NECフィールディング
サイト内の現在位置
企業のセキュリティ対策は何をすべき?行うべき対策内容を解説
デジタル化が進むにつれ、企業のセキュリティ対策の重要性も増しています。対策を怠れば、情報漏えいやサイバー攻撃のリスクが高まり、これまで培ってきた企業の信頼を失ってしまうかもしれません。適切なセキュリティ対策は、企業活動の基盤ともいえるものです。
ただし、どのようなセキュリティ対策を行うべきかわからないという企業は多く、また、現在のセキュリティ対策をもっと強化したいという企業も多いです。今回は、企業が行うべきセキュリティ対策や最近のセキュリティ対策の考え方、そのポイントなどについて解説します。
企業のセキュリティ対策の重要性
企業にとって、情報資産を守るためのセキュリティ対策は必須です。情報資産には機密情報や顧客データだけでなく、企業のブランドやイメージ、技術情報、業務のノウハウなども含まれるほか、情報を保管している機器類も含まれます。
業種や事業規模を問わず、サイバー攻撃や不正アクセスの被害に遭う企業は年々増加しています。多くの企業がセキュリティ対策の重要性を認識し、さまざまな対策ツールやシステムを導入していますが、「導入しただけ」になっている企業も多いもの。例えば、ウイルス対策ソフトを導入しても、常に最新の状態にアップデートしておかなければ、日々新しく生まれるウイルスには対応できない可能性があるでしょう。
企業の情報資産を取り巻く環境は変化しており、脅かすリスクも変化しています。サイバー攻撃だけでなく、内部不正や自然災害、設備の事故といったリスクにも対策しなければなりません。セキュリティ対策の方法や考え方も常にアップデートしなければ、情報資産を守ることが難しくなってきています。
セキュリティ対策が十分でない場合のリスク
もしも、セキュリティ対策が十分でなく、情報資産が流失するようなことばあれば、それだけで企業としての信頼やブランド価値の低下といったリスクがあります。業績や株価などに悪影響を与える可能性があり、個人情報が流出した場合は、刑事罰が科されたり、民事の損害賠償責任を負ったりする場合もあるでしょう。システムが停止するようなことがあれば、復旧費用の発生やサービス停止による収益減少などのリスクもあります。
場合によっては企業としての存続が危ぶまれるような事態に陥る可能性もあり、そのためセキュリティ対策は企業運営の基盤ともいえるものです。
重要性が高まるエンドポイントセキュリティ
エンドポイントセキュリティは、エンドポイントに対して、サイバー攻撃やマルウェア感染、内部不正などを想定したセキュリティ対策を行うことです。エンドポイントとは、ネットワークの末端に接続される、PCやサーバなどを指します。
以前のエンドポイントは、社内のPCのみを指していました。しかし、リモートワークやクラウドサービスの普及などによって、企業支給のノートPCを社外に持ち出したり、個人所有のデバイスを接続したりといったことがあたり前になり、エンドポイントも多様化しています。
これまでは社内ネットワークを「安全地帯」とみなし、社外ネットワークとの境界にファイアウォールなどの対策を行う「境界型」の考え方が中心でした。しかし、エンドポイントが多様化し、社外と社内のネットワークの境界が曖昧になる中で、サイバー攻撃の手口は高度化・巧妙化しています。境界型の対策では、エンドポイントへの攻撃を防ぐのは困難です。
現在では、すべての通信を信用できないものとしてセキュリティ対策を行う、「ゼロトラスト」の考え方が主流となっています。企業がセキュリティ対策を行う場合は、エンドポイントを意識したゼロトラストの対策が必要です。
ゼロトラストについては、こちらもご覧ください。
ゼロトラストとは?意味や仕組み、導入のポイントを解説
企業がとるべきセキュリティ対策
セキュリティ上の脅威の増加や働く環境の変化により、企業がとるべきセキュリティ対策は多岐にわたります。ここでは、企業が最低限行うべきセキュリティ対策について紹介します。
情報漏えいへの対策
情報漏えいの原因となる媒体の多くは社内システムやサーバで、これらに侵入されて情報資産を窃取されるケースがもっとも多いとされています。ただし、誤送信・誤表示、紛失や置き忘れといったヒューマンエラー、従業員の機密情報持ち出しといった内部不正も少なくありません。
情報漏えいを予防するためには、次のような対策が必要です。
<情報漏えいの防止策>
- 無線LANの暗号化
- ログ取得の管理
- メールやWebサイトのフィルタリング
- 多要素認証の導入
- 情報持ち出しルールの策定と運用 など
不正アクセスへの対策
不正アクセスは、許可されていない者がシステムやサーバに不正に侵入する行為で、システムやネットワークの脆弱性を狙うケース、ウイルスを利用するケース、フィッシングなどが代表的な手口です。不正アクセスされると、遠隔操作でシステムやサーバが他の不正アクセスの中継として使われ、被害者から加害者に転じてしまう可能性もあります。
不正アクセスを防ぐためには、次のような対策が必要です。
<不正アクセスの防止策>
- アクセス権限の適切な設定
- 多要素認証の導入
- ソフトウェアを常に最新の状態に保つ
- ログイン情報やパスワードの管理
- ファイアウォールや検知システムの導入
- ログ・ネットワーク監視 など
機器障害への対策
最近増加している地震や台風、停電、火災などによる災害などで、サーバやネットワークが使用不可能になり、システムが停止してしまう場合があります。不可抗力とはいえ、停止してしまえば業務やサービスも停止し、長期に及べば機会損失や顧客からの信頼失墜につながりかねません。機器障害についての備えは、BCP(Business Continuity Plan、事業継続計画)のためにも重要です。
機器障害によるトラブルを防止するためには、次のような対策を行ってください。
<機器障害の防止策>
- 定期的なバックアップと保管
