お問い合わせ

ソリューション

ソリューショントップへ


導入事例

導入事例トップへ


会社情報

会社情報トップへ


採用情報

採用情報トップへ

何をお探しですか?
ホーム / D×KNOWLEDGE / 情報セキュリティの概要と対策の具体例とは。サイバーセキュリティとの違いも解説

D×KNOWLEDGE

DX、IT戦略などITに関わる課題解決に
役立つコンテンツをお届け
~お客様とともに新しいしくみや
価値を創造する、オウンドメディア~

情報セキュリティの概要と対策の具体例とは。サイバーセキュリティとの違いも解説

 | セキュリティ

DXへの取り組みが進められ、データドリブン経営をはじめとしたデータ活用による新たなビジネスモデルを展開する企業が増えるなか、セキュリティ対策は重要課題だと考えられます。ニュースでも頻繁に取り上げられるように、情報漏えいやサイバー攻撃によるシステムダウンなど、データを取り扱う環境には常にリスクが存在します。情報漏えいやシステムダウンが発生すると、企業が長年にわたり積み上げてきた信頼を一瞬で失うことにもなりかねません。今回は、企業が理解し、対策を講じておくべきセキュリティ対策について解説します。

目次

セキュリティとは何か

セキュリティを日本語の辞書で引くと「安全。防犯」といった意味で解説されています。つまり、ある環境で常に安全が確保されている状態であれば、セキュリティが保たれていると言えます。

なかでもコンピューターに関わるセキュリティとして、「情報セキュリティ」と「サイバーセキュリティ」は、さまざまな業務において膨大で多様なデータを活用する企業にとって注視すべきものです。

コンピューターにおける2つのセキュリティとは

まずコンピューターに関わる2つのセキュリティについて、その違いと概要を確認しておきましょう。

コンピューターにおけるセキュリティには「情報セキュリティ」と「サイバーセキュリティ」の2つが存在し、その違いは、どのような脅威に対して防御対策をするのか、の違いだといえます。

サイバーセキュリティは情報セキュリティのなかに含まれている概念です。ただ、情報セキュリティは、人的ミスやシステムの故障などによっても情報が危険にさらされるリスクがあることも含めて、防御対策を取ることを意味するのに対して、サイバーセキュリティはサイバー攻撃に対する防御対策を意味しています。

それぞれについて、以下で詳しく説明します。

情報セキュリティ

情報セキュリティとは、情報を安全に保つことです。具体的には、企業内に保存されているデジタルデータが外部に漏れる「情報漏えい」が起こらないように、あるいは災害や、機器のハード面の故障が原因でデータが破損して利用できない状態に陥らないように保全することを指します。そのなかには、外部からのサイバー攻撃や不正アクセスによってデータが改ざんされたり、開示できなくなったりする状況から守ることも含まれています。

発生事故の具体例:ニュースで話題になることが多いのが「顧客データの流出」です。これも情報セキュリティが破られたことによって発生します。原因はいくつか考えられます。たとえば、社内の誰かが顧客情報を持ち出した場合にも、顧客データが流出する可能性はあります。故意であっても不注意による結果であっても、こうした事態になれば、情報漏えい事故と見なされますので、企業が受けるダメージは大きくなります。

また、サイバー攻撃を受け、保存していたデータが盗まれる、改ざんされることもあります。

サイバーセキュリティ

上記で説明した情報セキュリティのなかに含まれる概念のひとつで、デジタル化された情報がサイバー攻撃によって盗まれたり、改ざんされたりすることがないように守ることです。

サイバー攻撃とは、ネットワークを介して行われる攻撃のことを指します。個人や会社、政府機関、団体などの組織を対象とした攻撃で、サーバーやパソコンに不正ログインをして、保存されている情報を窃盗する行為です。

