企業における情報セキュリティ対策には、大きく分けて3つのステップがあります。
このステップを順番に踏むことで、企業が脅威によるダメージを受ける可能性は大きく軽減されます。
「情報セキュリティ対策って、具体的にどんなことをすればいいの?」と悩んでいる企業は、ぜひ参考にしてください。
情報セキュリティ対策における3つのステップ①脅威のことを知る
企業の情報セキュリティ対策は、まず脅威のことを知るところから始まります。
具体的には、脅威の“種類”、脅威の“影響”や“リスク”、そして脅威によって引き起こされた“情報セキュリティ事件”について知ることですね。
それぞれ具体的に解説しましょう。
① 脅威の種類を知る
企業におけるデータや情報システムなどの資産に対して、損失や影響を与える直接的な原因のことを“脅威”と言います。
また、一口に脅威と言っても、その種類はさまざまであり、具体的には、標準型攻撃やビジネスメール詐欺、ランサムウェア、サプライチェーン攻撃、内部不正などがあります。
② 脅威の影響、リスクを知る
脅威について知るのであれば、種類だけでなく、各脅威が企業に与える影響やリスクなども併せて知る必要があります。
例えば、標準型攻撃の被害に遭えば、企業の内部情報が窃取される危険性がありますし、ランサムウェアに感染すれば、金銭を要求されたり、業務妨害に遭ったりする可能性があります。
③ 情報セキュリティ事件について知る
脅威のことについて知るためには、最近発生した情報セキュリティ事件をチェックすることも忘れてはいけません。
例えば、昨年12月に発生した、神奈川県での大規模な個人情報漏洩事件は、委託従業員によるハードディスクの不正転売が原因で発生しました。
このように、大々的に報道された情報セキュリティ事件については、必ず概要を把握しておきましょう。
情報セキュリティ対策における3つのステップ②脅威を予防する
脅威のことを十分に理解した後は、脅威を予防するための策を講じる必要があります。
具体的には、以下のような予防策ですね。
① 適切なセキュリティポリシーの策定
セキュリティポリシーとは、企業が情報セキュリティの安全性を維持するための指針、方針を定めたルールのことを言います。
これは、企業において必要不可欠なものであり、主に以下のような手順で策定されます。
情報セキュリティ委員会を設立する⇒策定スケジュールを立てる⇒基本方針を定める⇒情報資産を洗い出し、リスクを具体化する⇒各担当者が個別的対策、ガイドラインを策定する
② 従業員への意識付け
どれだけ適切なセキュリティポリシーを策定できている企業であっても、従業員の意識付けができていなければ意味がありません。
そのため、従業員全員がセキュリティポリシーについて学ぶ機会を設け、遵守しなかった場合の責任などに関しても伝える必要があります。
③ 予防ツール、ソフトの導入
企業の情報資産を脅威から予防するには、予防ツールやセキュリティソフトの導入も欠かせません。
これは、基本的な予防方法でありながら、適切な情報セキュリティ体制を構築するにあたって、なくてはならないものです。
情報セキュリティ対策における3つのステップ③脅威に対処する
情報セキュリティ対策の中には、企業が脅威の被害に遭ってしまったときの正しい対処法も含まれます。
具体的には、脅威の“検知”、“除去”、そして“再発防止”です。
詳しく見てみましょう。
① 脅威の検知
もし企業の情報システムなどに異常が確認された場合は、素早く脅威の検知をしなければいけません。
ただ、検知ツールやセキュリティソフトを導入していれば、企業の情報システムなどに異常をきたす前に検知してくれるため、企業自体が何か対処しなければいけない場合は少ないでしょう。
② 脅威の除去
適切と思われる情報セキュリティ体制を構築していたにも関わらず、脅威の被害に遭ってしまった場合は、直ちに除去することを考えます。
例えば、ウイルスに感染してしまった場合は、他のパソコンへの被害を防ぐため、早急にLANケーブルを外し、ネットワークから遮断します。
その後、ウイルス対策ソフトを使用してチェックをし、ウイルスが見つかった場合は、ソフトの指示に従って除去します。
③ 再発防止
企業が脅威の被害に遭ってしまったら、適切に脅威の検知や除去をするだけでなく、再発防止に向けた取り組みをしなければいけません。
脅威の被害に遭ってしまったということは、適切であると思われていた情報セキュリティ体制に、何らかの欠陥があった可能性が高いと判断できます。
そのため、まずは脅威の被害に遭った原因を徹底的に調査し、再発させないためにはどうすればいいのかを考えましょう。
まとめ
情報セキュリティ体制をより強固なものにしたい企業は、“おまかせサイバーみまもり”の導入を検討しましょう。
これは、NTT東日本が提供するUTM、復旧サポートサービスであり、リーズナブルな価格での導入が可能です。
また、情報セキュリティに関する運用はNTT東日本が代行してくれるため、担当者がいない小規模な企業でも気軽に導入できます。
