最新セキュリティマネジメント（第34回）企業に必須の情報セキュリティ対策の基本

　前回のコラムで、独立行政法人情報処理推進機構（以下、IPA）が「情報セキュリティ10大脅威 2024」を発表したと紹介した。1位は4年連続で「ランサムウェアによる被害」だった。

　発表から約1カ月後の2月29日には3つの解説書を公開している。この中には「情報セキュリティ10大脅威2024版　セキュリティ対策の基本と共通対策」という解説書もある。この解説書を元に、今、企業に求められるセキュリティ対策の基本について考えてみたい。

共通する攻撃の糸口から対策のあり方を考える

　「セキュリティ対策の基本と共通対策」では、10大脅威以外にも多数の脅威が存在するものの、攻撃の糸口は似通っているとして5つに分類している。ここから情報セキュリティ対策を考えるとよいだろう。

　攻撃の糸口の1つ目は「ソフトウェアの脆弱性」だ。利用しているソフトウエアの不備などを狙った攻撃がこれに相当する。セキュリティの専門家の多くは日々ソフトウエアを検証しており、脆弱性が見つかった場合にはIPAなどの団体やそのメーカーに連絡している。ソフトウエアを更新したり適切な対策を講じたりすればリスクを低減できる。

　2つ目に「ウイルス感染」を挙げている。ウイルス感染は最もよく知られている攻撃手法だが、いまだに脅威をふるっている。対策としてはアンチウイルスソフトを導入したり、セキュリティ診断サービスを利用したりしてセキュリティレベルを上げておくとよいだろう。セキュリティソフトを利用して攻撃をブロックできればウイルス感染を防止できる。

　3つ目は「パスワード窃取」で、対策の基本としてパスワードの管理・認証の強化を上げている。前回のコラムで取り上げたように、情報リテラシーの向上には従業員へのセキュリティ教育も必要だ。パスワードの重要性についても認識を深めてもらおう。

　4つ目は「設定不備」だ。サーバーやクライアントデバイス、ネットワーク機器などの設定を誤ると、攻撃の糸口を与えてしまう場合がある。攻撃者は常に弱いところを洗い出しているのだ。普及が加速するクラウドサービスを利用する場合にも、適切な設定を行う必要がある。

　5つ目は「誘導（罠にはめる）」という攻撃手法だ。攻撃者は偽のメールをクリックさせたりフィッシングサイトに誘導したりして、IDやパスワードを盗み取ったりマルウエアを送り込もうとしている。ここでもセキュリティ教育の徹底が重要なポイントになる。

組織として講じる対策、従業員に求めるべき対策

　これらの5つの攻撃の糸口から考えると、企業に求められるセキュリティ対策の基本は大きく2つに分類できるだろう。1つは適切なセキュリティ対策の導入やセキュリティポリシーの設定と運用、インシデント対応体制の確立など、組織として講じておくべき対策だ。もう1つが、個々の従業員がパソコンなどを操作する際に注意してもらう対策となる。

　組織として講じておくべき対策については、解説書に細かく記載されている。連絡、相談窓口の用意、インシデント対応体制の整備、サーバーやクライアント、ネットワークの適切なセキュリティ対策、バックアップ運用、従業員へのセキュリティ教育の実施などだ。

　従業員に求めるべき対策については、パスワードの適切な運用、SNSやインターネットの慎重な利用、メールの添付ファイルやSMSのリンク、URLのリンクなどの真偽の見極め、インシデントが発生した場合の適切な報告、連絡、相談などがある。これらを徹底するために、組織にはセキュリティ教育の継続的な実施が求められる。

　上記の対策項目についてIPAの解説書には、さらにブレークダウンしたさまざまな対応策が紹介されている。例えばパスワードについては、パスワードを作成するために意識するべき点や保管・運用方法、不正にログインされた場合の対応策などが具体的に解説されている。

　その他にも情報リテラシーやモラルの向上策、安易なクリックの防止方法、インシデント発生時の相談先、インシデント対応体制の整備方法、具体的なセキュリティ対策、バックアップの運用方法など、それぞれについて具体策が紹介されている。一度目を通しておくとよいだろう。