発生事故の具体例:サイバー攻撃によってサイバーセキュリティが破られるといった状況は、以下に紹介するようないくつかの代表的な手法があります。

マルウェア

Malicious(悪質な)software(ソフトウェア)を意味するマルウェアは、スパイウェアやランサムウェアなど、いくつかの種類があります。多くの場合、添付されたファイルやダウンロードリンクを装ったプログラムとして送られてきたメールに仕込まれています。うかつにファイルを開いたり、ダウンロードリンクをクリックしたりするとマルウェアがコンピューターに侵入し、システム全体に広がり、データが盗まれたり、書き換えられたり、他のプログラムを妨害したりなど、さまざまな有害な動作を発生させます。

フィッシング詐欺

サーバー犯罪者が、日ごろ利用しているウェブサイトや企業サイトになりすましたメールを送信して、偽物のウェブサイトへ誘導したり、支払い状況の確認を装ったSNSや荷物の不在通知を装ったSNSなどを送信して、ログイン情報やクレジット情報を入力する行動を取らせ、情報を盗み取ることをフィッシング詐欺といいます。

自分が利用しているサイトからの連絡であると勘違いして、うかつにログインをしたり、クレジット情報を入力したりすると、その情報が盗まれてしまいます。

SQLインジェクション

SQL(Structured Query Language)インジェクションとは、データベースに不正侵入してデータを盗み取るサイバー攻撃です。データベースと連携したウェブアプリケーションに、不正なSQL文を入力(インジェクション)してハッキングします。

一般的な手法は、ユーザーID・パスワードの入力フォームに大量のSQL文を入力する方法によるものです。侵入されるとデータベースに保存されている機密情報、顧客情報が表示されてしまいます。

中間者攻撃

中間者攻撃とは、たとえば、自社と取引先が通信をしているときに、サイバー犯罪者がその通信を傍受して情報を盗むものです。公共のWi-Fiネットワークを利用する場合には、通信データが傍受される危険性があります。

DoS攻撃

DoS攻撃とは、サービス拒否攻撃とも呼ばれています。攻撃対象のネットワークやサーバーに過剰なアクセスや、大量のリクエストを送信してサービスが拒否される状況を作り出すサイバー攻撃です。攻撃を受けるとコンピューターに大きな負荷がかかるため、ネットワークが遅延したり、ウェブサイトへのアクセス障害が生じたりします。

情報セキュリティの7要素の概要と対策

情報セキュリティの7つの要素について、基本的な3要素と新たな4要素に分けて詳しく見ておきましょう。

基本的な3要素(CIA)

情報セキュリティの国際規格にはISO/IEC27001があります。これは、企業や組織における情報のセキュリティや管理方法、マネジメント方法について定めたもので、そのなかで情報セキュリティとは何を確保した状態であるのかが定義されています。それによると「機密性、完全性、可用性を維持すること」を確保した状態とされています。また、総務省が開示している「国民のためのサイバーセキュリティサイト」の「情報セキュリティの概念」でも、「機密性」「完全性」「可用性」を脅かすものから企業や組織の情報資産を保護することが情報セキュリティだとして、この3要素の重要性を示しています。

この基本的な3要素は、改ざん、消失、破損といったリスクから情報を守るために意識しておくべき要素です。詳しくその内容を見ておきましょう。

機密性(Confidentiality)

例えば新商品や、新しいサービスの開発情報や詳しい内容、あるいは顧客情報、従業員の個人情報など、企業が保有する機密情報は無数に存在します。このような外部に漏らしてはならない、不正に利用されてはならない情報の機密性は高めておく必要があります。

そのためには情報へのアクセス権を制限することが必要です。情報が保管されているストレージへのログインやデータの開示に対してIDやパスワードによる管理がされた状態を構築し、第三者がアクセスできない環境を保持しておきます。

完全性(Integrity)

完全性とはデータをもとのまま、完全な状態で保存していることを意味します。例えば、サイバー攻撃を受けて情報が改ざんされたり壊されたりしては、データの価値が失われます。また、サイバー攻撃だけではなく、従業員による悪意のない操作ミスによって、データが破損したり書き換えられたりすることもあります。

こうした状況の発生をなくすために、情報にはデジタル署名をつけたり、アクセス履歴を残したりすることが必要です。

可用性(Availability)

