America
America
KDDI America
近年セキュリティ分野の注目度が上がっています。サイバー攻撃、マルウェア、ランサムウェア、ゼロトラストなど、セキュリティに関連したさまざまな言葉を皆さんもよく耳にしたことがあるのではないでしょうか。さらに、大手企業がサイバー攻撃などの被害に遭い、社会に強烈なインパクトを与える事件も多く発生しており、世界中で紙面を賑わせ、我々の生活に大きな影響を与えたことも記憶に新しいかと思います。
すでに対策を講じられている企業も多いかもしれませんが、今一度セキュリティに関して検討、強化されてはいかがでしょうか?しかし、セキュリティ強化と言っても何をどのように強化すればいいのか、どこからはじめればいいのか、どのくらい費用がかかるのか、かければいいのかなど、さまざまな疑問があるかと思います。
そこで今回は、セキュリティ強化の第1段階として「自社のセキュリティレベルを知る」をテーマに、いま自社のセキュリティレベルがどこにあるのか、簡単な自社診断の方法や、脆弱性診断やペネトレーションテストついてお話します。
ビジネスにおけるIT 化が進み、企業の事業に係る機密情報や顧客の個人情報はどんどんとデータで管理するようシフトしています。データでの管理は便利な一方、そのパソコンがインターネットにつながっている限り、外部からの攻撃を受けるリスクがあります。そういった結果、不正アクセスによる機密情報漏えいは重大な情報流通や事故につながるので、堅牢な保護は必要不可欠です。つまり、そういったリスクを排除することが、セキュリティ対策の主たる目的と言えます。
さて、そんな情報セキュリティにはどんな脅威があるでしょうか。独立行政法人情報処理推進機構(IPA)は、以下の4つを主だった脅威としています。
1. ウイルス感染
ウイルスが含まれた添付ファイルやメールに記載されたURL を介して機密情報が盗まれる脅威です。感染に気づきにくいウイルスも出回っており、本人が気づかないうちに感染していることもあります。
2. 不正アクセス
企業のシステムの脆弱性をついてハッキングされるなどし、データベースやパソコンなどに不正にアクセスされます。個人単位でのパスワードの管理徹底や、脆弱性のないシステム構築が重要になります。
3. 情報漏えい
社内の機密情報が保存された USBや端末などの紛失、重要書類の誤破棄、メールの誤送信などのヒューマンエラーで自社データが外部に流出してしまう脅威です。外部からの脅威ではないために、社内側の情報セキュリティに対するコンプライアンス意識の向上が重要です。
4. 機器障害
サーバに障害が発生、バックアップ漏れなどの情報保管の安全性に問題があると起こり得る脅威です。徹底した管理をしていても、大規模停電などによる機器障害の可能性もあります。安定的に管理ができるように、予備システムの配備やバックアップをするなどの対策が重要です。
さて、セキュリティ対策について簡単に理解いただけたかと思います。ここからは、そのポイントとそのおもな方法について解説します。
はじめにセキュリティ対策におけるポイントについてです。大きく分けて以下3つのポイントにまとめました。
1. ウイルス対策の強化
テレワークの普及により、社内システムで守られていたデバイスが社外に持ち出されることが増え、環境変化による対策が求められています。ITシステムの末端にあるデバイスに対して、マルウェアの侵入や不正アクセスなどによる情報漏えいを未然に防ぐ目的があります。
2. 不正アクセスを防ぐ
外部からの侵入を防ぐためにソフトウェアの更新プログラムを適用して脆弱性のある環境を放置しないことや、アクセスの権限を必要最低限に留めるためにシステムへのパーミッションを正しく設定することは有効です。
3. 社員教育の徹底
社員への情報リテラシー教育も重要なポイントの1つです。社内の情報セキュリティに対しての意識が向上することで、怪しいサイトへのアクセス防止や不審なメールは触らないといった意識が醸成されます。また、不正アクセスがあった場合の対処法などの教育をしておくことで、万一の状況でも被害を最小限に抑える助けとなります。
4. データのバックアップ
