Netpress 第2383号 万が一の情報漏洩事故から組織を守れ! 情報セキュリティ定期点検のススメ
1.サイバー攻撃の脅威が年々増大しているなか、サイバー攻撃などによるセキュリティ事故は起こり得るものとして、定期的な備えを行うことが重要です。
2.まずは重要性、効果が高い対策から行い、段階的な実施でレベルアップを図りましょう。
さくら情報システム株式会社
プラットフォーム事業本部
セキュリティソリューション部
セキュリティコンサルグループ グループ長 小針 亮子
1.情報セキュリティの状況と定期点検
皆さまの組織でも、災害の脅威から従業員の命を守り業務を継続させるため、消防点検や避難訓練は定期的に実施されていることと思います。
その一方で、デジタル分野での脅威、すなわちサイバー攻撃への対応状況の点検や訓練を定期的に行っていない組織も多く見られます。
国立研究開発法人情報通信研究機構の調査によると、2023年に観測されたサイバー攻撃関連の通信は、2022年から18%も増加し、サイバー攻撃の脅威は年々増大しています。
しかし、多くの人がその脅威を目の当たりにする機会は少なく、災害と同じレベルで定期的な備えを行っている組織は少ないのではないでしょうか。
2.情報セキュリティ定期点検とは
サイバー攻撃はいつ発生してもおかしくないという現状において、「事故は起こるもの」という心構えで限りなくリスクを低くすることが、組織を守る最善策となります。
そこで有用なのが、情報セキュリティにおいても定期点検を実施することです。
組織によって定期的に点検すべき事項の優先順位や内容は若干異なりますが、主に以下の6つの実施内容が挙げられます。
| (1) | 情報資産やセキュリティ対策の見直し(リスクアセスメント) |
| (2) | セキュリティ教育・研修 |
| (3) | システムへの脆弱性診断 |
| (4) | インシデント対応訓練 |
| (5) | 標的型攻撃メール対応訓練 |
| (6) | 重要情報のバックアップの見直し |
3.具体的な実施内容と実施のメリット
(1)情報資産やセキュリティ対策の見直し(リスクアセスメント)
情報資産の有無は自組織の保有するリスクに大きな影響をもたらすため、情報資産を定期的に見直すことで、正確なリスクを把握することができます。
また、実施中のセキュリティ対策の効果を分析し、対策を見直すことで投資対効果を高めることにつながります。
(2)セキュリティ教育・研修
最近のサイバー攻撃は、メールなどで人をだますことを起点とする傾向にあり、その手口や手段もさまざまです。そのため、情報システム部門だけではなく一般社員に対しても、新たな攻撃の脅威に対する教育を定期的・継続的に行うことが重要です。
(3)システムへの脆弱性診断
Webサイトやサーバ・ネットワーク機器には、システムの正常稼働に悪影響を与え得るセキュリティ上の不具合、すなわち脆弱性が発見されることがあります。多くのサイバー攻撃は、この脆弱性を利用することによって行われています。
Webサイトのリリースや機器の導入時に脆弱性診断を行うことは一般的となってきましたが、脆弱性は経年によって新たに発見される性質があります。そのため、新たな脆弱性が発生していないことを定期的に診断することが有効な対策となります。
(4)インシデント対応訓練
サイバー攻撃によるインシデント発生に備え、あらかじめ連絡網や対応手順の準備はあっても、人員の入れ替わりやシステム環境の変化に伴い、その実効性が失われてしまうことがあります。
災害訓練と同様に、関係者を集めて机上または実際に手を動かしながら訓練をすることで、現状での組織の対応力や対処の手順、対策の十分性を確認することができます。
(5)標的型攻撃メール対応訓練
サイバー攻撃の多くのケースは、メールを起点として行われています。そのなかでもメールを使った標的型攻撃は、特定の企業をターゲットに、メールの添付ファイル開封またはメール文中に含まれるWebアドレスへのアクセスを巧みに誘導し、PCをウィルスに感染させるというものです。
この攻撃の手口は年々多様化しており、訓練を通じて最新の手口を定期的に体験し、正しい行動をとれるようにしておくことが肝要です。
(6)重要情報のバックアップの見直し
組織内のデータを暗号化し、暗号化解除と引き換えに金銭を要求するランサムウェアによるサイバー攻撃は、組織を業務停止状態に追い込むといった深刻な被害を引き起こしています。
ランサムウェアへの対策としては、暗号化解除の金銭取引に応じなくともすむよう、定期的なバックアップを取得し、重要データを復旧できるようにしておくことが有効です。バックアップはシステム障害や災害対策としてすでに実施している組織も多いと思います。それに加えて、必要なデータをバックアップしていることや、定められた手順で正しくデータが復旧できることを定期的に確認すると、より確実な対策となります。
4.最後に
ここまで説明してきたような対応を現在実施していない組織においても、まずは重要と考えるものから一度実施してみることをお勧めします。
現状を可視化・分析することで、組織全体のリスク認識や意識向上の第一歩となります。そこから具体的な対策を実施し、定期的に確認することによって、年々高度化するサイバー攻撃への組織の対応力が強化されることになります。
【SMBC経営懇話会会員限定】
IT・情報システムについての個別相談会のご案内(WEB相談可)
| テーマ:IT・情報システムなんでも相談 講師:さくら情報システム株式会社 コンサルティング部 松澤 文明 氏、鈴木 優一 氏 場所:SMBCコンサルティング株式会社 東京本社 開催日時:2024年7月11日(木)10:00~17:00 申込はこちら |
SMBC経営懇話会のサービスはこちらをご覧ください
SMBC経営懇話会のご案内
「Netpress」はPDF形式でもダウンロードできます
SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://www.smbc-consulting.co.jp/company/mcs/basic/sodan/
この記事が気に入ったらシェア!
関連キーワード
経営者・経営幹部・管理職 コンプライアンス・リスク対応 Netpress DX・テクノロジー
