきています。

この理由には大きく2つの要因があります。

1つ目は企業が保持している情報の質や量が非常に増加していること、2つ目はユーザーの個人情報保護についての意識が高まってきていることです。

近年のCRM(カスタマーリレーションシップマネジメント)の概念やデータドリブン経営などにより、企業内にデータを蓄積し、その分析により得られた知見を次のアクションに活用するという手法が取られるようになってきました。その結果企業には大量の個人に紐づくデータや営業機密となる資料が保管されるようになっています。

また、2003年に個人情報保護法が公布されてから個人情報取扱業者の義務は格段に増え、昔よりも個人情報についての収集難易度が上がってきています。そのため徐々に個人情報の収集コストが増加しているため希少性が上昇してきているのです。

そしてこの事実は、情報を狙う相手が増えてきていることの裏返しでもあります。だからこそ、資産である「情報」に対しての安全性を高めるための情報セキュリティ対策は企業として必須となってきているのです。

情報セキュリティ対策に漏れがあった場合の事例

外部要因、内部要因を問わず情報セキュリティに関する事故は毎日のように発生しています。

例えば2017年に流行したワナクライ(WannaCry)は世界中のPCに侵入し、身代金を要求しました。日本でも大手製造業で感染が発覚し、最終的に1,600億円程の被害が出たと言われています。このときの原因は海外にあるグループ会社の事業所に置いてある電子顕微鏡の装置だったそうです。ここから社内のネットワークを介して感染を拡大し、多大な被害を発生させています。

2019年には同じくトロイの木馬であるマルウェアのEMOTETが流行し、現在も被害が発生し続けています。国内のインフラ大手でも感染が確認され、顧客情報の漏えいが発覚するなどしました。

2020年12月にはある決済サービスで最大約2,000万件とも言われる個人情報流出のインシデントが発生しました。原因はサーバ更新時の設定ミスです。アクセス権限に関わる部分を一時的に変更した後設定を戻し忘れていたことにより外部からアクセスできる状態になってしまったことが要因でした。

情報セキュリティ対策はちょっとした気の緩みで非常に大きな事故が発生するリスクを内包しています。

情報セキュリティ対策の考え方

様々なサイトで情報セキュリティ対策について語られていますが、総務省がまとめている資料を参考にすると、対策が必要なのは大きく分けると以下の4つとなります。

参考:https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/03.html

  1. マルウェア等のウイルス感染
    ウイルス感染対策としてはセキュリティソフトの導入やソフトウェアのアップデート、フィルタリングなどが推奨されています。最新のバージョンによってセキュリティレベルを上げ、フィルタリングによってそもそも危険な通信を遮断し、そのうえでセキュリティソフトによって検知・防御を行うという考え方です。
  2. 不正侵入などの悪意を持った人間による攻撃
    不正侵入対策としてはパスワードなどの認証管理やファイアウォールの導入、脆弱(ぜいじゃく)性に対してのパッチ適用などがあります。パスワードを強力なものにして解析難易度を上げたり、不明なアクセスを許可しない設定にしたりなどの対応が挙げられています。
  3. 機密情報、個人情報などの漏えい
    情報漏えいに対しては顧客データなどの管理や資料の廃棄ルールの徹底、権限管理などがあります。主にルールの作成と運用徹底のための教育が重要な要素となります。自社の体制を考えたときに実務上問題ない範囲での最大限の管理ルールを作り、かつそれを徹底してもらえるような意識づけが大事です。
  4. 災害や天変地異などによる機器の障害
    災害対策はバックアップや無停電電源装置(UPS)などによる冗長化などが挙げられます。近年の地震や災害に伴いBCP対策の重要さが叫ばれるようになってきました。データセンターを分散したりクラウド化によって社内サーバよりも災害に強い場所にデータを置いたりなどして可用性の維持を図ることが重要になります。

情報セキュリティ対策には「ルール」と「教育」の観点が必須

上記に挙げた中で、ある意味最も難易度が高いと言えるのが「3.機密情報、個人情報などの漏えい」で挙げた「ルールの作成」と「運用徹底のための教育」です。

システム面で対応を行ったとしても、実際に運用するのは人間です。運用が正しくないとそこがセキュリティリスクとなり情報セキュリティ対策が中途半端となってしまいます。きちんと運用をしてもらうためには「ルール」と「教育」を実施する必要があります。

ルールは「正しい行動」を規定することでリスクの低い行動・高い行動を理解できるようにすることが目的です。併せて教育を行うことで啓蒙活動として「常にリスクの低い行動」を取るための意識を持ってもらいます。

これにより良い行動と悪い行動を理解し、良い行動を実行できることができるようになるのです。

情シスの仕事として情報セキュリティ対策は真っ先に取り組むべき課題

リスクの高さを考えたとき情報セキュリティ対策のあるなしでは非常に大きな差異が出てきます。セキュリティソフトひとつ取っても、製品によって検出率や管理コストなどが異なる部分はあるものの必要不要で言えば「100%必要」と言えるレベルのセキュリティ対策です。

情シスとしては会社の守りをきちんと固め、セーフティゾーンを作り出し、同時に維持するための運用を継続することがとても大事な使命です。

今回紹介した方針を参考に、実際の社内体制に穴がないか確認し対応してみましょう。

トレンドマイクロからのアドバイス

情報セキュリティ対策の対象となる範囲は個人の端末にとどまらず、アナログな部分では紙媒体の管理、デジタルではネットワーク全体やサーバなど多岐に亘ります。

トレンドマイクロではデジタル領域のセキュリティ対策に対して必要不可欠なさまざまなソリューションを提供しています。

自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザー共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One™ SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視化

Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。

パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り