情報セキュリティ対策の重要性とは？ 対策のポイントを紹介

情報セキュリティ対策とは

ISMSの国際規格である「ISO/IEC 2700ファミリー」では、情報セキュリティを、「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」と定義しています。

近年、クラウド化による外部への組織システム拡張や、日々進化するサイバー攻撃、テレワーク環境への対応などによって、情報の取り扱いが複雑化しています。管理者は、組織の環境にあった適切なセキュリティ対策を施さなければなりません。

情報セキュリティ対策の必要性

情報セキュリティ対策が必要とされるのは、次のような理由があるためです。

1. 組織を効果的に運営するため

今日、運営にITシステムを一切使用していない組織はごく少数でしょう。特に近年はシステムのクラウド化が急速に進み、組織の情報を外部のクラウド事業者の環境下で管理することもめずらしくありません。

また、クラウドサービスはインターネットがあれば利用できるという性質上、誤った設定になっていると第三者による情報へのアクセスを許してしまいます。ITシステムは便利なものですが、正しく活用して組織を効果的に運営するためには、情報セキュリティ対策が欠かせません。

2. 社会的信用を失わないため

情報漏洩をはじめとする情報セキュリティ事故が発生すると、企業の社会的信用が失墜する恐れがあります。

実際にマルウェア感染が原因で、顧客や従業員の個人情報を流出させた組織が世間からの信用を失い、その後の取引が中止となった事例もあります。

情報セキュリティ対策は、組織の情報を適切に管理し、社会的信用を維持するためにもなくてはならないものです。

3. 事業を継続させるため

情報セキュリティ事故が起きると、企業の社会的信用が失墜するだけでなく、事業そのものの継続が困難になることもあります。

サイバー攻撃によって業務システムが停止し、被害状況の調査に時間がかかるなど、多くの場合はセキュリティ事故によって本業がストップしてしまいます。健全な事業継続のためにも、適切な情報セキュリティ対策を施しましょう。

企業が行うべき情報セキュリティ対策

ここでは、企業が行うべき情報セキュリティ対策を具体的に紹介します。

ウイルス感染対策

パソコンやスマートデバイスには、ウイルス対策ソフトを導入しましょう。情報処理推進機構（IPA）が公開している「情報セキュリティ 5か条」でも、ウイルス対策ソフトの導入が掲げられています。

ウイルスに感染すると、資格情報（IDとパスワード）を盗まれたり、データが暗号化され復号のために身代金を要求されたりすることがあります。

組織のデバイスには必ずウイルス対策ソフトを導入し、BYOD（Bring Your Own Device = 私物機器を業務で利用すること）を許可している組織の場合は、それらのデバイスにもセキュリティソフトが導入されていることを確認したうえで使用を許可しましょう。

出典：情報セキュリティ 5か条｜情報処理推進機構（IPA）

不正アクセス対策

不正アクセスを防ぐには、ファイアウォールやIDS/IPSといったネットワークセキュリティが効果的です。

ファイアウォールとは、ネットワーク通信において必要な通信のみを許可し、それ以外をブロックする機器や機能のことです。IDS/IPSは、ネットワーク通信を監視し、怪しい通信を検知・ブロックする機器や機能を指します。

あらかじめ組織に不要な通信を排除することで、不正アクセス防止につながります。また、不正な通信を検知した際は、管理者側でブロックすることが可能です。

サーバー・システムへの攻撃の対策

サーバーOSやシステムは、定期的にアップデートしましょう。

サーバーはウイルス対策ソフトの導入に加えて、OSを最新の状態に保つことが大切です。古い状態で放置されたままのOSやシステムは、脆弱性を狙ったサイバー攻撃のターゲットになります。

また、残念なことにサイバー攻撃の手法は日々進化しています。重大な脆弱性の場合は数日アップデートが遅れただけで被害を受ける可能性もあります。WindowsアップデートやGoogle Chromeの更新プログラムなど、業務ツールのアップデートは迅速かつ漏れなく実施しましょう。

情報漏洩対策

情報セキュリティの脅威は、ウイルス感染や不正アクセスだけではありません。従業員による情報漏洩も、情報セキュリティ事故につながります。

具体的には、誤操作や盗難紛失、意図した情報の持ち出しなどです。情報漏洩を防ぐためには、情報セキュリティに関する社内方針やルールを定め、従業員に対して教育の場を設けることが大切です。

実施計画を立てて職務や役割に応じた教育カリキュラムを立案し、実施後には効果測定なども行いましょう。継続的に教育を実施することで、徐々に従業員のITリテラシーが向上していきます。

情報セキュリティ対策不足による被害事例

ここでは、情報セキュリティ対策を怠ったことによる被害の実例をいくつか見てみましょう。

資料請求の情報が漏洩した

大手エステ会社のホームページで、資料請求のために登録された3万件以上の個人情報が漏洩した事例があります。

Webサーバーへ適切なアクセス権が割り当てられていなかったことが、原因のひとつでした。本来であれば外部の人間に公開すべきでない情報が、誰でも閲覧可能な領域へ保存されていたことで、情報漏洩につながったのです。

出典：国民のためのサイバーセキュリティサイト　事例1｜総務省

ホームページが書き換えられた

企業や組織のホームページが書き換えられるという事例もあります。

ホームページの書き換えが行われる主な原因として、FTP（通信プロトコルの一種）やCMS（Webサイト制作のためのシステム）に安易なパスワードが設定されていることや、更新プログラムの未適用によって脆弱性をはらんだ状態で放置されていることなどがあげられます。

ホームページの書き換え被害を受けた組織は、「セキュリティ対策が十分でなかった」と評価され、社会的信用が失墜する恐れがあります。

出典：国民のためのサイバーセキュリティサイト　事例2｜総務省

顧客のメールアドレスが流出

あるメールマガジンサービスで、顧客のメールアドレスが漏洩した事例があります。

当該サービスでは、メールマガジン配信時に誤って宛先をすべてTOで設定しました。その結果、配信先のメールアドレスが多数の受信者に知られ、情報漏洩の事故につながったのです。

メーリングリストを用いてメルマガを送信する仕組みを作るなど、運用面で情報セキュリティ対策が十分に行われていなかったことが原因で起きた事例です。

出典：国民のためのサイバーセキュリティサイト　事例3｜総務省

中古パソコンによるデータ漏洩

中古パソコンから、ある医療機関のデータが漏洩してしまった事例があります。

中古パソコンを購入した一般の人が、市販のデータ復元ソフトを用いてハードディスク内のデータを復元したことで発覚しました。パソコンのハードディスクなどの記憶媒体に保存されているデータは、通常の操作で削除しただけでは消えません。専用のソフトを用いたり、業者に依頼したりして、適切に廃棄する必要があります。

出典：国民のためのサイバーセキュリティサイト　事例5｜総務省

情報セキュリティ対策についてのまとめ

情報セキュリティ対策の重要性や対策のポイントをわかりやすく紹介しました。

普段は特に課題を感じていなくても、ひとたび事故が起きてしまうと取り返しが付かない事態になるのが、情報セキュリティ事故の怖さです。

企業のIT部門を中心に適切な情報セキュリティ対策を行い、各部門のトップが情報セキュリティに対する高い意識を持ちましょう。それを従業員に伝えていくことで、企業全体のITリテラシーが徐々に向上していくでしょう。