今や生活で欠かせないものとなったインターネット。
情報がすぐに手に入り便利になった一方で、「大切な情報が盗まれる」というリスクも常に頭に入れておかなくていけません。
ご家庭だけで使っているパソコンであれば、ウイルス対策ソフトをインストールさえしていれば十分と考えられている人も多いですが、企業ではそうはいきません。
そこで今回は、なぜセキュリティ対策が必要なのか、実際に企業を守るために必要なセキュリティ対策などをご紹介いたします。
セキュリティ対策が重要な理由
企業は会社の情報だけでなく、大切な顧客情報も扱っています。
そして、企業はそれらの情報を守る責任があります。
万が一、情報漏洩や紛失などを起こしてしまうと会社の信用が失われるだけでなく、損害賠償を請求され社会的責任を問われる可能性もあります。
そこでこの章では、セキュリティ対策を怠るとどのようなリスクがあるのかご紹介いたします。
主要なリスク
主要なリスクとしては、「サイバー攻撃」「内部不正による情報漏えい」「うっかりミスによる情報漏えい」が挙げられます。
どれも滅多に発生しないことのように思えますが、実際にウィルス感染や情報漏えいによるトラブルは多発しています。
そして、そのほとんどが「データ管理を怠っていたこと」が原因です。
そのため、リスクを把握しておくことは非常に重要と言えます。
ここからは、それぞれのリスクについて詳しく解説します。
サイバー攻撃
企業の顧客情報は、外部から狙われる可能性がある重要なデータです。
そのため、セキュリティ対策をしていないと、ネットワークを通じて不正にアクセスされ「個人情報の窃盗」「データの改ざん」などの被害に遭うリスクがあります。
このようなサイバー攻撃はターゲットとなる企業を絞り狙ってくる場合もあれば、不特定多数を狙っている場合もあります。
いずれにしても、企業はセキュリティ対策をして情報を守る義務があります。
内部不正による情報漏えい
情報漏えいが発生する多くの原因は、内部不正によるものです。
「従業員がデータを持ち出し転職した競合他社へ渡す」「派遣社員が個人情報を持ち出し売却」「元従業員が遠隔から機密情報を取得する」などの事件が実際に発生しています。
動機は様々ですが、内部の従業員による不正行為は、企業にとって大きな損害を発生させてしまいます。
そのため、情シス担当者に任せっきりにして「担当者以外にITシステムについて分かる人が誰もいない」といった状況にならないように、社内体制を強化する必要があります。
従業員のうっかりミスによる情報漏えい
従業員が故意的に情報を持ち出す以外に、うっかりミスによって情報が漏えいするという事例も多く発生しています。
「メールの宛先間違い」「パソコンの紛失や盗難」「システム操作ミス」「無断で不正なアプリをインストール」などのミスが情報漏洩につながります。
パソコンやタブレットを使用して業務をしている以上、常に情報漏えいのリスクがあることを意識し、セキュリティ対策を行わなければいけません。
情シス担当者がとるべきセキュリティ対策とは?
前章ではセキュリティ対策を怠ることで発生する様々なリスクをご紹介しました。
この章では具体的にこれらのリスクを軽減するために、どのように対策方法が有効かをご紹介していきます。
企業を守るために情シス担当者だけでなく、経営者もこれらのセキュリティ対策を行うことが必須です。
徹底したIT資産管理
PCやソフトウェア・サーバー・ネットワークなど企業が活動を行う上で欠かせないIT資産。
これらの管理が適切にできていなければ、「外部から攻撃されても気づかない」「ウイルス対策ソフト等の更新が漏れてしまう」などの恐れがあり、結果として情報が漏洩してしまうリスクが高まってしまいます。
そのため、情シス担当者は徹底したIT資産の管理が求められます。
インターネットやメール利用のルール整備
インターネットやメールは、外部からの攻撃やウイルス感染などの被害を最も受けやすいツールです。
不審なサイトやメールに添付されているURLを開くと、PCにウイルスが感染してしまうような被害が多く発生しています。
そのため「心当たりのない宛先からの添付ファイルは開かない」「不審なサイトへのアクセスは禁止」など細かいルールを定め、会社全体でセキュリティ対策に取り組むことが重要です。
社員のセキュリティリテラシー向上
情シス担当者だけがセキュリティ対策に取り組んでいても、十分なセキュリティ対策とはいえません。
利用する社員一人ひとりが危機意識を持ってセキュリティ対策に取り組まなければ、様々なルールが面倒な作業になってしまうからです。
そのため、情シス担当者は社員のセキュリティリテラシーを高めるために、定期的に研修を行うなどして日々教育していく必要があります。
導入を検討すべきサービス
セキュリティ対策を万全にやっていても、また新たな攻撃技術が生まれる。
そして、新たな攻撃に対応するために、さらにセキュリティ対策を強化する。
というようにセキュリティは防衛と攻撃のいたちごっこと言われています。
そのため、情シス担当者は、セキュリティ対策を強化するために様々なサービスの導入を検討していく必要があります。
IT資産管理ツール
徹底したIT資産管理がセキュリティ対策に繋がると前章では述べました。
しかし、複雑なIT資産を手作業で集計し、管理することは会社の規模が大きくなればなるほど難しくなります。
