情シスが取り組むセキュリティ対策とは。重要性と情報収集の方法
近年、IT技術の進歩に伴い、企業の情報資産を脅かすサイバー攻撃が増加しています。持続的かつ安定した業務基盤を維持しつつ、企業の情報資産を守るには、組織全体でセキュリティ体制の強化を図ることが求められます。
情報システム(以下、情シス)部門では、「セキュリティ対策はなぜ重要なのか」「どのような対策が必要なのか」と気になる方もいるのではないでしょうか。
この記事では、情シスによるセキュリティ対策の重要性や具体的な取り組み、効率的に情報収集を行う方法について解説します。
目次[非表示]
- 1.情シスによるセキュリティ対策の重要性
- 2.情シスが取り組むセキュリティ対策
- 2.1.➀セキュリティ対策ソフトウェアの導入
- 2.2.②パスワード管理
- 2.3.③アクセス制限・管理
- 2.4.④アップデート管理
- 2.5.⑤社内ルールの策定と教育の実施
- 2.6.⑥定期的なバックアップ
- 3.情シスが押さえておきたいセキュリティ情報の収集方法
- 4.まとめ
情シスによるセキュリティ対策の重要性
情シスによるセキュリティ対策は、安定かつ継続的に業務を行える環境を維持するとともに、企業の情報資産を守るために重要といえます。
▼不十分なセキュリティ対策によるリスク
- サイバー攻撃によってITインフラの停止や不正アクセスが発生する
- 業務システムが乗っ取られて改ざんやデータの窃取が行われる
- 内部不正や従業員のミスによって情報漏えいが発生する など
セキュリティ上のインシデントが発生すると、業務システムを利用できなくなり事業活動に影響を及ぼしたり、情報資産の流出により経営上の大きな損害を招いたりする可能性があります。
また、企業の信頼性やサービスの安全性を外部に示すうえで、セキュリティに関する法令・ガイドライン・規格に準拠することも欠かせません。外部の企業や顧客との契約を結ぶうえでも重要な要素といえます。
情シスが取り組むセキュリティ対策
情シスでは、サーバ・システム・ネットワークなどの技術的なセキュリティ対策に加えて、従業員の行動や意識を促すための取り組みが求められます。
➀セキュリティ対策ソフトウェアの導入
マルウェア(※)の感染を防ぐために、セキュリティ対策ソフトウェアを導入する方法です。近年、マルウェアの手口は多様かつ巧妙化しており、電子メールを開いたり、社外のネットワークを経由してWebサイトを閲覧したりする際などに感染するおそれがあります。
セキュリティ対策ソフトを端末にインストールすることにより、マルウェアの検知やプログラムの除去などを行えます。
▼セキュリティ対策ソフトウェアを活用する際のポイント
- パターンファイルを最新のものに更新する
- 定期的にマルウェアのスキャンを実施する
- 記憶媒体を接続する前にマルウェアのチェックを行う など
※端末に侵入して不正な動作を行うプログラムのことです。
②パスワード管理
業務に用いるシステムやクラウドサービスなどのパスワード管理を徹底することが求められます。
推測されやすい文字列や同じパスワードを使い回している場合は、第三者によるなりすまし、不正アクセスが行われる可能性があります。
情シスでは、安全なパスワードを設定するように従業員への指導を行うとともに、ログイン時の認証方法を強化する対策が必要です。
▼情シスによるパスワード管理のポイント
- ランダムな英数字の組み合わせや推測されにくい文字列で設定する
- メモ書きでの保存やメールでのやり取りを禁止する
- 多要素認証を導入する など
なお、ID・パスワード管理についてはこちらの記事で詳しく解説しています。
③アクセス制限・管理
社内ネットワークや情報資産への不正アクセスを防ぐには、個々のユーザーに対して適切なアクセス権限を設定することが必要です。
従業員の業務内容・役割などに応じてアクセスの可否・範囲を制限することにより、内部不正や情報漏えいを防げるようになります。
