情報漏えい対策

「最低限のセキュリティ対策」と
そこに潜むリスクとは

法人のお客さまに起こりがちな状況

セキュリティ対策についての提案を行った際に「予算がないから今できる範囲でやっておいて」「無料のセキュリティソフトあるからそれでいいんじゃない?」「利益になるわけじゃないから最低限で」と言った回答を受けたことがある情シス担当の方は多いのではないでしょうか?

財務的な課題もあり、それ単体で売上があがるわけではないものに対して、なかなか予算を割くことが難しいという中小企業は多いかと思います。

今回はそうした「最低限のセキュリティ対策」を行うことによるリスクと、なぜそれだけでは足りないのかなどについて簡単に説明いたします。

「最低限のセキュリティ対策」の基準

個人にとっての最低限のセキュリティ対策と言えば「セキュリティソフトをインストールすること」と答える方が多いかと思います。しかし、法人にとっての最低限のセキュリティ対策とは、どの程度のことを指すのでしょうか?

IPAが提唱している中小企業の情報セキュリティ対策ガイドラインを参考にすると、「企業の規模に関わらず、必ず実行すべき重要な対策」として以下の5つが挙げられています。

  • OSやソフトウエアを最新の状態に保つ
  • ウイルス対策ソフトを導入する
  • パスワードを強化する
  • 共有設定を見直す
  • 脅威や攻撃の手口を知る

いずれも基本的な観点ではありますがまずはこれを実行することが「最低限のセキュリティ対策」の基準と言えるのではないかと思われます。逆に、上記が適切に行われていない企業については早急に全社的な対応の見直しを行う必要があります。

参考:https://www.ipa.go.jp/files/000055520.pdf

「最低限のセキュリティ対策」を行えば安心して良いのか?

先に結論を書くと「あまり安心ができない状態」と断言できます。

よくあるのが「お金ないからセキュリティソフトは無料版のでいいでしょう」と言うパターンです。確かに最近のセキュリティソフトは、無料版であっても検出率が高いものもあり、普通に利用している分には問題ない場合が多いかもしれません。

しかし、こうしたパターンでは大体の場合「サポートや機能を制限した状態」であるケースがほとんどです。ユーザーの環境や攻撃主の用いる手法は千差万別であり、すべてのパターンにおける対応保証ができているわけではありません。

そうなるとトラブルが発生した段階での即時対応ができないことは致命傷になりかねず、さらにはそもそも機能制限の結果、対策自体が正しくできなかったりするケースが発生します。

最低限のセキュリティ対策でとどまっている状態と言うのはこのように何かが起こった時の影響が非常に大きくなってしまうような状況です。

また、ある無料のセキュリティソフトはユーザーの端末利用情報の一部を外部に販売していたケースもありました。通常であればブロックされてしまうような情報であっても、セキュリティソフト自体が外部送信してしまうのであれば門番が泥棒を招き入れているようなものです。こうしたケースでは、意図せず機密情報の漏えいが発生してしまう可能性もあるのです。

担当者の知識が十分にあるのであれば無料版を組み合わせてセキュリティを高めることが可能かもしれませんが、属人性が高くなってしまったり、ソフトウエアのバージョンアップによって不具合が出るなど、運用コストに跳ね返ってしまうケースも想定されます。

予算の制限はありつつも、有償の製品も含めてバランスを取ったセキュリティ対策を行えるような体制を構築することが必要と言えるのです。

本当に行うべきセキュリティ対策の基準とは

経営方針にもよりますが、根本的には予算とリスク(損害)をてんびんに掛けどの程度の安全マージンを取るかがすべてと言えます。

個人情報を多分に扱ったり機微情報を扱う業種であればそれなりのセキュリティ対策を行う必要がありますが、あまり機密情報を取り扱うことがなかったり、事務所に経理用のパソコン1台があるだけと言ったセキュリティホールとなり得る経路があまりなかったりする場合については、別途レベル感に応じた対策を検討するとよいでしょう。

