COLUMN / SEMINAR
技術関連記事
中堅中小企業の情報セキュリティ対策
2019.12.27
今回は、技術寄りな内容をお送りさせていただこうと思います。
IT(情報技術)が、業務で使われる様になってから、かなりの時間が経ち、企業内で情報という「資産」が、様々な形で保存される様になりました。
例えば、パソコン内部のハードディスク、USBメモリ、スマートフォン内蔵メモリ等があります。これらの情報を安全に管理・活用していく為の、前提となるものが、「情報セキュリティ」です。
最近も、情報漏洩にまつわるニュースが、世間を騒がせていますが、事故を防ぐためには、「情報セキュリティ」について、まずどのような「切り口」をもって、考えて行けばよいか、今回はお話しさせていただきます。
「情報セキュリティ対策」と聞くと、ウィルス対策ソフトや、ファイアウォールのイメージを持たれるケースが良くありますが、一般的な「情報セキュリティ対策」の定義は、もう少し広い意味とされています。
「情報セキュリティ対策」には大きく3つの要素があります。
①人的対策、②物理的対策、③技術的対策
それぞれの意味と、対策の例を一つずつ見ていきます。
人的対策
人的な対策とは、人が誤って情報を取り扱い、事故を起こすことのない様、情報の重要性や、その取り扱いの方法について、徹底して伝達し、管理する事です。
後述の2要素含め、すべて重要なのですが、「①人的対策」は特に重要で、世間を騒がす情報漏洩のニュースは、この本対策が不十分である事に、起因するケースが殆どです。
例えば、社員が怪しいメールを開き、パソコンがウィルスに感染したまま業務を、続けてしまった、電車の中で機密情報入りのUSBメモリを落としてしまった、SNSで機密情報を配信してしまった、社内で破棄すべきハードディスクを持ち出し、転売してしまった等、全て、①人的対策で、対策されるべき事案です。
基礎的な対策例として、以下があります。
(a) 情報を守るためのルールを策定する。 (b) ルールを厳守する様、教育と社内規定整備を徹底する。
(a) 情報を守るためのルール
良くある例としては、
- 離席時はパソコンをロックする
- 情報へのアクセス権限の管理
- やむを得ずUSBメモリ等で情報を持ち出す際の指針、等
他にも、パソコン等の情報機器を破棄する場合は、ハードディスクを取り出し、ドリルで貫通穴を空け、基板はハンマーで破壊する等を、ルール化するケースもあります。
原始的ですが、機密情報の入ったハードディスクを、社員や破棄業者等が、転売しまうといったリスクを、低減する事ができる対策方法です。 (実践される場合は、専門家にご相談のうえ、ケガや別の事故に繋がらない様に、十分ご注意ください。)
(b) ルールを厳守する様、教育と社内規定整備を徹底する。
法務や契約書に業務で係る方なら、「そんなの当たりまえ」と思われるかもしれませんが、全員が最初から、「情報セキュリティリテラシー」が高いわけではありません。ルールを分かり易く伝え、教育し続ける事が重要です。
実施例として、
・罰則付きの社内規定の整備
・定期的なセキュリティ教育の実施。(対策内容も日々進化するため)
等があります。
物理的対策
物理的な対策とは、情報端末や媒体を、文字通り、物理的に保護する事です。
基礎的な対策は以下です。
- 入退室の管理
- セキュリティ区画への入室権限の管理
- 盗難・窃盗等の防止
他にも、社内にサーバーがある場合は、サーバーラックのドア開閉に監視システムを付けたり、床にアンカーボルトで固定したりする場合もあります 。
技術的対策
冒頭に記述した、ウィルス対策等はこちらに含まれます。技術的対策の中にも、大きく以下の様な項目があります。
一つ一つの詳細は、次回以降に譲るとして、今回は簡単な例を、各項目の下に箇条書きいたします。
- システムに対する対策 ・例えば、常にOSやソフトを最新にアップデート
- ネットワークに対する対策 ・サーバー等の異常アクセスや負荷検知システム
- データへの対策 ・データを保存する際に暗号化する。
- コンピュータウィルス対策 ・ウィルス対策ソフトを導入し、常に最新にしておく
・セキュリティパッチの適用等
・ファイアウォールの整備
・重要な情報は、サーバー内で、物理的に切り離された領域(DMZ等)に置く
少し脇道にそれますが、ニュースで取り上げられるような、ハードディスクの転売事故などは、①人的対策が不十分であっても、「③-(3)データの暗号化」が正しく出来ていれば、事故の規模を多少抑える事が出来たかもしれません。
(1)~(4)で記載させて頂いた様な対策は、変化するコンピュータウィルスや、犯罪手口に対抗し、常に監視とメンテナンスしていくことが必要です。 リソースが限られる、中堅中小企業にとって、万全な「③技術的対策」を敷き続ける事は骨がおれます。
特にサーバー周りですが、①技術的対策の負荷を大きく減らしてくれる可能性ががあるものが、クラウドサーバーです。 代表的なものに、Azure、AWS、GCPがあります。それぞれ、Microsoft、Amazon、GoogleのITガリバーによって提供されているサービスです。
クラウドサーバーを今回のテーマに沿って、端的にいうならば、「ITガリバーが、桁違いの規模とコストをかけて、セキュリティ対策を用意しているサーバー」です。
災害リスクの低い地域に設営された、最新鋭のデータセンターを基盤とし、世界中のサービスプロバイダーから、活用されている為、セキュリティの脅威に対するノウハウも、非常に多く保有しています。
少し前までは不可能だった、ITガリバー達に近いレベルの、③技術的対策を、クラウドサーバーを活用する事で、実現することが可能です。
また、Azure、AWS、GCPの中でも、特にMicrosoft社のAzureは、セキュリティ対策に対し定評があり、アメリカ国防総省(ペンタゴン)にも採用されています。