情報セキュリティに関して、多くの人はあいまいに捉えている。「ウイルス対策ソフトがインストールされていればOK」「ファイアウォールがONになってればOK」など、そのぐらいの認識の方が多い。
実際のところはどうか?
実際のところ、情報セキュリティ対策は大きく分けて、以下のような5つの大枠に分けられる。情報処理安全確保支援士としては「1.組織的対策」「2.人的対策」「法的・コンプライアンス対策」を主軸に実施している。ワイズ情報技術サービス株式会社では1~5すべてに対応しているため、どのような課題にも対応しているが、一般的なシステムインテグレーターは「3.技術的対策」が主軸となる。
| 1 | 組織的対策(ガバナンス・運用) |
| 2 | 人的対策(教育・意識) |
| 3 | 技術的対策(システム・ネットワーク |
| 4 | 物理的対策(施設・設備) |
| 5 | 法的・コンプライアンス対策 |
それぞれのカテゴリの情報セキュリティ対策すべてを書くと膨大な情報となり読み切れないので、それぞれのカテゴリの情報セキュリティ対策がどのようなものか、概要を解説していく。
- 組織的対策(ガバナンス・運用)
<ルール作りや体制整備に関するカテゴリ>
情報セキュリティ方針(ポリシー)の策定
ISMS(情報セキュリティマネジメントシステム)の構築・運用
リスクアセスメントの実施(資産の洗い出しと評価)
インシデント対応体制(CSIRT/SOC)の整備
サプライチェーンリスク管理(委託先の監査など)
- 人的対策(教育・意識)
<「人」に起因する漏洩やミスを防ぐためのカテゴリ>
役員・従業員へのセキュリティ教育・研修
標的型攻撃メール訓練
守秘義務契約(NDA)の締結
内部不正の防止啓発
- 技術的対策(システム・ネットワーク)
<ITツールや技術的な設定による防御カテゴリ>
エンドポイントセキュリティ(PCのウイルス対策、EDRなど)
ネットワークセキュリティ(ファイアウォール、IDS/IPS、VPN)
アクセス制御・認証管理(多要素認証、ID管理)
脆弱性管理(OS・ソフトのアップデート、診断)
データ保護(暗号化、バックアップ)
- 物理的対策(施設・設備)
<物理的な侵入や破壊から守るためのカテゴリ>
入退室管理(ICカード認証、生体認証)
防犯カメラの設置
機器の盗難防止(ワイヤーロック、クリアデスクの徹底)
災害対策(耐震、UPS/自家発電装置)
- 法的・コンプライアンス対策
<法令遵守や権利保護に関するカテゴリ>
個人情報保護法への対応
マイナンバーの適正管理
不正アクセス禁止法、著作権法の遵守
業界ガイドラインへの準拠
何が最重要で何から手を付ければよい?
よく相談を受ける内容は「何を行えばよいかわからない」ということ。ある程度情報セキュリティの知識を有している方でも「何から手を付ければよいかわからない」という相談が多い。前者についてはここまで読み進めた方には、カテゴリの中の詳細を見返してもらえれば、ある見えてくる。問題は、何を行えば良いかが分かった後である。ほとんどの方が「何から手を付ければよいかわからない」と思ったはずだ。
実は情報セキュリティ対策はすべてが重要で、どれが欠けても駄目である。情報処理安全確保支援士であっても、個人や企業にとってどこから行うべきか、優先順位は見えていない。優先順位が見えてくるのは、リスク分析を行い、弱点が明確になってからである。自社の弱点を見つけるには、リスク分析や情報セキュリティ診断などを実施すると良い。
「リスク分析」または「情報セキュリティ診断」を実施すると、自社の弱点が見えてくると共に、サイバー攻撃を受けたとき、どの程度の被害が出るかざっくりと金額で表すことが出来るようになる。このとき簡単に対応できるセキュリティ対策か否かと、想定される被害額を表などにまとめ、優先的に対応すべき項目を決めていく。このあたりを専門家の意見を聞きながら実施すると、大幅に効率化できる。