観点としては「ルール」「教育」「システム」の観点に分け、それぞれに対しての方針を定め、実行する必要があります。

  • ルール
    →経営者が定める方針に従い「何をするべきか」「何をしないべきか」を明確にします。OSやセキュリティソフトのアップデートと言った基本的なことから、Officeの設定でマクロの自動実行を行わないようにして取引のない会社からのメールの場合は安易に添付ファイルを開かないなど業務フローに関わるようなことまで、社員のリテラシーレベルに応じたルールを作成します。
  • 教育
    →定められたルールを順守するとともに、インシデントを発生させないための情報セキュリティに対する啓発活動を行い、意識レベルを改善します。年に1回以上の定期的な教育を実施してインシデント事例を共有し危険性の把握と意識レベルの向上を高める機会とするなどの活動を行います。
  • システム
    →限られた予算内でできる限り「完全性」「可用性」「機密性」のバランスを取りつつ人間のできる範囲を超えた部分についての対応を行います。情シス担当として自社が持つ情報の重要性やリスクを把握し、適切なセキュリティ対策のポートフォリオを描くことが重要です。

物理的な部分での対策もセキュリティ対策の重要事項

セキュリティ対策のためにルールを定め、教育を行い、最新のセキュリティツールを導入しても、守る対象であるサーバや端末自体が壊れてしまったら元も子もありません。物理的な部分でも対策を検討しておく必要があります。

最も基本的な部分はバックアップによるデータ損失の対策があります。近年では毎年のように発生している大雨などの大規模災害や地震などによるサーバの損壊についても、BCPの観点から検討するべき事項です。ラックの転倒防止やハザードマップを確認して浸水の可能性などについても、確認しておくのがベターと言えます。

セキュリティの観点から社内に立てたサーバを利用している企業についても、対災害性の観点で見た時にデータセンターの利用やクラウドサービスの利用など再度検討する余地は出てきているのではないかと思われます。

さまざまな観点のリスクを洗い出し、最もリスクの少ないベストな選択肢を取ると言うことが重要な視点です。

システム面で必要なのは「経路のカバー」と「ゼロトラスト」での多層防御

ルールと教育が正しく回ることによって、個人情報漏えいインシデントの要因の約半数を占める「紛失」や「誤操作」と言った事故をある程度防ぐことが可能になります。

一方で、こうした意識レベルで防ぐことがなかなか難しいのが不正アクセスです。セキュリティ系のニュースを調べると、毎日のように何らかのシステムにおいて脆弱(ぜいじゃく)性が見つかっています。また、EMOTETやIcedIDと言ったランサムウエアについてもここ数年名前をよく聞くようになってきました。これらによる攻撃は人間の意識だけでは防ぐことが物理的に防ぐことがなかなか難しく、システムの力が必要です。

個人のクライアントに導入するセキュリティソフトに加え、サーバ用のセキュリティソフト、さらにはファイアウォールによる不適切な通信の遮断、EMOTETなどに代表されるメールを利用した攻撃に対抗する標的型攻撃メール対策ソフトなどさまざまな観点から経路をカバーする必要があります。

さらには、日々見つかる脆弱(ぜいじゃく)性を突かれてゼロデイアタックを受けた場合にも、簡単に機密情報にアクセスできたりしないよう、フォルダのアクセス権限の設定やファイルの共有設定、ふるまい検知機能があるセキュリティソフトの導入などゼロトラストの考えで多層防御を行い、対策を行っていくことが重要です。

こうした対策は、一度構築したからと言ってそれで完結するものではなく、環境の変化やソフトウエアのアップデートに応じて随時見直しを行うことも必要であり、情シスとしての大事な役割と言えます。

トレンドマイクロからのアドバイス

最低限の情報セキュリティ対策とは言いつつも、対象となる範囲は個人の端末、ネットワーク、サーバなど多岐に亘ります。

トレンドマイクロではデジタル領域のセキュリティ対策に対して必要不可欠なソリューションを提供しています。

自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザー共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるリューションとなっています。

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One™ SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視化

Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。

パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウエアを防御することができます。

※すべての未知の脅威に対応するものではありません

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り