企業がすべきセキュリティ対策一覧を徹底解説
従業員・管理者の立場に分けて具体例をご紹介
サイバー攻撃が高度化・多様化する現代社会において、情報セキュリティ対策は欠かせないものです。しかし、「会社として何に取り組むべきかわからない」とお悩みの方もいるのではないでしょうか。
そこで今回は、企業が実施するべき情報セキュリティ対策についてご紹介します。従業員一人ひとりが行うべきものから、管理者が行うべきものまで網羅的に取りあげているので、ぜひ参考にしてください。
セキュリティ対策とは
情報セキュリティ対策は、IT化が進む現代社会において、個人・組織の安全を守るうえで欠かせない備えです。
コンピュータウイルスやランサムウェアなどのサイバー攻撃は、テクノロジーの進化とともに高度化・多様化しています。適切な情報セキュリティ対策を施し、不正アクセスやデータの盗難・改ざんといった被害を防止する必要があります。
情報セキュリティ対策では、以下の3大要素を満たさなければなりません。
- 機密性(Confidentiality)
許可されたユーザーだけが情報にアクセスできる状態にすること - 完全性(Integrity)
情報が他者によって改ざんされることなく、完全で正確な状態のままであること - 可用性(Availability)
情報が必要なときにいつでも利用可能な状態にしておき、トラブルが発生したときにも使用できる環境を整備しておくこと
3大要素がすべて維持されて、はじめて情報セキュリティが保たれていると言えます。そのためには、対策を多角的に行う必要があります。
セキュリティ対策が重要な理由
企業がサイバー攻撃を受けると、企業活動が滞ったり、社会的な信用を失ったりと、さまざまな被害を被ることになります。
例えば、コンピューターウイルスによって重要なシステムに不具合が発生した場合では、原因の特定や復旧に時間がかかるため、通常の業務を停止せざるを得ないことが考えられるでしょう。
加えて、情報セキュリティ対策が不十分な企業とみなされ、会社としての信頼性を失うおそれもあります。仮に顧客情報が漏洩(えい)すれば、損害賠償を支払わなければなりません。
このような被害を未然に防ぐためにも、情報セキュリティ対策は不可欠な取り組みであるといえます。
企業が実施すべきセキュリティ対策の具体例
情報セキュリティ対策は組織全体として行うだけではなく、従業員一人ひとりが必要性を理解し、取り組むことが大切です。ここからは、企業が実施すべき情報セキュリティ対策を、「従業員個人の対策」と「管理者の対策」に分けてご紹介します。
従業員個人が実施すべきセキュリティ対策7選
従業員個人が実施すべき7つの情報セキュリティ対策をご紹介していきます。
ID管理と多要素認証を徹底する
IDやパスワードは、他人から推測されないものにすることが基本です。
パスワードは12桁以上の文字列にし、小文字、大文字、数字、記号を混ぜた複雑なものにすることが推奨されます。
加えて、同一のパスワードを複数のサービスで使い回さず、サイトごとにID・パスワードを変えることもポイントです。また、パスワードだけに依存せず、多要素認証を併用することで、たとえパスワードが漏洩(えい)しても不正アクセスを防ぐことが可能です。
OS・ソフトウェアは常に最新の状態に更新する
OSやソフトウェアはその都度アップデートし、常に最新の状態に保ちましょう。
サイバー攻撃は、OSやソフトウェアに存在する脆弱性(情報セキュリティの欠陥)を狙って攻撃してきます。それに対し、OSやソフトウェアの開発元は、アップデートによって脆弱性の修正を行います。
アップデートを怠ると脆弱性が放置され、そこからサイバー攻撃を受けやすくなるため、更新通知が届いたら速やかに対応することが重要です。
自身の個人情報をデバイスに保存しない
業務用のデータを、自分個人のパソコンやスマートフォンに保存することは避けるべきです。
個人のデバイスは会社の情報セキュリティ対策が適用されていないため、そこにデータを保存することで、サイバー攻撃を受けるリスクが高まります。さらに、デバイスを物理的に紛失したり、盗難にあったりすることで、個人情報が流出する場合もあります。
