情報セキュリティを考えようQQ

情報資産を守る!!

顧客情報、スタッフの個人情報、銀行口座やクレジット番号、IDにパスワード。。。会社運営には「情報資産」がつきものです。

「情報セキュリティ」すなわちそれは「情報資産を守る」ことです。
それではまず、この情報資産を脅かすリスクを考えていきましょう。情報資産に対するリスクのことを、IT分野では特に「脅威」と呼びます。そしてこの脅威は、大きく下の3つに分類されます。

① 人的脅威
② 技術的脅威
③ 物理的脅威

3つの脅威

その1【人的脅威】

操作ミスでデータを消去してしまう、不正アクセスする、情報を漏洩させる、データを改ざんする、など、人の行動によって引き起こされる脅威を指します。

人的脅威は、操作ミスを除いてはおおむね、悪意あるスタッフなどによってもたらされる脅威なのですが、うちに不正を行うような社員はいないと、楽観的に考えてしまっている経営者の方も多いようです。
人がよいといえばそうですが、情報資産の漏洩や改ざんは会社内外問わず、重大なトラブルを引き起こします。うちの社員がまさか・・・と起きてからの後悔では遅いのです。

 

その2【技術的脅威】

技術的脅威とは、コンピュータウイルスなど、主にIT技術を用いて引き起こされる脅威のことです。

ウイルスの作成も人の手によるものなので、人的脅威と区別しにくいですが、『人が』データを盗みだして悪用する、『ウイルスが』データを盗み出して拡散させる、というように、結果をもたらす『最終的な手段』が人か、人の作った技術か、で判断します。

マルウェアという単語をご存じでしょうか。
マルウェアとは「Malicious(悪意ある)」と「Software(ソフトウェア)」を組み合わせた造語で、悪意あるソフトウェア全般を指す言葉です。コンピュータウイルスもマルウェアの一種となります。

以下は、特に有名なマルウェアや悪意ある技術的脅威の例です。

・スパイウェア
利用者に気づかれないよう、個人情報を盗み出して収集するプログラム。マルウェアの一種です。

・ランサムウェア
コンピュータを使用不能にし、回復のための金銭を要求するソフトウェア。感染するとコンピュータ内のデータが勝手に暗号化され正常に稼働しなくなる。マルウェアの一種。ランサムとは「身代金」の意味です。

・トロイの木馬
非常に有名なマルウェア。一般的なアプリや有用なソフトのように見せかけてインストールを促し、コンピュータに侵入するソフトウェア。巨大な木馬の中に潜んだ兵士がトロイ国に侵入し、滅亡させたというギリシャ神話が名前の由来です。

・フィッシング
銀行などの金融機関を装った偽のウェブサイトに誘導し、個人の口座番号や暗証番号、クレジット情報などを不正に取得する手法。メールなどで利用者を巧みに誘導する手口が一般的です。

・SPAM(スパム)
受信者の承諾をとることなく無差別に送られてくるメールのこと。ウイルスの添付やフィッシングサイトへの誘導リンクなど、悪意あるプログラムへの窓口としてスパムメールが用いられる。

・EMOTET(エモテット)
「なりすましメール」の添付ファイル(オフィスファイル)を通じて感染を拡大させるマルウェア。同一のネットワーク内で自己増殖する「ワーム機能」を備えた最恐のマルウェアの一つで、世界規模で爆発的被害をもたらした。2021年5月頃にエモテットのサイバー拠点が制圧され活動は沈静化していたが、同年11月頃より再び被害が拡大。2022年3月時点で、日本国内でも大企業・中小企業問わず、多くの企業が被害にあっている。

 

その3【物理的脅威】

物理的脅威とは、会社の建物設備や機械などが物理的な手段や方法、理由によって直接的な被害を受ける脅威です。
地震や台風などの災害や停電、盗難や破壊行為、通信を遮断して業務を妨害する行為などがこれにあたります。

盗難・破壊・妨害行為なども、人的脅威とかぶりそうですが、「直接」か「間接」か、で区別されています。
コンピュータに不正アクセスして情報を取得し漏洩する行為は「間接」的となり人的脅威。サーバの保管室に侵入し、重要データやコンピュータそのものを盗み出す行為は「直接」的なので物理的脅威となります。(この違いについては、実は私もなんとなくしか理解していません。ITパスポート試験などでも違いを問われることはないのでスルーしていただいてOKです。)

次に、脅威への備えを考えていきましょう!

リスクへの備え/セキュリティ対策

情報資産を守るためにまず思いつくのは、そう、ウイルス対策ソフトです。
もはや現代社会の必須アイテムとなりつつあります。各メーカーから様々なものがリリースされており、無料版などもありますが、会社での使用であれば、有名メーカーの有料のものをおススメします。

理由は内容の充実度。アップデートやサポート体制など、数え上げたらきりがありません。
マルウェアは常に進化していますので、ウイルス対策ソフトもしっかりとアップデートされていくものでなければいけません。

次に重要なのは、パソコンのアップデート。こちらも基本です。
Windowsでは基本的に、自動更新(アップデート)が行われます。電源を落とす際に「更新してシャットダウンする」といった表示がされることが多いので、その都度更新していけばおおむね問題ありません。「いいえ」や「更新しない」などを選択しないように気を付けてください。

対策資金や対応スタッフの方に余裕がある場合には「ゲートウェイセキュリティ」の導入もおすすめします。
ゲートウェイとは出入り口のこと。つまり、インターネットにつながる出入口部分からセキュリティ対策をしようというもの。「家」で例えるなら、門扉(敷地と外の境界)付近に設置する防犯カメラや常駐の警備員さん、といった感じです。「勝手に敷地に入っちゃダメだよ」と不審者の侵入を未然にシャットアウトしてくれます。

ちなみにALTではゲートウェイセキュリティとして、FUJIFILMさんの「beat」を導入予定です。
beatの詳細はこちら

そのほか、データそのものを物理的に守る対策としては、バックアップ機能付きのデータサーバの利用や外付けのハードディスクへの定期的なバックアップが有効です。
パソコン本体に損傷が起きた場合も、データの損失がより軽微で済みます。

また、紙ベースの情報資産を守るために、耐火金庫の設置も検討しましょう。
盗難防止だけではなく、火災の時に重要書類等を焼失させないことも金庫の大きな役割です。
書類の他、印鑑、通帳、キャッシュカード、クレジットカードなど、焼失しては困るものはできるだけ耐火金庫に保管してください。

ここまで、IT技術や設備面における情報資産のセキュリティ対策をご案内しましたが、今回は「人的脅威」についてはあまり触れていません。
人的脅威への対策は、ALTのコンサルティング業務の一つ、人事労務の分野にも関連するため、少しボリュームが必要だと考えていま
す。今回はここで一旦区切りをつけ、次回投稿にて、人事と情報セキュリティについてのご案内をしたいと思います。

ここまでお読みいただきありがとうございました。次回投稿にもご期待ください♪

Posted by ALT