可用性とは情報がいつでも安全に活用できる状況を確保しておくことです。

例えば災害時にシステムが使えなくなった場合でも、早急に復旧しなくてはなりません。データのバックアップをとっておくことや、システムの二重化など、BCP対策を含めた環境を構築しておくことが重要です。

加えて意識しておきたい新たな4要素

上記の3要素は情報の安全性を確保するために意識しておくべき重要な要素です。それに加えて次の4つの要素を意識することで、より確実に情報の安全性が確保されます。

以下で示す4つの要素は、「アクセスできる人物による行為であること。情報が本物のデータであること。さらに情報システム自体が安全に使えるものであること」などを確保する必要性を示したものです。

真正性(Authenticity)

真正性とは、対象となる情報にアクセスした人物が、その情報にアクセスする権利を持った人物であることを担保することを意味しています。

真正性を確保するためには、簡単に入手できるパスワードの設定ではなく、多要素認証やデジタル署名を採用する必要があります。

信頼性(Reliability)

信頼性とは、データを扱うためのシステムを操作した段階で、意図したとおりに動くことを意味します。操作手順どおりに行ってもバグによって予期せぬ結果が出るようでは、正しい情報であることが保障されず、価値がなくなってしまいます。

こうした状況を防ぐには、システム開発時の入念なチェックや繰り返しのテストによって、確実な設計を行うこと、そして確実なシステム運用を行うことなどが考えられます。

責任追跡性(Accountability)

責任追跡性とは、対象となる情報にアクセスが発生した場合、そのアクセスがどのような手順で行われたのかを追跡できるようにしておくことを意味します。こうしておくことで、このインシデント発生は、誰がどのようなプロセスで情報にアクセスしたことが要因であったかが判別できるのです。

そのためには確実にログイン履歴、アクセスログ、操作ログなどを残すことが必要です。

否認防止(Non-Repudiation)

否認防止というのは、インシデントが発生し、その原因となった人物や対象に対して問題行動を指摘した際に、証拠がないことで否定されないように証拠を残すことを意味します。

そのためにはログイン履歴、アクセスログ、操作ログを保存することが重要です。

情報セキュリティリスクと4領域で考える対策

情報セキュリティを確保しておくことは企業の信頼を守ることでもあります。その重要性は多くの企業が認識しているところではありますが、「大きな事件にはならないだろう」と甘く考えている場合や、対策が不十分であったり対策が遅れていたりする場合、顧客や取引先、社会全体にまで被害を与える事態になることもあります。

まずは情報セキュリティにとってのリスクを幅広く確認しておきましょう。

脅威

外部からの攻撃や人的ミスなどが脅威に含まれます。主な脅威は以下のようなものです。

システムエラーやバグ
外部からの攻撃
偶発的な要素による被害
従業員の作業ミス、不作為の事故
従業員の悪意のある加害行為

システムの脆弱性

データを運用したり保存したりしているシステムや、ネットワーク環境そのものに不具合などが潜んでいるケースがこれに当たります。脆弱性のなかでも、気をつけて確認したいのは以下のものです。

システムの欠損、バグ、不具合
ネットワーク環境の不備、防御態勢の欠如、不足
組織内のルールの不徹底、社内リテラシーやモラルの不備、不足
管理体制の不備、不足

インシデント

主にアクシデントと認識されるものです。事件や事故、作業ミスなど、上記に紹介した脅威や脆弱性を原因として発生するものも含まれます。

マルウェア感染、不正侵入によるデータ破損、システム破損、情報改ざん など
人的ミス(情報の紛失、消失、漏えい)
故意による悪用

対策の4領域

情報セキュリティを高めていくためには、前項で示した「情報セキュリティの7つの要素」を意識しながら、さらに「技術」「人材」「組織」「ハード」の4つの領域で対策を同時進行的に講じておくことが必要です。ここでは各領域での対策について簡単に説明します。

技術

ウイルス対策は、対策を講じても新たなタイプのウイルスが登場し「どこまでいってもイタチごっこ」などと言われますが、常に最新のウイルス対策をした状態にしておく必要があります。