また、SNSの取り扱いにも注意が必要です。近年では、SNSに掲載された情報から個人情報が特定され、第三者に悪用されるケースが多発しています。個人や職場が特定されるような画像・情報は、SNSに掲載しないようにしましょう。
許可されたデバイス以外利用しない
会社から許可を得ていないデバイスやソフトウェアを利用する行為を、シャドーITとよびます。シャドーITはさまざまなリスクを伴うため、行わないことが基本です。
例えば、プライベート利用によってマルウェアに感染したデバイスを会社のネットワークに接続すると、社内のネットワーク全体にウイルスが拡散し、業務の停止や復旧作業の負担増加といった重大な問題を引き起こす可能性があります。
業務を行う際には、会社から支給されたデバイスか、十分なセキュリティ対策を施したうえで会社から許可を得たデバイスのみを利用しましょう。
不審なwebサイト・メールは開かない
近年、電子メールやWebサイトを通じたサイバー攻撃の手口が後を絶ちません。
不審なメールやWebサイトを開いてしまうと、クレジットカード番号やアカウント情報などの入力を促される、情報を窃取される、ウイルスに感染するといった被害を受ける可能性があります。とくに、ウイルスに感染した場合は、社内ネットワークを通じて被害が広がるおそれもあります。
手口が巧妙化し、取引先や金融機関、公的機関などを詐称して攻撃を仕掛けてくるケースもあるため、少しでも違和感があったらWebサイトやメールを開かないことが鉄則です。
こまめにバックアップをとる
情報セキュリティ対策では、こまめにバックアップを取ることが大切です。
サイバー攻撃による被害を受けた場合、状況によっては機器の初期化が必要となります。その際、バックアップをとっていなければデータが消えてしまい、業務の継続が困難になるおそれがあります。
万が一セキュリティリスクにさらされた場合でも、データを守り事業の継続ができるよう、業務で使用するドキュメントファイルやメール、顧客・取引先の情報などは定期的にバックアップを取ることが重要です。
テレワーク時には細心の注意を払う
公共の場やコワーキングスペースなどでテレワークを行う際は、細心の注意を払いましょう。
第三者がいる場所で作業を行う場合、パソコンやUSBメモリの紛失・盗難、盗み見といったリスクがあり、機密情報が流出してしまう可能性が高まります。また、フリーWi-Fiに接続することで、通信内容が傍受されるおそれもあります。
そのため、テレワークを行う際は以下のポイントをおさえておきましょう。
- 公共の場で機器・デバイスを置いたまま離席しない
- のぞき見防止用の画面フィルムを活用する
- セキュリティ機能付きのデバイスを利用する
- 暗号化されていないネットワークを利用しない
企業ごとにテレワークにおける情報セキュリティ対策のルールを制定し、個人がそれを遵守することが求められます。
管理者が実施すべきセキュリティ対策6選
続いて、管理者が実施すべきセキュリティ対策を6つご紹介します。
セキュリティソフト・システムを導入する
サイバー攻撃を防ぐためには、セキュリティソフトの導入が有効です。ソフトを導入して脆弱性を把握し、マルウェアに感染しないよう防御および監視をすることで、組織全体のセキュリティレベル向上につながります。
以下は、代表的なセキュリティソフト・システムです。
- ファイアウォール:外部からの不正アクセスを防ぐシステム
- ウイルス対策ソフト:コンピューターウイルスやマルウェアを検知し、除去するシステム
- UTM(統合脅威管理):複数のセキュリティ機能を一つのシステムに統合したもの
- VPN:仮想のネットワークを構築し、安全性の高い回線を実現する方法
- IPS・IDS:不正な通信を検知し、防御するシステム
なお、セキュリティソフトもOS・ソフトウェアと同様に、導入後は常に最新バージョンへアップデートしておくことが大切です。
アクセス権を適切に管理する
アクセスできる人数が増えるほど、情報漏洩(えい)のリスクは高まります。そのためアクセス権を適切に制限し、重要な情報に触れられる範囲を限定することも重要です。
一般職の社員は閲覧のみ、管理職は閲覧・編集が可能な権限を与えるなど、役職や所属部署などによって権限を分けると良いでしょう。
