セキュリティ・中小ベンチャー侵入を前提とした最新セキュリティ対策。Vol.3 セキュリティの新標準「5つの備え」とは?

深刻化するサイバー攻撃から身を守るには、ツールの導入などにより被害を未然に防ぐのはもちろん、万が一攻撃を受けてしまった場合の迅速な対処、現状復旧も欠かせません。これからは、事前と事後の対策をトータルに考えた「5つの備え」で被害拡大を抑えることが重要です。
ひとつずつ、確認しましょう。



現状を識別する

Vol.1,2では、セキュリティ対策5つの備えのうち、
「防御」「検知」「対応」「復旧」の重要性をお伝えしました。

今回は5つ目の「識別」について取り上げます。
「識別」によりPCやソフトウェアのセキュリティリスクを洗い出すことで、
的確な対策を打つことが可能になります。
またセキュリティの脅威は外部だけにあるものではありません。
内部の脅威を管理するのも識別の大きな役割です。

現在のセキュリティ環境を全体的に把握し、リスク源を識別する。

 社内のネットワークにつながっているPC、サーバー、周辺機器といったハードウェアや日々の業務に使用しているソフトウェアなどのIT資産、各機器の使用状況を識別し、攻撃されやすいポイントや起こりうる脅威をあらかじめ想定した対策を行うことが重要です。

企業の情報漏洩の原因の6割以上は人為的なミスです。

個人情報漏えいインシデントの分析結果

1位 紛失・置き忘れ 26.20%
2位 誤操作 24.60%
3位 不正アクセス 20.30%
4位 管理ミス 12.20%

ルールを管理する、気を付ける、というのはもちろん重要ですが、それでもうっかりするのが人間です。
「識別」は、こうしたインシデントの抑止力です。
そして万が一インシデントが発生した際には、早い段階で問題を把握し、対応することが可能となります。

以下のチェックリストを参考に、セキュリティ対策を見直してみましょう。

セキュリティレベルチェックリスト

  • 1
    USBメモリなど可搬メディアを定期的に棚卸をする仕組みはありますか?
  • 2
    持ち込みPCなどの未登録デバイスを社内のネットワークへ自由に接続できないような仕組みはありますか?
  • 3
    管理台帳を作成して修正プログラムの適用状況を把握するなど、IT資産を適切に管理できていますか?

主な対策のポイント

Point1

USBメモリなど記憶媒体を適切に管理することで、利用制限や利用履歴取得ができ、情報漏洩に対する予防や追跡も実現できます。

USBメモリなど可搬メディアも含むIT資産の管理と保護を行える仕組みが必要

Point2

未許可のモバイル機器やPCは社内のネットワークに接続できない仕組みが必要です。

社内接続するために証明書で接続を厳格化

Point3

デバイスやソフトウェアの管理台帳を自動的に作成する仕組みを導入することで、脆弱性の早期発見と修正プログラム早期適用が可能です。

社内のIT資産の見える化と集中管理を実現することで、問題点を把握し、迅速に対応を行う

マルウェア感染につながるセキュリティホール

古くからサイバー攻撃の標的の中心は「セキュリティホール」(脆弱性)であり、次のような場合が「セキュリティホールが存在する状態」となります。
また、PCを自宅に持ち帰って感染するなど、時に従業員がセキュリティホールになってしまう場合もありますし、身近な企業・組織のセキュリティ対策が十分でなければ、そこからマルウェアがネットワークに侵入してしまう可能性もあります。
このように、サイバーセキュリティ対策では、セキュリティホールへの対応が非常に重要となります。セキュリティホールへの対応がしっかりと行われていれば、被害はもっと抑えられるのです。

  • そもそもウイルス対策ソフトがインストールされていない。
  • ウイルス対策ソフトはインストールされているものの定義ファイルが更新されていない。
  • OSやアプリケーションのセキュリティ修正が適用されていない。


こちらの記事もおすすめです

本コラムに関連のお問い合わせ

キヤノンマーケティングジャパン株式会社

本コラムについてのご相談、お問い合わせを承ります。

電話でのお問い合わせ

受付時間:平日 9時00分~17時00分

※ 土日祝日・当社休業日は休ませていただきます。

ウェブサイトからのお問い合わせ