そのほか、ファイアウォールなどを正しく運用して防御をすることと、管理体制を強化しておくことが必要です。

人材

一部の管理者や経営者がセキュリティの重要性を意識しても、企業全体として、従業員一人ひとりが規則を順守していないとセキュリティは保てません。また、最新のシステムやアプリケーションを活用するためには、従業員が使えるように技術面のサポート体制を構築することも必要です。そのためには、リテラシーや技術面の向上を目的とした研修会を定期的に設けることや、運用と管理体制を強化することも重要です。

組織

複数の人が操作することになるアプリケーションやシステムは、その運用と管理のルールを作って明確にし、全員に共有しておく必要があります。また、ルールは一度作ればそれで安全というものではなく、PDCAを回しながら問題を発見し、改善していくことが重要です。そのためには、システムやアプリケーションを使う側の従業員の意見を聞き取り、使いやすさ、管理のしやすさを向上させていかなくてはなりません。また、こうした作業にはコストが発生しますので、セキュリティ対策への経費を見直し、必要十分なコストがかけられるように配慮することも必要でしょう。

ハード

技術やITリテラシーを更新し続けると同時に、常に新しいシステムやアプリケーションへと置き換えていく必要があります。

イタチごっこと称されるウイルス対策は、古いシステムやアプリケーションには対応していないものも多く、そうしたレガシー化したシステム部分が狙われます。システムやアプリケーションについても管理をし、最新のものへと更新するタイミングを逸することがないように注意しておきましょう。

また、システムやIT機器を最新のものに更新したとしても、管理・運用の体制が古いままでは盤石なセキュリティ対策にはなりません。新しいものを使いこなすための管理体制や運用ルールなど、PDCAを回しながら組織体制自体も改善していく必要があります。

企業が取り組むべきセキュリティ対策の具体例

情報セキュリティが破られるリスクとはどのようなものが考えられるのでしょうか。代表的な脅威を知り、事前に取り組むべき対策を講じておきましょう。

ウイルス感染への対策

ウイルス感染は、メールに添付されていたファイルや不正なリンクをクリックした際に起こります。また、USBメモリをウイルスに感染した外部デバイスに接続し、そのUSBを社内のデバイスで使用した場合にも起こります。あるいは、悪意のあるサイトからのダウンロードによっても感染します。感染経路はじつに多様で、身近なところに存在します。

たとえば、従業員が個人的に持ち込んだUSBメモリを使って業務にあたった場合、そのメモリが感染していると、社内ネットワークにウイルスが拡散される可能性があります。また、社内のメールシステムに届いた悪意のあるメールにウイルスが仕込まれていることもあります。

こうしたウイルス感染への対策は以下の方法が考えられます。

ウイルス対策ソフトを導入する
ソフトウェアを常に最新の状態に更新をする
危険なWebサイトをフィルタリングする

不正侵入への対策

不正侵入は送られてきたメールに添付されたファイルや偽物のリンク先のアドレスをクリックすることで、マルウェアが侵入することで起こります。不正侵入を防止するには以下の対策が有効です。

パスワード管理を徹底する
ファイアウォールを導入する
ソフトウェアを常に最新の状態に更新をする

情報漏えいへの対策

情報漏えいが起こる状況を考えてみると、外部からハッキングをされたり、従業員が誤操作をしたり、うかつに不正アクセスを許す行為をしたりなどの理由が考えられます。また、それ以外にも機密情報の資料を紙の書類として、あるいはデバイスに保存して持ち出して紛失するケースも考えられます。

こうした状況を防ぐための対策としては以下の方法が考えられます。

ファイアウォールを導入する
データ管理を徹底する
資料・メディア・デバイスなどの機器の持ち出しや廃棄のルールを徹底する

これらの対策を実施することで情報漏えいのリスクを軽減しやすくなります。

また、従来、企業間でファイル共有に利用されていた「PPAP」システムには、セキュリティ上の問題があり、2020年に政府からその廃止が発表されました。これを受けて、多くの企業が「PPAP」の利用から移行する動きが加速しています。

