セキュリティ対策が重要な理由は？リスクと実施方法・ポイントを解説

情報社会の発展により、IT技術は日々進歩し、私たちの生活になくてはならないものとなりました。
しかし同時に、システムの誤作動や情報の漏洩などによって被る被害の範囲も拡大しています。

情報システムにまつわるリスクを排除するべく、いまや多くの組織にセキュリティ対策の担当者が存在しています。
とはいえ、担当者として任命されたものの、「組織におけるセキュリティ対策」とはつまりどういったものなのか具体的なイメージがついていない方もいるのではないでしょうか。

本記事では、セキュリティ対策が必要な理由からその実施方法までを詳しく解説していきます。
いまからセキュリティ対策を検討する方にも、現在のセキュリティ対策を改めて見直したい方にもおすすめです。ぜひ最後までご一読ください。

セキュリティ対策とは

そもそも「情報セキュリティ」とは、組織が保有する機密情報や、それらを記載した紙媒体・保存しているPC・USBメモリなどのデバイスといった情報資産をさまざまな脅威から守ることです。
では「さまざまな脅威」とは何かというと、下記の3指標に対するリスクを指します。

ちなみに、これらは日本国内の情報セキュリティマネジメントにおける認証基準「JIS Q 27001」でも重要な指標として採用されています。組織のセキュリティ担当者は、これらのバランスを鑑みながら各リスクに対応することが求められます。
これが、いわゆる「セキュリティ対策」です。

セキュリティ対策をおこなわないとどうなる？

セキュリティ対策にはコストがかかりますが、直接的な利益を生むものではないことから、予算の割り振りも後回しにされがちです。特に小規模の組織では、資金的・人的リソースの不足から、セキュリティ対策をおこなわないという選択をするケースもゼロではないでしょう。

しかし、いまやどのような業態であっても、情報システムを活用しないことはあり得ません。これらに対するセキュリティ管理を疎かにしてしまった場合、主に下記のようなリスクが発生する可能性があります。

不正アクセス

不正アクセスとは、ネットワークを介して本来与えられた権限以上の操作を意図的におこなう行為を指し、システムのセキュリティホールを突いた攻撃により侵入する方法や、不正にIDやパスワードを入手したうえで侵入する方法などが存在します。
一度侵入されてしまえば、マルウェア感染や情報漏洩、システム破壊といったあらゆる攻撃に発展してしまう非常に危険なリスクです。

不正アクセスの対策方法として、いままではファイアフォールなどのフィルタリング技術が一般的でした。これは組織の内外を区切る「壁」を作って、内部の情報資産を守るという考え方（境界防御モデル）です。
しかし、昨今ではクラウドストレージなどの外部サービスに情報資産を保管していたり、社外からモバイル端末を用いてデータにアクセスしたりするケースも増えており、現在はこういったファイアウォールによる対策のみでは追い付かなくなっています。

マルウェア感染

マルウェアとは、悪意を持って作成されたプログラムの総称です。広義では「ウイルス」と呼ばれることもあります。
マルウェアには、USBメモリなどの記憶媒体などから感染する「媒体感染」と、電子メールやWebサイトなどから感染する「ネットワーク感染」といった感染経路が存在し、保有する機能も多様化の一途をたどっています。

マルウェア攻撃では、情報リテラシーの低い利用者の行動が狙われがちです。不用意なメール開封やWebサイトの閲覧、私物USBメモリの使用といった行動が、マルウェア感染を引き起こす一因となりえます。

情報漏洩

組織の持つ重要データが何らかの原因で外部に漏れてしまうです。

営業ノウハウや技術情報が漏洩した場合には組織の競争力低下を招き、住所やクレジットカード情報といった顧客情報が流出すれば、事業主に対し法的責任まで問われるケースもあります。
そのほか、組織としてのブランドイメージ失墜や、それに伴う新規顧客獲得機会の喪失など、情報漏洩の影響範囲はあらゆる分野に及びます。

情報漏洩がおこる原因としては、外部からの攻撃による情報窃取や内部犯による情報持ち出し、悪意のないヒューマンエラーなどが一般的です。組織のセキュリティ担当者は、内外に潜む脅威に対してそれぞれ対策をおこなう必要があります。