アクセス権限を必要最低限にすることで、リスクを最小化できます。
社内LANの管理を徹底する
社内LANに関するセキュリティ環境の構築を怠ると、第三者による通信内容の傍受や、ネットワークへの不正アクセスといったリスクにさらされます。
以下は、社内LANのセキュリティを整備するうえでのポイントです。
- 通信を暗号化する
- 社内用無線LANと来客用無線LANを分ける
- ユーザー認証を強化する
- 無線LANに接続しているデバイスを把握する
- 法人向けの無線LANを利用する
これらの対策を実施し、管理体制を徹底しましょう。
社員への情報セキュリティ教育を徹底する
情報セキュリティ対策には、社内ルールの策定と、個々の情報リテラシー向上をはかるための教育が大切です。
まずは、情報管理に関する社内ルールを担当部署で策定しましょう。それに基づいて、情報管理に関する教育の場を設け、従業員個人の意識向上をはかります。教育の機会は一度だけではなく定期的に設けることで、モラルやリテラシーの浸透を図りましょう。
くわえて、各従業員と情報セキュリティに関する同意書を結び、違反時のペナルティについて周知することも、セキュリティ意識の浸透につながります。
社内機はデータ復元が不可能な状態にしてから廃棄する
不要になったデバイスやUSBから情報が流出することで、セキュリティリスクにさらされる可能性があります。例えば、悪意を持った第三者が廃棄したパソコンを持ち出し、データを復元して機密情報を窃取するという場合です。
廃棄前にデータの消去や初期化を行うだけでは、対策として不十分です。ハードディスクは物理的に破壊してデータを消去できますが、内部のディスクまで完全に破壊しなければ、復元されることもあります。データ消去用ソフトウェアの利用や専門業者への依頼、暗号化消去の実施といった対策を取りましょう。
また、データを暗号化していた場合は、復元に必要なキーを確実に破棄することも不可欠です。その際、回復キーとハードは別々に破棄しましょう。
万が一のリスクに備えてサイバー保険に加入する
サイバー保険とは、サイバー攻撃によって発生した損害を補償する保険です。情報セキュリティ対策を万全に行っていても、リスクをゼロにすることは難しいといえます。そのため、不正アクセスや情報漏洩(えい)などが起こった場合に備えて保険に加入しておくと、被害が発生した際の損害補填や迅速な復旧支援に役立ちます。
サイバー攻撃が多様化している現代社会において、複数の情報セキュリティ対策と保険を両立させることで事業継続のリスクを最小限に抑えましょう。
- 上記内容は概要を説明したものです。
保険商品の内容および補償(保障)の名称等は、各引受保険会社によって異なります。
詳細につきましては、取扱代理店または引受保険会社までお問い合わせください。
セキュリティ対策を強化するためのポイント
情報セキュリティ対策を強化するためには、ゼロトラストの考え方に基づき、多角的に対策することが重要です。ゼロトラストとはセキュリティに対する考え方で、ネットワーク環境における境界の概念を捨て、情報資産にアクセスするものすべてを信用せず、安全性を検証することを意味します。
近年では、クラウドサービスやテレワークの普及により、社内外のネットワークに関する境界が曖昧になっています。そのため、情報資産にアクセスするすべてのデバイスやユーザーを信用せず、アクセスごとに安全性の検証を行うことが大切です。
セキュリティ対策は企業で多角的に行うことが重要
情報セキュリティ対策は、企業の大切なデータを守るために欠かせないものです。企業として、ソフトの導入やセキュリティ教育の実施など組織的に取り組むことはもちろん、従業員一人ひとりが情報セキュリティの重要性を意識し、適切に対策することが重要です。
しかし、サイバー攻撃は今も急速に高度化・多様化しており、ここまでにご紹介した対策をすべて講じても、被害にあう可能性はゼロではありません。万が一被害にあった際のことも想定しておく必要があります。
そこでおすすめなのがサイバー保険への加入です。企業の情報セキュリティ対策をより強化していきたいと考えている方は、ぜひ検討してみましょう。
損保ジャパンでもサイバー保険を取り扱っています。以下よりぜひチェックしてみてください。
