こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
プライバシーマークや、ISMSといった認証を受ける企業もいまや当たり前の時代です。企業の担当者が社内のセキュリティ対策として行える取り組みとしては、ソフトウェアの導入、ファイアウォール等ネットワーク上の対応があげられます。企業規模にもよりますがインフラ部門の人員が揃っていれば、社内のリソースのみで対策することが可能です。しかし、組織体制が手薄であったり専門の人材がいない場合、外部のサービスを利用する選択肢もあり得ます。本記事では、企業セキュリティサービスを導入する5つメリットに加えて、企業セキュリティサービスを導入するポイントについて触れていきます。
企業セキュリティサービス導入について
情報セキュリティサービスとは
セキュリティサービスにはさまざまなサービスが付帯しているため、情報セキュリティサービスの定義が難しく実際にどのようなサービスがあるかを以下に記載します。
ネットワーク監視
正常に通信が行われているか、不正アクセスがないか等のモニタリング・可視化、社員が不適切なサイトにアクセスしていないかなどの監視。
バックアップ
社内の貴重なデータなどを外部に保管する。
セキュリティ診断・訓練
法令やガイドラインに沿って、社内の状況を分析・評価し、結果によっては訓練や教育を行う。
上記の情報セキュリティサービスは、業種問わずテレワーク・リモートワークの機会が拡大していますので、オフィス内だけ管理していればいいいという状況でもなくなりました。端末がどこにあっても、広い意味でのエンドポイントとして管理をする必要がでてきています。
企業が情報セキュリティを導入する背景
企業が情報セキュリティを導入する背景としては、人的ミスだけではなく外部から悪意のある攻撃が巧妙化しているという一面があります。正直、この問題に関してはセキュリティソフトを導入しただけで安心とはいえません。また、そのたびに事後対応が発生し、対策に時間をかけたり、教育に時間をかけたりしているようでは、管理運営費がかさみます。情報セキュリティの導入で重要なのは、セキュリティの予防、被害もコストもいかに少なくできるかということです。
企業がセキュリティソフトを導入する理由
企業が情報セキュリティを導入する背景を、より具体的に落とし込んでいきます。日々の業務で発生しそうなシーンを出してみます。
- PC間のファイルを移動したいときに、私物のUSBを使用しても問題ない。
- 支払情報の更新といったメール文面に誘導されて、口座情報などを打ち込んでしまう。
- 無料の外部ストレージで業務データのやり取りを行っていたら、気づかぬうちにマルウェア、ランサムウェアの被害にあっていた。
- 何気なくインストールしたスマホアプリをきっかけに、機密情報が抜き取られた。
- 誤ったアドレス にメールを送信してしまった、誤った添付ファイルを送信してしまった。
このような行為を外的・内的どちらも考慮しながら解決できるような取り組みとして、セキュリティソフトの導入が有効的と判断されています。
セキュリティサービスの導入時のチェックポイント
セキュリティサービスは、目に見えるものではないので、選びづらいという印象があるかもしれませんが、機能、性能、コスト、サポートといった各要素で選んでいくのも重要な作業です。ここでは、セキュリティサービス導入時に重要な2つのポイントについて触れていきます。
セキュリティ基本機能の有無
セキュリティ関連のサービスには、クラウド基盤をベースにしたものもあります。当然インターネット上で通信をするので、ログインする場合の認証(2段階など)や、通信自体の暗号化(セキュリティの高い設定をした上でのSSL通信)を設定しておく必要があります。この「認証」と「暗号化」の機能がないセキュリティサービスは論外です。セキュリティ機能の基盤といえる基本機能が搭載されているかのチェックは忘れないようにします。
データの保管・バックアップ機能の有無
セキュリティサービスの導入時のチェックポイントとして「バックアップの有無」も重要な指標です。1ヶ所に保管しておくだけでは、社内の設備に何か不具合があった際など緊急事態に対応ができません。しかし、毎日手動でコピーを行うのは相当な手間ですので、定時で設定できるようなバッチを設定しておくのもひとつです。サービス自体をクラウド上のデータセンターとつなげて展開しているようなものもあります。
ただし、客先のデータを保管しておくといった場合には、社内の管理体制はもちろん、そのデータセンターのファシリティーやサービスそのものの開示を求められる場合もあるので、いつでも対応できる準備が必要となります。
企業がセキュリティ環境を整える5つのメリット
対策によるメリットについて、もう少し記載していきます。例えば、最近では社内でWEBアプリケーションを利用している場合などに、WAF(Webアプリケーションの脆弱性を突いた攻撃からWebサイトを安全に保護するセキュリティ対策)の導入が進んでいます。通常のファイアウォールよりも効果が高いもので、Webハッキング遮断、情報漏洩防止、 不正ログイン防止、Web改ざん防止といった機能があります。これらの機能により企業のセキュリティ環境がどう変わり、どのようなメリットを得られるかについて触れていきます。
スパムメールの自動削除
スパムメールについては、ソフトウェアの機能でできる対策があります。アドレスはもちろん、添付ファイル、文面や文中のリンクなどを判断し、自動的に振り分けできるような機能です。不用意に開いてしまうといった事故を減らすことが期待できます。
サイバー攻撃リスクへの予防
サイバー攻撃リスクへの予防としては、社内で使うツール、ソフトをホワイトリスト/ブラックリストで分類し、管理する手法も有効です。ホワイトリスト以外はインストールさせないといった制御ができるソフトウェアがありますので、スマホ利用の場合もうまく組み合わせて管理できます。
外部メディアのウイルスチェック
デバイスについても同様に、物理的な外部メディアについても同じことができます。許可されたデバイスしか接続できない、書込ができないといった制御をそれぞれ設定できます。それでも万が一ウィルスが見つかった場合には、いち早くその端末を社内ネットワーク上から隔離し、被害を最小限にとどめるといった迅速な行動ができる体制も整えておきます。
悪意のあるソフトウェアや悪質なコードの特定
マルウェア、ランサムウェアといったものも、巧妙な手口で、日進月歩で攻撃してきます。ソフト側の制御としては、パターンファイルという仕組みで日々最新の情報に更新しておき、既知のウィルスについては特定・対処ができます。古いままで最新情報いアップデートしておくことが前提ですので、これを怠らないようにします。
被害の範囲予想
インシデント、障害が起こった時の体制・行動指針を明確にしておくことも重要です。順番としては、
- 検知ができているか
- 検知したらどうするか(何を優先的に守るか)
- 解決した後の見直し、フィードバック
といったものが考えられます。
被害範囲をいち早く予想するためには、上記の手順にそって障害範囲を予想します。
セキュリティ対策サービスを導入しない場合の被害
上述でご紹介した対策ができていないと機密情報、顧客情報、特にクレジットカードなど比較的短い時間で被害が出やすいものの漏洩の恐れがあり、取り決めによっては賠償にまで発展することも想定されます。当然その対処をしている間の売上へのダメージは大きいものになるため、2次、3次の被害まで広がってしまうリスクもあります。
さいごに
サイバー攻撃への対策
サーバー攻撃から企業情報を守る第一歩として、社内、顧客との取引で機密情報の契約をきちんと定めておくこと。その上で適切なセキュリティ対策を行い、導入だけで終えるのではなく定期的に見直し、改善ができる体制を整えておくことが重要です。どのようなソフトを選ぶかについても様々な指標がありますので、きちんと情報を整理し、計画的に進めていくことが求められるセキュリティ対策です。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