情報漏洩対策の重要性や対策については、下記の記事もご覧ください。
【参考】情報漏洩対策の基本はIT資産管理から。そのポイントを徹底解説！

情報の改ざん

不正アクセスなどによって、情報の改ざんがおこなわれる可能性もあります。

主な情報改ざんの事例としては、組織のWebサイトに対する改ざんが挙げられます。意図しない情報を発信してしまったり、クロスサイトスクリプティング（XSS）やクロスサイトリクエストフォージェリ（CSRF）といった攻撃に利用されたりするケースです。
もしこのような情報改ざんが発生してしまえば、組織のイメージダウンや取引先への信用失墜などに繋がり、最終的には企業利益の減少にまで発展してしまいます。

ちなみに、Webサイトにおける情報改ざんの原因は、FTPサーバのパスワードに対するずさんな管理や既知の脆弱性の放置などが大半であると言われています。基本的なセキュリティ対策を怠ったことにより、多くの企業が莫大な損失を被っているのです。

セキュリティ対策をきちんと実施することで、上述のリスクから身を守れるようになります。
保持したいセキュリティレベルと投資できるコストのバランスを鑑みながら、少しずつでもなんらかの対策は実施するようにしましょう。

セキュリティ対策の目的

ここからは具体的な対策方法をご紹介していきますが、その前に一度セキュリティ対策の目的を整理しておきます。セキュリティ対策はあくまでもリスク回避の手段にすぎません。対策をやっていくうちに「手段の目的化」がおこらないよう、目的をあらためて明確化することは大切です。
セキュリティ対策の目的は、全部で3つあります。

目的①：情報資産の保護

セキュリティ対策をおこなう大きな目的の一つは、組織が保有する機密データや、それを記載・記憶する各情報資産を脅威から守ることです。
ちなみに、守るべき重要な「機密データ」というと個人情報や顧客情報がピックアップされがちですが、技術ノウハウなどのいわゆる「営業秘密」も立派な機密データと言えます。

個人情報漏洩によるリスクが大きく取り沙汰されがちですが、自社独自の製品を模倣されてしまう・顧客を横取りされてしまうといった事案を防ぐためにも、情報資産の保護は組織運営にとって非常に重要です。

目的②：顧客や従業員からの信頼獲得

組織としてセキュリティ対策を真摯に実行している姿勢を見せることは、顧客からの信頼獲得につながります。反対に、セキュリティ対策を怠ったことによってインシデントが発生すると、信用失墜やそれに付随する顧客離れ、士気の低下による内部の従業員離れなどは避けられません。
セキュリティ対策には、信頼を獲得するのと同時に、組織内外からの信頼を失わないようにするという目的も存在するのです。

目的③：企業の競争力強化

目的①と②の結果として、セキュリティ対策は組織の経営体質強化にもつながります。
最近ではサプライチェーン攻撃への懸念から、取引先にも十分なセキュリティ対策の実施を求める組織が増えてきています。つまり、セキュリティ対策実施の有無が、市場での競争力に直結してきているというわけです。

昨今のセキュリティ市場には、さまざまな製品やソリューションが溢れています。セキュリティ対策をおこなう際にはどうしてもそれらを導入することに重きを置きすぎてしまい、「強い組織を作る」という本来の目的をつい見失いがちです。

セキュリティについて検討する途中で、なにをすればよいのかわからないと迷ってしまったときは、まず上記の目的を思い出してみましょう。そこから、下記の対策例なども参考にして手法を検討していくことをおすすめします。

主なセキュリティ対策の方法

セキュリティ対策を検討する場合、「なにを」「どういうリスクから守りたいのか」、そのリスクは「どういった状況で顕在化するのか（＝脆弱性が生まれるのか）」などと整理していくことで、おのずとおこなうべき施策が見えてきます。

その企業や団体によって、守りたい情報資産の内容や性質はさまざまです。よって、セキュリティ対策は他組織のものをそのままコピーしてしまえばよいというものではありません。対策内容はあくまでも各組織で検討される必要があります。

しかし、もちろん多くの組織で採用されるスタンダートな施策が存在するのも事実です。
ここでは参考までに、組織で実施されることの多いセキュリティ対策についてご紹介します。

ソフトウェア・OSのアップデート

組織で利用しているソフトウェアや端末のOSを、常に最新の状態に保つという対策です。いわゆる「パッチ適用管理」を指します。
パッチ適用をおこなうことで、ソフトウェアやOSのリリース後に発見された脆弱性に対し、修正用プログラムの上書きが可能です。これによって、セキュリティホールの発生を阻止し、不正アクセスなどのリスクから端末を保護します。