- 設備の安全管理
- 無停電電源装置の導入
ウイルス感染への対策
不正なプログラムを検知して駆除するウイルスソフトの導入は、企業のセキュリティ対策として必須でしょう。近頃ではメールのプレビューやWebサイトの閲覧を行っただけで感染するウイルスもあります。ウイルスソフトやソフトウェアは常に最新の状態に保ち、さらにウイルスに感染しないための社内のセキュリティルールも必要です。
ウイルス感染の防止のためには、次のような対策を行いましょう。
<ウイルス感染の防止策>
- ウイルス対策ソフトの導入
- ソフトウェアを常に最新の状態に保つ
- メールやWebサイトのフィルタリング
- 情報持ち出しルールの策定と運用 など
企業のセキュリティ対策のポイント
企業のセキュリティ対策は、ツールやシステムを導入しただけでは完全とはいえません。また前述したように手口が高度化してきており、従来の対策だけでは対応が困難になってきています。ここでは企業がセキュリティ対策を行う際に押さえておきたいポイントを紹介します。
人的セキュリティリスクについての対策
多くのセキュリティリスクは、従業員がうっかり不審なリンクをクリックした、デバイスを紛失したなど、人的なミスによって発生します。ツールやシステムの導入だけでなく、従業員への教育が重要です。
情報資産の取り扱いや持ち出しのルールの策定と運用のほか、定期的に研修を行って従業員のセキュリティリテラシーを高めましょう。電子メールの誤送信対策や安易なパスワード設定をしない、不審なURLはクリックしない、SNSの利用方法など、基本的なことでも情報提供を行っていくことが重要です。
管理・運用体制の構築
セキュリティシステムやソフトを導入しただけでは、対策は十分とはいえません。
例えば、IDS(Intrusion Detection System、不正侵入検知システム)は不正アクセスや異常な通信を検知してアラートを送るシステムですが、アラート後の対応は管理者が判断して実施する必要があり、高度化する手口に誰でも対応できるとは限りません。また、いつサイバー攻撃が起きるか予測はできず、常時対応するのは困難です。
そういったときのために、外部SOC(Security Operation Center)の利用を検討しておく手段があります。外部SOCはセキュリティの専門知識や技術のあるエンジニアが、ネットワークやデバイスを常時監視し、サイバー攻撃の検出や分析、対応などを行うサービスです。24時間365日の運営体制を自社で組織するのは難しく、専門サービスの利用がおすすめです。
セキュリティ上の脅威が発生する前提の対策
企業がどれだけセキュリティ対策を行っても、サイバー攻撃や不正アクセスなどを完全に防ぐことは難しいです。そのため、セキュリティリスクを未然に防ぐ対策とともに、攻撃や侵入をされる前提の対策も考えておくことが重要です。被害を拡大させないこと、早期に復旧させることを意識した対策を行いましょう。
万が一の際に、被害を拡大させないために検討したいのが、EDR(Endpoint Detection and Response)です。EDRはエンドポイントのログを監視し、不審な動きを検知した場合に脅威を除去したり、感染などの疑いのあるデバイスをネットワークから隔離したりするセキュリティ対策です。ゼロトラスト実現のためにも有用な対策とされており、脅威が侵入した場合に被害を最小限に抑えることができます。
知識や技術をアップデートして万全のセキュリティ対策を
企業の情報資産に対する脅威は多岐にわたり、サイバー攻撃だけでなく人的なリスクや災害なども想定していかなければなりません。また、時代とともに脅威は変化しており、その時々に合った対策を行うことが必要です。企業にとってセキュリティ対策は、企業経営の基盤ともいえるもの。今回紹介したセキュリティ対策を基本として、自社の環境に何が必要かを検討して、万全のセキュリティ対策を行ってください。
自社ではセキュリティの運用に工数がかかりすぎる、具体的にどのような対策を行うべきかわからないという場合は、NECフィールディングの「エンドポイントセキュリティ対策導入運用&SOCサービス」をご検討ください。エンドポイントセキュリティ対策の導入から、24時間365日体制のセキュリティ監視までワンストップで提供します。セキュリティ対策に不安がある場合は、お気軽にお問い合わせください。
関連記事
デジタル化・ネットワーク化の進展で、企業経営におけるセキュリティの重要性が高まっています。ここでは、企業にとっての「セキュリティ」の意味、ネットワークセキュリティ、コンピュータセキュリティ、情報セキュリティの定義、情報セキュリティの「CIA」と呼ばれる3つの要素「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」と新たな4つの要素とされる真正性・責任追跡性・否認防止・信頼性について解説していきます。
クラウドとは、ユーザがインフラを構築・設計しなくても、インターネット上で提供されているサービスを利用して、社内のネットワークを利用できるサービスです。クラウドサービス市場は年々増加しており、大手のIT企業がサービス提供事業者になっていることも多いです。本記事ではクラウドサービスとはどのような特徴、種類があるのか、メリット・デメリットなどを詳しく解説していきます。
ゼロトラストセキュリティとは、信用がないことを前提にしたセキュリティ対策のことです。今までのネットワークセキュリティが抱える課題から、ゼロトラストセキュリティが重要視される理由やメリット・デメリットについて考えてみましょう。さらにゼロトラストの7つの原則と、実現に向けた4つのソリューションを解説しながら、導入時・運用時の注意点を詳しく紹介します。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。
お問い合わせ