2025.07.31
セキュリティ対策における基本的な考え方(1/2)
目次
中小企業の経営者や情報システム担当者の皆さん、ご認識の通りセキュリティ対策は経営課題です。有効なセキュリティ対策を行うには、そのセオリーとも言える「基本的な考え方」について知っておくことが近道となります。そこで本記事では、セキュリティ対策実施における基本的な考え方について見ていきたいと思います。
●対策を検討する前にリスクアセスメント(分析・評価)を行う
機器導入などのセキュリティ対策を検討する前に、まず自組織の現状を調査し、どこに、どのようなリスクがあるのか、それが顕在化した場合にはどのような影響があるのか等、想定されるリスクについて分析・評価する必要があります。そうすることで、実施する対策の目的や効果が明確となります。
逆に、そうした過程を経ていない場合には、必要な対策に抜けが生じたり、それほど必要性の高くない箇所に過剰な対策を実施したりする可能性が高まるでしょう。
●守るべきもの(情報、情報システム等)を認識する
上記のリスクアセスメントを行う際に行うプロセスの一つとなりますが、自組織の情報資産について認識し、それらの中で何が重要なのか、何を守らねばならないのかを認識する必要があります。情報資産は「組織にとって守るべき価値をもつ情報及びそれを取り扱う一連の仕組みである情報システム」と定義することができます。一般的には、顧客情報、製品情報、財務情報、経営戦略及び施策、マーケティング情報など、組織が業務を行う上で必要な情報そのものと、それを取り扱うために必要なハードウェア、ソフトウェア、ネットワーク等から構成される情報システムが該当します。
●脅威を知る
組織の重要な情報資産を守るためには、それを脅かすものの存在を認識し、その種類、攻撃者の手口等についても可能な限り詳細に把握する必要があります。また、自組織に対して実際にどのような攻撃が行われているのかを知ることも重要です。
脅威とは、情報資産を脅かし、損失を発生させる直接の原因となるものであり、次のようなものが挙げられます。
表:情報セキュリティにおける脅威
| 脅威の種類 | 分類 | 具体例 |
|---|---|---|
| 環境 | 災害 | 地震、落雷、風害、水害 |
| 障害 | 機器の故障、ソフトウェア障害、ネットワーク障害 | |
| 人 | 意図的 | 不正アクセス、盗聴、情報の改ざん |
| 偶発的 | 操作ミス、書類やPCの紛失、物理的な事故 |
情報資産が存在すれば、そこには常に何らかの脅威が存在します。
内部犯行等、組織内部の脅威については対策によって低減させることができますが、自然災害や組織外部の第三者による攻撃等の脅威をなくすことは不可能です。
●脆弱性を知り、対処する
脆弱性は組織や情報システム等に内在する様々な弱点や欠陥であり、脅威と結び付くことでリスクを顕在化させたり、脅威を増幅させたりする要因となります。脆弱性は自助努力によって取り除いたり、低減させたりすることが可能です。まず組織や情報システム等のどこに、どのような脆弱性が存在するのか、それによってどのようなリスクを顕在化させることになるのかを認識し、適切に対処する必要があります。
脆弱性の種類と例を次の表に挙げます。
表:脆弱性の種類とその具体例
| 脆弱性の種類 | 具体例 |
|---|---|
| 設備面の脆弱性 |
・建物の構造上の欠陥 ・設備のメンテナンスの不備 ・入退室管理設備の不備 |
| 技術面の脆弱性 |
・ネットワーク構成における欠陥 ・ソフトウェアのバグ ・アクセス制御システムの不備 ・設定ミス、安易なパスワード ・マルウェア対策の不備 |
| 管理面・制度面の脆弱性 |
・情報セキュリティに関する方針、規程の不備 ・機器や外部記憶媒体管理の不備 ・ユーザ教育、マニュアルの不備 ・インシデント対応計画の不備 ・監視体制、監査の不備 |
●情報セキュリティの方針、基準を明確にし、手順等を整備する
情報セキュリティに対する組織としての方針、対策実施における基準やルールを明確にすることで、従業員等の意識や認識を合わせるとともに、限られた予算、要員、設備等のリソースを有効に活用します。また、従業員等が対策を確実に実施し、過失による問題の発生を防ぐために、手順書等も整備します。
●セキュリティと利便性のバランスをとる
一般的に、セキュリティと利便性はトレードオフの関係にあるため、利便性を高めれば高めるほどセキュリティは低下します。その逆に、セキュリティを高めれば高めるほど利便性が低下する傾向にあります。利便性の低下は業務効率の低下につながり、従業員等からの不満が高まる可能性もあるため、リスクを十分考慮した上で、セキュリティと利便性のバランスをとることが重要です。また、実施するセキュリティ対策がなぜ必要なのか、それを行わないとどのようなリスクがあるのか等について従業員等に説明し、理解を得ることも重要です。
●インシデントの未然防止に努めつつ、発生時に備えた対処を確実に行う
セキュリティ対策の実施においては、組織や情報システムの脆弱性に対処することで、インシデント(事件、事故)の未然防止に努める必要があります。しかし、どんなに未然防止策を施したとしても、インシデントの発生を完全に防ぐことは不可能です。そのため、未然防止策を施すだけでなく、インシデント発生時に備えた対策を確実に行うことが重要です。
<インシデント発生に備えた対策の例>
・インシデントを早期に検知するセキュリティ監視システムの導入及び運用
・インシデント発生時の対応体制や対応手順の整備
・インシデント発生時を想定した対応訓練の実施
・インシデント発生時の対応を支援し、侵害を受けた機器等の調査・分析等を行うセキュリティベンダとの契約締結
・サイバー保険への加入
●実施した対策の有効性について、第三者によるチェックやレビューを実施する
自組織が実施したセキュリティ対策の抜けや不備を発見し、それらを是正・改善するため、第三者によるチェックやレビューを実施します。これは年1回程度の頻度で定期的に行うとともに、対象となる組織や情報システムに変化が生じた場合などに随時実施するのが望ましいでしょう。組織の変化とは、取り扱う情報資産や業務内容が変わったり、M&A等により、他社との統合や合併があったりした場合が該当します。
今回はセキュリティ対策実施における基本的な考え方として、8つの事項について解説しました。次回も引き続き、他の事項について解説します。
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
2025.02.06