さまざまな要因によって、企業の保持するデータが破損・消失する可能性があり、データが破損・消失する要因を100%防ぐことは不可能です。そのためデータの定期的なバックアップはとても重要です。そのため、その頻度、種類、そしてバックアップ先を明確にすることがデータの破損・消失のリスクを軽減してくれます。
昨今のセキュリティ脅威拡大の状況か、自社のセキュリティについて漠然とした不安を抱えている、何から着手すればいいかわからない、という企業のご担当者さま、経営層の方が多いのではないでしょうか。そういった場合、まず自社のセキュリティレベルの現状を確認することが必要です。また、外部に対して、「自社の情報セキュリティ体制が要求水準を満たすものである」とアピールする場合にも、自社のセキュリティレベルを客観的に把握することが必要です。 外部機関を利用し、客観的にレベル診断をしてもらうことも選択しにはあると思いますが、専門家による外部監査には費用がかかること、また業務に大きな影響を及ぼすため、それに合わせた内部の対応が求められます。そこでまずは、情報処理推進機構(IPA) の「情報セキュリティ自社診断」で社内のセキュリティレベルを測定することをおすすめします。
以下URLから、簡単な設問に答えるだけで、簡易的な診断が可能です。 無料かつ簡単に結果を出すことができるので、自社セキュリティの現状把握のファーストステップとして利用してみてはいかがでしょうか。
セルフセキュリティチェックはあくまで自身でわかる部分のみとなります。そこで、さらに踏み込んで自社のセキュリティ状況を把握するには、やはり脆弱性診断やペネトレーションテストといった手法を用いるのがおすすめです。どちらもセキュリティ対策の一環として実施される点では変わりありませんが、その目的と手法は大きく異なります。
脆弱性診断とは、システムに存在する脆弱性やセキュリティ的な不備を網羅的に検査します。システムやネットワーク内の潜在的な脆弱性の特定が目的であるため、検査範囲はペネトレーションテストよりも広範囲になります。既知の脆弱性に対しては効果的な一方、ゼロデイのリスクの検出には向いていません。
一方、ペネトレーションテストは、特定の意図をもつ攻撃者が攻撃に成功するかどうかを検証するテストです。検証対象のシステム構成などに応じて、想定される攻撃のシナリオを作成、実際に攻撃が成功するかどうかテストします。特定の脆弱性や問題点を発見することを目的としている点が脆弱性診断との大きな違いになります。
セキュリティとひとくちに言っても、どこから手を付けていいのかわからない、というのが各企業の大きな悩みであると思います。これらをひとつひとつ潰し、より強固なセキュリティ体制を構築するためにも、こういった「チェック」から実施してみるのはいかがでしょうか。
この記事に関するご質問等はmarketing@kddia.comまでお問い合わせください。
KDDIアメリカ(本社:ニューヨーク、CEO:延原 正敏)は、1989年に設立され、以降30年にわたりワンストップのICTソリューションを提供しています。米国に8拠点展開し、サービスエリアは北米だけでなく中南米もカバーしています。
お客さまに最適なデジタルトランスフォーメーションを実現するべく、近年は、既存のICTソリューションの提供だけでなく、アプリケーション分野におけるコンサル・構築などを強化しています。
こうした取組みをとおして、お客さまの挑戦を全力でサポートしていきます。
この記事、サービスに関するお問い合わせはお問い合わせフォームからご連絡ください。
KDDI America
中田 晃史 / Akifumi Nakata
Marketing Manager
2017年KDDI株式会社に新卒で入社。KDDIにおける事業継続計画(BCP)の策定に4年間従事。各省庁、関係機関との連携体制の構築や、災害時の通信早期復旧および事業継続に係る取決めなどを広く経験。2021年よりKDDIアメリカに出向し、マーケティングを担当。
独・フンボルト大学(ベルリン大学)および法政大学卒。専門は統計学、経済学。
)
あなたのお悩みに最適な解決策は?
KDDIのコンサルタントにご相談ください
