ネットワークセキュリティ 2015/10/23
前回は、企業が情報セキュリティ対策を行うにあたり「守るべきもの」を決めること、情報セキュリティの要が「人」であることなどをご説明しました。そして情報セキュリティ対策には組織的対策、技術的対策、物理的対策、人的対策の4つのポイントがあります。それを踏まえた上で今回からはいよいよ対策をご説明していくことになりますが、その前にやるべきことがあります。それは現状の確認です。
すでに情報セキュリティ方針が制定され、規程やルールなどを整備し、システム的な対策も実施して情報セキュリティ対策を運用している方もいらっしゃると思いますが、それが経営層や従業員に本当に理解され、適切な運用をされているのかどうか、確認をされていますでしょうか?
情報セキュリティ対策を実施する前に現状を把握することはとても重要です。現状を把握しないと本当に必要な対策が施せず、情報セキュリティリスクを下げることはできません。
右図をご覧下さい。 これはIPA(独立行政法人 情報処理推進機構)がまとめたガイドラインに記載されているものです。共通して実施すべき対策もありますが、企業ごとに実施すべき対策もあります。 |
![]() |
![]()
|
まずは対策を施す前に現状をしっかり把握し、その上で組織的対策、技術的対策、物理的対策、人的対策の4つのポイントを踏まえて対策を実施することが肝心です。
それでは4つの対策について説明します。「組織的」という言葉でもおわかりかと思いますが、企業が情報セキュリティを推進していくために経営層が中心に行う対策です。 組織的対策の主な項目は以下になります。
1.情報セキュリティポリシー(情報セキュリティ方針)の策定
2.情報セキュリティ推進体制の構築
3.規程、マニュアル、ルールの策定
4.情報セキュリティに関する教育の実施
上記対策を実施していく上でのポイントは、「情報セキュリティを推進していく」という企業トップの強い意志を明確にすることです。 この企業トップの強い意志を明確に表すことで、全社で積極的に情報セキュリティの活動を推進することができます。
そしてこの強い意志を反映する形で情報セキュリティポリシーを策定します。更にその意志を軸として規程、ルールを整備し、全社活動として推進するための推進体制を構築します。
![]()
|
![]() |
パナソニックでは、2004年に“全社で情報セキュリティを推進する”という意志を表明し、それと同時に「情報セキュリティ本部」という情報セキュリティ専門に活動する部門を立ち上げ、情報セキュリティ基本方針の策定や規程などの整備、そして従業員教育を行いました。 |
組織的対策のポイントは、“情報セキュリティの風土作り”の推進であり、それには企業トップの強い意志と、それを反映した方針、体制構築、そして継続的な教育を実施することになります。
続いて技術的対策のポイントについて説明します。
技術的対策とはネットワークや操作ログ収集・監視やファイアウォール、IDS/IPSなどの入口対策、プロキシ、Webフィルタなどの出口対策、エンドポイント対策としてウイルスソフト導入などがあります。 上記のように技術的対策は多岐にわたりますが、優先すべき対策のポイントは「守るべきもの」に関わる範囲について対策をすることになります。
右図をご覧下さい。IPAの「組織内部者の不正行為によるインシデント調査」では、従業員の内部不正の気持ちが低下する対策として「社内システムの操作のログが残る」が1位となっています。つまり、守るべきものへのアクセスのログ監視を実施し、現状把握した際に発見された脆弱性も合わせて対策を行うとより効果的な技術対策を行なうことができると言えます。 |
![]() |
![]()
|
また今年大きな話題となった標的型メール攻撃による個人情報漏洩事件がありました。これは技術的対策だけでは防ぐことは難しいですが、入口対策とマルウェアなどの侵入を阻止するファイアウォールやIDS/IPSを、内部対策としてウイルス対策ソフトなどを、更に出口対策としてプロキシ、Webフィルタなど、そして正しい理解のための教育を実施する多層防御をすることが重要です。 |
![]() |
![]()
|
続いては物理的対策のポイントについて説明します。
物理的対策とは、入退室管理やパソコン、USBなどの記憶媒体の管理、情報の取扱い管理などがあります。
守るべきものを取り扱ったり、保管したりする際、まずその情報を取り扱うべき人を限定しその場所へのアクセス、つまり入退室ログを残すようにしましょう。万が一漏洩した場合も、その原因特定と是正対策が容易にできるようになります。
パソコンやUSBなどの記憶媒体は盗難や紛失時の対策として、パソコンはセキュリティワイヤーの活用やハードディスクの暗号化、USBなどは暗号化可能なものを使用しましょう。
情報の取り扱いについては特に保管と廃棄がポイントとなります。 保管についてはロッカー等に保管する場合は施錠管理を行い、更に施錠を行う鍵の使用記録も管理しましょう。電子データであった場合は、サーバーにアクセス制限し、保管もラックに入れるなどの対策をしておきましょう。
![]()
|
![]() |
左図はJNSAの個人情報漏洩の件数を媒体・経路別にまとめたものですが、紙媒体が67%を占めています。紙媒体は取り扱いが簡単なだけ、その取り扱いも安易になってくる傾向があります。紙媒体の情報を廃棄する際は、情報漏洩しないように注意して廃棄しましょう。 |
次回からは、情報セキュリティの要となる「人的対策」についてお話しいたします。
![]() |
|
この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。
30008248
ようこそゲストさん
製品レポートが読めて、
ポイントが貯まるのは会員だけ!
導入事例 ダウンロードランキング 2018.4.20更新
情報セキュリティ
関連情報
![]() ![]() |
ITセキュリティ責任者の声に見る、サイバーセキュリティフレームワークの現状 【テナブルネットワークセキュリティ】 |
…ソリューション・その他 |
![]() ![]() |
サイバーリスク回避の基本、「セキュリティフレームワーク」導入の最善策 【テナブルネットワークセキュリティ】 |
…ソリューション・その他 |
![]() ![]() |
脱クラウドでもクラウド依存でもない選択肢「ハイブリッドIT」、その課題は 【ユニアデックス株式会社】 |
…ハードウェア |
![]() ![]() |
気になる他社のセキュリティ対策、クラウド・仮想環境を改善した39事例を紹介 【トレンドマイクロ】 |
…ソリューション・その他 |
![]() ![]() |
事例に学ぶ個人情報保護の実現方法、特定・ブロック・情報共有で「多層防御」 【トレンドマイクロ】 |
…ソリューション・その他 |
![]() ![]() |
転換期を迎えたサイバー犯罪――国内で拡大し始めた攻撃手法とは? 【トレンドマイクロ】 |
…ソリューション・その他 |
![]() ![]() |
「未知の脅威」への次の一手。侵入を前提とした対策、EDR 【トレンドマイクロ】 |
…ソリューション・その他 |
![]() ![]() |
「なりすまし・詐欺メール攻撃」徹底解説:5つの攻撃手法と防御策 【トレンドマイクロ】 |
…ソリューション・その他 |
![]() ![]() |
被害が拡大する「ビジネスメール詐欺」 代表的な手口と対策は? 【トレンドマイクロ】 |
…ソリューション・その他 |
![]() ![]() |
製造業界のセキュリティ課題は? 調査で見えた被害状況と業界特有のリスク 【トレンドマイクロ】 |
…ソリューション・その他 |