そこで、自動的にIT資産を管理してくれるツールを導入する企業も近年は増えてきています。
IT資産管理ツールは、パソコンにUSBやスマートフォンなどの機器を差し込んでも認識しない、許可していないPCからの社内ネットワーク接続を遮断する、などのセキュリティ対策にも対応できる豊富な機能がついているものも数多くありますので、目的に合わせて選定することが重要です。
WAF
自社のWebサイトやアプリケーションを運営している企業も多いと思います。
それらのツールを保護するために有効なのが、WAFです。
WAF(ワフ)とはweb Application Firewall(ウェブアプリケーションファイアウォール)の略で、Webアプリケーションの不正アクセスや侵入を防ぐセキュリティ対策として近年注目されています。
WAFは大きく分けて3つのタイプがあり、会社の規模や目的に合わせて選択しなくてはいけません。
アプライアンス型
「アプライアンス」という専門サーバーを設置するタイプで、導入するにあたり初期費用がかかること、専門知識がないと運用が難しいことがデメリットですが、一度導入してしまえば台数に制限がないことがメリットです。
ソフトウェア型
Webサーバーにソフトウェアをインストールして導入するタイプで、アプライアンス型に比べ初期費用がかからず簡単に設定ができることがメリットです。
しかし、サーバーの台数ごとにインストールしなくてはいけないので、台数が多い場合は設定の手間や費用も多くかかってしまいます。
また、アプライアンス型同様、運用に専門知識が必要です。
クラウド型
初期費用や定額費用を支払いし、セキュリティシステムの運用をクラウド上でしてもらうタイプです。
専門知識を持った担当が必要だったアプライアンス型やソフトウェア型に比べ、運用をすべて任せられるので専門知識がなくても導入できることが最大のメリットです。
しかし、自社で運用しないため自由にカスタマイズが出来ないことがデメリットとなります。
IDS/IPS
IDSやIPSはネットワークやシステムを狙った外部からの攻撃に有効なセキュリティ対策です。
ファイアウォールはIPアドレスやアクセス先をチェックするのに対して、IDS/IPSはパケットの中身を見て、不正なアクセスではないかチェックすることができます。
それぞれ攻撃に対してのアクションが変わりますので、詳しくご紹介します。
IDS
IDSはIntrusion Detection Systemの略で、不正侵入検知システムとも呼ばれています。ネットワークやシステムに不正なアクセスがあった場合、管理者へ通知で知らせてくれます。
タイプはネットワークに設置する「ネットワーク型」とサーバーにインストールする「ホスト型」の2種類があリます。
IPS
IPSはIntrusion Prevention Systemの略で、不正侵入防止システムとも呼ばれています。
ネットワークやシステムに不正なアクセスがあった場合、通知して知らせるだけでなく遮断までしてくれます。
IPSのタイプもIDSと同様、「ネットワーク型」と「ホスト型」があります。
IT業務全体のアウトソーシング
セキュリティ対策の重要性は理解していても、情シス担当者が忙しくて手が回らない、ITの知識がある情シス担当者がいない、などの理由で思ったように対応できていないという企業も多いと思います。
そのような場合は、IT業務全体のアウトソーシングを検討してみるのも一つの手です。
アウトソーシングすることで、専門的な知識や技術を持った人材、最新の設備などで質の高いセキュリティ対策を低価格で受けることができます。
さらに、自社の情シス担当者がセキュリティ対策だけでなく、その他の重要な業務に取り組むことができるということもアウトソーシングするメリットです。
セキュリティリスクに備える「こだまシステムのITサポート」
こだまシステムのITサポートは、メガバンクや政府金融機関のシステム構築や運用を担当しており、高い評価をいただいております。
金融機関のシステムは止まったたり、情報漏洩してしまったりすると信用が失われ、経済的ダメージを大きく受けてしまいます。
さらに、金銭があることが明白なため他の業種よりサイバー攻撃を受けやすい傾向にあります。
そのような金融機関でシステムの安定運用を提供してきた実績があり、セキュリティ対策を強みとしています。
また、トラブルが発生する前にシステム改善を実施し、リスク回避するなど常に生産性を低下させない環境づくりを提案いたします。
まとめ
これまで「会社や顧客の情報を盗まれる」というような被害に遭うのは、大企業というイメージをお持ちの方も多かったのではないかと思います。
しかし、近年は高度なセキュリティ対策をしている大企業を避け、中小企業が狙われるというケースも増えてきております。
そのため「うちのような中小企業には関係ない」とこれまでセキュリティ対策を重要視してこなかった企業も対策が求められています。
情シス担当者にとって企業の情報を守ることは大切な役割ですが、様々な業務と遂行してこれらのセキュリティ対策に関する業務を全て行うとなると大変な負担がかかります。
しかし、今回ご紹介したツールやアウトソーシングを導入することで、セキュリティの強化や情シス担当者の負担を軽減することが可能です。