その対応策として、オンラインストレージサービスを経由してメールでファイルを送受信する方法が採用されています。しかし、この方法では、メールの操作が複雑になり、作業が煩雑化しているという課題があります。

NTTデータ関西が提供するbAudit®/ビーオーディット は、脱PPAP対応をスムーズに実現するためのソリューションです。ファイルに添付して情報を送る「メール送信オペレーション」を変更せずに、脱PPAPを実現するオンラインストレージ「Box」に連携するアドインツールです。利用環境や導入方法については、ぜひNTTデータ関西にご相談ください。

▼ bAudit®/ビーオーディットの詳細について

bAudit®/ビーオーディット| NTTデータ関西

PPAPの概要や対策については、以下の記事をご参照ください。

PPAPはなぜ問題視されるのか。原因と代替案について

脱PPAP後、資料・データの共有はどうする? —安全と利便性を担保できる方法を探る—

機器障害への対策

機器障害で考えておくべき状況としては、災害時にサーバーやネットワークが使えなくなる状況です。攻撃を受けて損害を被るというケースではありませんが、危機管理の一貫として講じておくべきです。

危機障害への対策としては次の方法が有効です。

従来の保存場所以外にもデータのバックアップをし、定期的に更新をしておく
無停電電源装置を設置する
セキュリティカメラの設置や入退室管理など設備の安全管理を心がける

従業員のセキュリティ意識の向上

ウイルス感染対策や不正アクセス対策、機器障害への対策など物理的な対策を徹底しても、端末を操作する従業員のセキュリティ意識が低いと防御態勢は完結しません。

セキュリティリスクは身近に存在することを意識して、端末の取り扱いや情報の保管方法、情報へのアクセス方法など徹底したルール遵守が必要です。

そのためには、それぞれのセキュリティ対策について理解を深められるように講習会を開いたり、セキュリティに関する情報を共有したりすることで、常にセキュリティ意識を持てる環境を作りましょう。

専門業者に依頼する

「セキュリティ対策に力を入れたいとは考えているが、自社のリソースだけで対策を構築することが難しい」もしくは「取っ掛かりが分からない」という場合は、専門企業からサービスやソリューションの活用についてアドバイスを受けることも選択肢に入れましょう。

NTTデータ関西では、専門の技術者が最新セキュリティ対策のご提案から導入・運用まで一貫してサポートするサービスを提供しています。セキュリティ対策にご不安をお持ちの方は、ぜひご相談ください。

▼セキュリティ導入・運用支援ソリューションの詳細について

セキュリティ導入・運用支援ソリューション| NTTデータ関西

また下記のインタビュー記事では、セキュリティ対策と「守りのDX」の重要性、NTTデータ関西のサポートの強みなどを語っています。

「息をするようにセキュリティ対策」の時代へ―NTTデータ関西がリードする「守りのDX」

情報セキュリティとは何かを理解し、的確に対策をすることで企業の信頼を高める

日々、膨大なデータを利活用する企業にとって情報セキュリティの確保は必須です。商品や技術の最新情報や開発情報といった機密性の高い情報が漏えいすれば、企業運営を左右しかねません。また、顧客情報や従業員の個人情報が抜き取られたり漏えいしたりすれば、一気に信頼を失うことになります。

企業にとって情報セキュリティの確保は、重要な最優先課題といってもよいでしょう。そのための対策方法を紹介してきましたが、まずは専門的な企業が提供しているクラウドサービスを利用し、セキュリティ環境を構築していくことが最適解かもしれません。

NTTデータ関西が提供する多様なソリューションから、自社が必要とするものを選択し、最適なセキュリティ対策をご検討ください。

セキュリティ導入・運用支援ソリューション| NTTデータ関西

D×KNOWLEDGEトップに戻る
関連ソリューション・サービス
セキュリティ導入・運用支援ソリューション
高度化するサイバー攻撃に対して最新の対策方法を企画・運用支援。
bAudit
脱PPAPに対応することで、煩雑になりがちなメールオペレーションを解消するためのソリューション。

おすすめ記事

カテゴリー

ランキング