そのほか、パッチ適用の重要性や効率のよい管理方法については、下記の記事もご参照ください。
【参考】パッチ管理のやり方とは？社内PCを効率よく管理する方法を解説

パスワード管理

組織の情報資産にアクセスするためのパスワードは、適切に管理される必要があります。
パスワード管理では、下記のような対策が有効になります。

パスワードの漏洩による不正アクセスでは、当然ながらまず「パスワードを窃取する」ための攻撃がおこなわれます。
有名なものでは、考えられうるすべてのパスワードの組み合わせを試す総当たり攻撃や、利用されがちな単語をデータベース化（辞書化）して、そのなかから組み合わせを試す辞書攻撃などが挙げられます。また、内部の人間によってメモからパスワードを盗まれたり、肩越しにパスワードを盗み見られたりといったアナログな脅威も忘れてはいけません。

上記の対策は、これらの攻撃から身を守るためのものになります。
多くのユーザーがパスワードを利用し、管理が煩雑になる場合は、パスワード管理ツールの利用も検討するとよいでしょう。

アクセス権の管理

パスワードと一緒に運用されることが多いユーザーIDについても、組織による適切な管理が必要です。
具体的には、それぞれのユーザーIDに割り振られた「アクセス権限」の管理が求められます。

アクセス権の管理をおこなううえでの基本原則は、「最小権限の原則」と呼ばれます。これは、必要な人に、必要なだけの権限を、必要なときのみに与えるという考え方です。

アクセス権の管理には、情報資産の重要度にあわせたアクセス権限を各ユーザーへ付与するだけでなく、必要に応じたアクセス権の変更／削除も含まれます。特に、異動・退職のタイミングでは必ずアカウントの権限を見直しましょう。
また、定期的にアクセス履歴をチェックし、不審なログインがないかを確認するプロセスも大切です。

これらの対策をおこなうことで、内部からの不正アクセスや情報漏洩、データ改ざんを未然に防げるようになります。
加えて、各ユーザーが閲覧できるデータの範囲が限定されるため、外部からのアカウント乗っ取りに対し、機密データにたどり着く可能性を下げることにもつなげられます。

ウイルス対策ソフトの導入

マルウェア感染の脅威には、ウイルス対策ソフトウェアの導入が有効です。
ウイルス対策ソフトは、パターンファイルというウイルスの特徴を蓄積したデータベースを持っています。それを用いて、各端末で作動している各プログラムに対して検索をおこない、同じ特徴を持つものがないかを監視しているのです。

パターンファイルは常にソフトウェアベンダーによって更新されているため、ウイルス対策ソフトを導入する場合は更新機能をオフにしないようにしましょう。

ただし、パターンファイルを用いたウイルス対策ソフトでは、パターンファイルに情報のあるマルウェアしか検出できません。それを受けて、近年では「ふるまい検知」といったパターンファイルにとらわれない検知システムも登場しています。
守りたい端末のネットワーク状況や考えられる脅威の種類に合わせて、各社の製品を見比べてみてください。

ちなみに、Windows OSでは「Microsoft Defender」というウイルス対策ソフトがはじめから導入されています。まずはコストをかけずに最低限の対策をおこないたい場合におすすめです。
Microsoft Defenderについては、下記の記事で詳しく解説しています。
【参考】Windows Defenderって実際どうなの？メリット・デメリット、おすすめの運用方法をご紹介！

入退室管理システムの導入

情報漏洩は、ネットワークや端末経由で起こるものだけではありません。情報資産が物理的に保管されている社屋も、もちろん対策すべき箇所になります。

入室／退室の記録を正確に取得できる入退室管理システムを導入することで、共連れ（1人のIDカードで2人が入室すること）などによる不審人物の侵入を防げます。

また社屋だけではなく、サーバールームや機密データが保管されているエリアなどの重要な区域については、さらに細かい入退室権限管理をおこなうのが理想です。そのためには、情報資産をあらかじめランク付けし、重要度に応じた保管場所や運用を決定しておく必要があります。

そのうえで、入退室管理システムによる人の出入りのログを取得しておけば、万一の情報漏洩の際にも迅速に対応できるようになります。

組織でセキュリティ対策を実施する際のポイント

今回ご紹介した基本的なセキュリティ対策は、どのような業態の組織で導入されても一定の効果を発揮します。
しかし、導入さえすれば必ずすべての脅威を永続的に排除できるわけではありません。セキュリティレベルの維持には、持続的な運営が不可欠です。

組織でセキュリティ対策を実施し続けるにあたって、担当者が留意すべきポイントは以下の通りです。

情報資産管理台帳の作成

セキュリティ対策を検討する際には、まず組織内にある情報資産を完全に把握する必要があります。情報資産がどこにあるのかがわかっていないと、それらに対する脅威を洗い出すこともできないからです。
情報資産に関する情報が未確定である組織においては、情報資産管理台帳の作成がセキュリティ対策の第一歩となります。