ID・パスワード管理ツールを活用すれば、社内にある複数のアカウントを一元管理して、棚卸しや権限の設定変更などを効率的に行うことが可能です。
▼情シスによるアクセス制限のポイント
- 部門・業務・役職ごとに閲覧・編集権限の範囲を設定する
- 人事異動や入退社があった際には、アクセス制限の設定を見直す
- 定期的にアクセス権の棚卸しを行い、設定変更の漏れがないか確認する など
④アップデート管理
脆弱性を狙ったサイバー攻撃を防ぐには、アップデート管理を行い常に最新の状態を保つことが重要です。サーバやソフトウェアなどに脆弱性が発見された際には、ベンダーによって更新プログラムが配布されます。
情シスでは、ベンダーから提供される情報を確認して、修正プログラムが発表されたタイミングで迅速にアップデートを行うことが必要です。
⑤社内ルールの策定と教育の実施
セキュリティ対策に関する社内ルールを策定して、従業員への教育を実施します。
特に従業員が私物の端末を業務に使用する場合や、自宅でのテレワークを認める場合などでは、シャドーIT(※)、情報の持ち出しが発生する可能性があります。
情シスによるセキュリティ統制を行うには、従業員一人ひとりの意識を高めて運用のルールを遵守してもらうことが欠かせません。
▼社内ルールを策定するポイント
- 業務への使用を許可する端末やクラウドサービスなどを指定する
- テレワーク端末にはパスワードによるロックを徹底する
- テレワーク端末内へのデータ保存を禁止する
- 外部記憶媒体の持ち出しを制限する
- 社外から社内ネットワークへの接続方法を定める など
⑥定期的なバックアップ
万が一、システムの停止やデータの消失が発生した場合に備えて、定期的にバックアップを取得しておく必要があります。
バックアップを実施する際は、一つのメディアが破損・紛失した場合でも、どれか一つのデータを復旧できるようにすることが重要です。
▼バックアップのポイント
- オフラインの場合、バックアップ用のメディアを遠隔地で保管する
- オンラインの場合、社内のネットワークと切り離して保管する
- クラウドサービスを利用する場合、データを暗号化して保管する
なお、バックアップに関する内容はこちらの記事でも解説しています。
情シスが押さえておきたいセキュリティ情報の収集方法
サイバー攻撃の手口には、次々と新しいものが登場しています。情シスでは、起こり得る脅威や対策法について日ごろから情報収集を行うことが求められます。
▼情シスがセキュリティ情報を収集する方法
- セキュリティ速報を伝えるSNSアカウントをフォローする
- Googleアラート(※)を利用する
- セキュリティ関連のWebサイトを閲覧する など
官公庁やセキュリティ関連の事業を行う機関のWebサイトでは、インシデントの事例・対策に関する情報提供が行われているため、活用がおすすめです。
※設定したキーワードに関するWeb上の最新情報がメールで通知されるサービス
まとめ
この記事では、セキュリティ対策について以下の内容を解説しました。
- 情シスによるセキュリティ対策の重要性
- 情シスが取り組むセキュリティ対策
- セキュリティ情報の収集方法
ITインフラを安定稼働させて情報資産を守るには、情シスによるセキュリティ対策が重要です。ただし、ソフトウェアやツールを用いた技術的な対策から、従業員への教育に至るまでさまざまな対応が求められます。
自社の情シス部門だけでは手が回らないという場合には、ITアウトソーシング(業務代行)を活用することも一つの方法です。
『FGLテクノソリューションズ』の社内システム運用サービスでは、ITインフラの整備や保守管理、障がい対応など、IT分野の幅広い業務をサポートしています。情報漏えいやシステムの停止、データの消失などのリスクにも対応いたします。
サービスの詳細については、こちらから資料をダウンロードしていただけます。