パソコンなどに保存されている情報(デジタルデータ)は、さまざまな要因で失われることがあります。企業の機密情報やシステムを守るためには、セキュリティ対策が欠かせません。
やみくもに対策を行っても効果は期待できないため、どのようなリスクがあるのかを把握したうえで対策を講じることが大切です。
ここでは、情報セキュリティリスクの種類や具体的な対策方法、被害が発生した際のポイントをご紹介します。
1 情報セキュリティで重要な3要素
情報セキュリティは、情報の機密性・完全性・可用性の3要素から成り立っています。
機密性は、漏えいや不正アクセスといったトラブルから、情報が守られているかどうかで判断される要素です。機密性を保持するために、データの暗号化や適切なパスワードの設定、アクセス権限の付与などを行う必要があります。
完全性は、情報が改ざんや破損などから守られているかで判断されます。定期的なバックアップや整合性のチェックなどが、完全性を保つために必要です。
可用性は、情報が必要な時にすぐ使える状態かどうかを意味します。データをクラウドで管理して、テレワーク中もアクセスできるようにするなどの対応が求められるでしょう。
これらの3要素が全て成立している場合は、情報セキュリティが維持できているということができます。
2 情報セキュリティのリスクは2つ
情報セキュリティにおけるリスクは、何らかの事情によって組織が持っているデータに悪影響が生じる恐れがある状態を指します。
情報セキュリティにおけるリスクは、脅威と脆弱性の2つに大別することが可能です。
2-1 情報セキュリティのリスク1:脅威
情報セキュリティにおける脅威とは、データの安全性やシステムの稼働などを妨げる要因となるものです。内容から、意図的脅威・偶発的脅威・環境的脅威の3つに細分化できます。
それぞれの概要は、以下のとおりです。
【意図的脅威】
人間が故意に発生させる脅威が、意図的脅威に該当します。不正アクセスや情報改ざん、マルウェアのようなサイバー攻撃、なりすましなどが例です。
【偶発的脅威】
従業員が意図せずに起こしてしまった脅威が、偶発的脅威です。メールの誤送信やシステムの設定ミス、デバイスの紛失などが、偶発的脅威にあたります。
【環境的脅威】
地震や落雷、豪雨、火災など、自然災害に起因する脅威です。自然災害の発生を防ぐことはできないため、脅威が発生するものとして、あらかじめ対策を講じる必要があります。
2-2 情報セキュリティのリスク2:脆弱性
脆弱性(セキュリティホール)も、情報セキュリティのリスクの1つに挙げられます。業務で使用するOSやソフトウェアの脆弱性、データの管理体制の不備、災害に弱い立地などが例です。
OSやソフトウェアに関しては、脆弱性が判明すると提供元はパッチ(更新プログラム)を配布することがほとんどですが、更新までのタイミングを突いた「ゼロデイ攻撃」も見られます。
基本的に、OSやソフトウェアの脆弱性を突いた攻撃は、完全には防ぐことができないものと考えてください。
3 情報セキュリティリスクへの対策方法
情報セキュリティリスクへの対策を怠って情報漏えいやシステムの不具合などが発生すると、業務の停止、社会的信用の低下など、企業活動にさまざまな悪影響を及ぼします。
日頃から、情報セキュリティリスクに備えて対策を行うことが大切です。
対策方法の例を、3つご紹介します。
3-1 OSやソフトウェアの定期的なアップデート
前述のとおり、OSやソフトウェアの脆弱性は、情報セキュリティにおける大きなリスクのひとつです。
定期的にアップデートを行い、最新の状態に保ち続けることが、対策の基本になります。更新プログラムが配布された時は、すぐにアップデートを行いましょう。
また、サポート期限が切れたOSやソフトウェアは、脆弱性がそのまま放置される可能性が高いです。サポートの終了が明言されているOSやソフトウェアを使用し続けるのは避け、計画的に別のものに移行する必要があります。
3-2 セキュリティポリシーの策定
セキュリティポリシーの策定も重要です。企業全体で情報セキュリティについて一貫した対策を取ることで、内部の意図的脅威や偶発的脅威を抑止できます。
ただし、セキュリティポリシーを策定したとしても、設定ミスやデータの誤消去、紛失といった人的要因によるセキュリティリスクは防ぎきれません。
従業員教育を徹底し、従業員のセキュリティ意識を高めることも大切です。
3-3 ウイルス対策ソフトやセキュリティツールの導入
ウイルス対策ソフトを導入するのも効果的です。ウイルス対策ソフトを導入することで、マルウェア感染をはじめとした攻撃による被害を軽減する効果が期待できます。
ただし、ウイルス対策ソフトは確実にサイバー攻撃を防げるものではありません。ソフトに検知されない未知のウイルスが、攻撃に用いられることも考えられます。
ウイルス対策ソフトを導入して満足するのではなく、不審なサイトやメールは開かない、不要なソフトはインストールしないなど、基本的な対策も徹底しましょう。
また、退職している人間や、業務に関わりのない従業員がデータにアクセスした結果、問題が起きることもあります。アクセス権を持たないユーザーのアクセスを防ぐ認証システムや、「いつ、誰が、どのような」操作をしたのか把握できる資産管理ツールなどを導入するのも有効です。
4 情報セキュリティ事故が起きた時の対処法
対策を施していても、情報セキュリティ事故を確実に防ぐことはできません。万が一、情報セキュリティ事故が発生した際は、迅速な対応が求められます。状況を把握したうえで、被害の拡大・再発の防止に努めることが重要です。
事案発生後、初動が遅れるほど被害は広がる可能性がある点に注意してください。
デジタルデータの保全や原因の特定には、専門知識と設備が必要になります。自社での対応が難しい時は、デジタル機器から証拠を保全・分析するデジタルフォレンジックの専門業者に依頼するのがおすすめです。
ロジテックのデジタルフォレンジックサービスでは、情報漏えいやデータ改ざんなど、さまざまな事案の調査を行えます。データを書き換えることなく保全できるため、保全作業のみの相談もお気軽にお問い合わせください。
5 迅速に対策を講じてリスクを低減しよう
情報セキュリティのリスクは、規模の大小にかかわらず、どの企業も必ず抱えているものです。リスクを減らすためには、日頃から適切な対策を講じる必要があります。
万が一被害を受けてしまった時は、迅速に対処して影響を最小限に抑えるよう努めることが大切です。
ご紹介した内容を参考に、対策を講じてセキュリティリスクの低減を目指しましょう。