そして、管理台帳は作成して終わりではありません。定期的に棚卸をおこなうなどして、台帳の情報は常に最新に保ちましょう。
ただし、こうした更新作業は情報資産が増えれば増えるほど煩雑になります。手作業による更新が追い付かない場合は、IT資産管理ツールなど台帳自動作成機能を持つ専用ツールの導入も検討すべきです。

セキュリティ教育の実施

組織のセキュリティレベルを維持するためには、従業員のセキュリティ意識を一定に保つことが重要です。
新入社員の入社や昇格など、組織編成が大きく変わる時期は、セキュリティ教育のよいタイミングと言えます。それ以外でも、最低1年に1回は定期的に教育機会を設けるなどして、セキュリティの重要性を継続して伝え続けましょう。

セキュリティ教育の具体的な内容は、各々のリテラシーレベルに合わせたものを用意すると効果的です。
例えば一般従業員や派遣・アルバイトの人に対しては、実際のセキュリティ事故事例や組織内のヒヤリハットの共有などをおこなったほうがより理解されやすくなります。「やるべきこと」よりも「やってはいけないこと」を共有するとよいでしょう。

他方で、セキュリティ担当者にはより高度な教育が必要になります。専門ベンダーに依頼して勉強会を開き、最新の脅威や関連法規の確認などをおこなうのも有効です。
そこで得た知識で組織規程の見直しをおこない、それらを従業員に教育する機会を設けるといったサイクルを確立させられれば、組織のセキュリティ体制をより一層強固なものにできます。

情報セキュリティに関する最新情報の収集

いまこの記事を読んでいる間にも、新たな攻撃手法や脆弱性は生まれ続けています。
日々最新の情報をチェックして、常に組織内のセキュリティ体制を省みることが重要です。

上述のように専門ベンダーへ依頼して情報を提供してもらうのもよいですし、IPA（独立行政法人情報処理推進機構）が更新しているセキュリティ情報を確認するのも一つの選択肢になります。
【参考】情報セキュリティ│IPA 独立行政法人 情報処理推進機構

組織の担当者間で、定期的にお互いが収集した最新情報を共有しあう場を設けるのもおすすめです。

多層防御体制の構築

多層防御とは、複数の対策を組み合わせたセキュリティ体制のことを意味します。
例えば、まずは侵入を許さない「入口対策」、侵入されたあとに被害拡大を防ぐ「内部対策」、情報を持ちださせない「出口対策」などが代表的な組み合わせです。

セキュリティ対策を実施する際には、やみくもにさまざまなソリューションを導入するのではなく、こういった多層防御の考え方も参考にしながら戦略的にツール選定をおこなうとよいでしょう。

取引先・利用サービスのセキュリティ状況の把握

現在取引をおこなっている相手の組織や、利用しているサービスのセキュリティ対策についても情報収集を怠ってはいけません。

特に重要データのやりとりをおこなうような取引先には一層の注意が必要です。個人情報保護法では、個人情報が委託先から漏洩した場合も、委託元組織の監督責任を問われます。
委託先の選定をする際は、情報セキュリティの対策状況を必ず確認するようにしましょう。

同様に、業務で外部サービスを利用する際は、そのサービスがどのようなセキュリティ体制のもと運用されているのかをきちんと把握しておくことが重要です。
総務省が運営する「国民のためのサイバーセキュリティサイト」では、クラウドサービス利用時に確認すべきセキュリティ体制について解説しています。こういった情報も参考にして、サービス選定をおこなうようにしてください。
【参考】総務省 国民のためのサイバーセキュリティサイト「クラウドサービスを利用する際の情報セキュリティ対策」

まとめ

セキュリティ対策の目的や手法、ポイントについて解説しました。

セキュリティ対策のためのツールをお探しであれば、基本的な施策をおおむね網羅できるIT資産管理ツールSS1/SS1クラウドの導入がおすすめです。
ソフトウェアやOSの更新、ウイルス対策ソフトのワクチンバージョン確認、重要データに対するアクセスログ監視など、さまざまな場面で役立つ機能を搭載しています。もちろん、情報資産管理台帳も自動で作成可能です。

何から対策をおこなえばよいのか迷っているのであれば、対策の第一歩として導入をご検討ください。

●SS1に関するお問い合わせはこちら

著者プロフィール
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中！