今回は情報セキュリティの対策の分類についてお話しします。
情報セキュリティの対策といっても多種多様な取り組みが必要になります。当然、セキュリティ対策の甘いところがあれば、そこから悪意のある攻撃を受けることになってしまうので、まんべんなく対応する必要があります。とはいえ、どこから手を付けていいかよくわからないといった相談を受けます。
そこで、脅威の内容をもとに対策の分類を行い、それぞれの視点で対策を立てるという順番をお勧めすることが多いです。今回は4つの視点で分類したものを紹介します。
脅威から考えて、全体をみる
まずは、脅威側の視点で考えると、最初に一般的なセキュリティ脅威として考えらえる技術的な脅威があります。具体的にはウイルス等のマルウェア、フィッシング詐欺、標的型メール、各種脆弱性をついた攻撃などがあります。
次に思いつくのが人的な脅威です。具体的には不慣れによる操作ミスもしくは悪意のある操作によるデータ消失やUSBメモリ等の移動できる保存媒体の紛失による情報漏えい、内部関係者のデータ搾取、メールの誤送信やソーシャルエンジニアリングと呼ばれる心理的な隙や行動ミスを狙った秘密情報の入手などです。人的脅威は意図的な脅威と偶発的な脅威に分かれます。
最後にこれが意外と忘れがちですが、物理的な脅威です。こちらも意図的な破壊や偶発的な事故による破損もあれば、地震、台風、火災といった自然的脅威、停電、漏水といった環境的脅威による損傷もあります。
これらの脅威ごとに対策を立てるのがわかりやすいですよね。つまり、大きな分類でいくと技術的対策、人的対策、物理的対策ということです。ただし、個別に対策を立てるだけでは連携が不十分なので、これをつなぐという意味で組織的(管理的)対策という4つ目があることが望ましいです。
技術的対策
では、まず技術的対策です。マルウェア対策のソフトは基本として、利用者のアクセス制限を行うための管理とID等の設定が必要です。さらにアクセス記録を残すことや外部からの不正アクセスを防ぐような機器の導入も有効だと思います。
物理的対策
次に順番を変えますが物理的対策です。これはITというよりもう少し広い意味での安全対策になりますが、入退室の管理(記録を含む)やそれに伴うドアの錠管理、盗難、窃視防止対策としての防犯カメラや監視装置、物理的に保護するための耐火耐水用ケースや専用室の設置といったことが考えられます。
技術的対策と物理的対策のどちらからでも考えられることとしてもしもの時のバックアップ体制や災害時の情報のBCP(事業継続計画)も策定しておくようにしましょう。特にバックアップからのリストア(復旧)を含む継続の訓練はやっておくと、いざという時に慌てず被害を最小限に抑えることができると思います。
人的対策
人的対策は守秘義務契約はもちろん、そもそもどの情報が守秘対象でその範囲はどこまでなのかをきちんと規定で決めておく必要があります。また、リモートワークはもちろん、現場からの自宅への情報の持ち帰りに対して業務の影響とセキュリティ脅威とのバランスを考えたルール決めも行う必要があります。
業務でのセキュリティとしてはいわゆるコンプライアンス(法令遵守)が基本となる以上その内容をしっかりと業務手順・基準の中に取り込んで浸透させる必要があります。
組織的(管理的)対策
組織的(管理的)対策としては、上記の対策を体系立てて、まとめたセキュリティに関する社内基準・手順やそのセキュリティ教育を行う仕組みづくり、さらにもしもセキュリティインシデント(問題)が発生した場合の体制も整えるとともに、外部専門家・企業との連携も事前に行っていく必要があります。
また、セキュリティに対する役割分担も決めておくことが望ましいです。この場合、業務での権限体系と別に情報システム関連の部署を中心とした体形にしておいた方がいざといったときに円滑な行動に移ることができます。
個別の脅威で対策を立てて、それを組織的につないで管理するといった流れで対策を検討しましょう。