情報セキュリティコラム

いまさら聞けないセキュリティ対策の基礎知識

サイバー攻撃の脅威が高まっている近年、テレワークなどのワークスタイルの変化を受け、セキュリティ対策をより意識的に強化する必要が出てきています。そこで今回は、セキュリティ対策の見直しのためにも、いまさら聞けないセキュリティ対策の基礎知識をご紹介します。

1.セキュリティ対策の必要性が増している

企業や官公庁を狙った標的型攻撃などのサイバー攻撃が相次ぐ中、働き方改革や新型コロナウイルス感染症の感染対策により、ワークスタイルが大きく変化しました。従来とは異なる環境になり、従来のセキュリティ対策では対応しきれなくなってきています。働く環境の変化により、新たにネットワークを構築する必要があるため、セキュリティ的な脆弱性が生まれやすくなっています。このことから、これまでとは異なる視点の対策が必要となっています。

企業や組織としての対策はもちろんのこと、社員やメンバー一人一人が、テレワークなどでPCやモバイルデバイスをマルウェアなどから守る必要性も出てきました。そのため、社員やメンバーへの教育も必要になってきています。

企業や組織の規模を問わず、また役職問わず、各人の情報セキュリティに対する意識と知識をレベルアップしていく必要性があります。

情報セキュリティ対策の基本を習得しておくことは、もはや必須といえます。

2.情報セキュリティを構成する7要素

そこで今回は、情報セキュリティ対策の基本をご紹介します。まずは情報セキュリティを構成する7要素を知り、セキュリティ対策のベースを持っておきましょう。

情報セキュリティには、大きく次の7つの要素に分かれるといわれています。

2-1.機密性

認可されていないユーザーからのアクセスやプロセス等に対して、情報を使用不可もしくは非公開にする特性です。使用させない、漏洩しないという意味も含まれます。

2-2.完全性

情報資産の正確さや完全さを保護する特性のことです。つまり情報について正確さを保ち、常に最新の状態で管理することを指しています。

2-3.可用性

可用性とは、「使用可能性」のことを指し、必要な人が必要なときに使える状態であるという特性です。例えば災害時などに社内データにアクセスできないのは可用性を欠いています。

2-4.真正性

ある主体または資源が、主張どおりであることを確実にする特性のことです。利用者、プロセス、システム、情報などに対して適用されます。つまり、本人が本人であることを認証するシステムがそれに当たります。

2-5.責任追跡性

データベースやネットワークのアクセスログを追跡できることを確実にする特性です。

2-6.否認防止

ある活動、またはある事象が起きたことを、後になって否認されないように証明する能力のことです。デジタル署名等がそれに当たります。

2-7.信頼性

意図した動作や結果に一致する特性のことです。情報システムが正しく動作し、意図した処理を行うことができるかどうかということです。

3.セキュリティ対策の基礎知識

これらの情報セキュリティの7要素を保つことが情報セキュリティを守るための対策となります。では、具体的にどのような対策が実施できるのか、そのセキュリティ対策の基礎知識を紹介します。

情報セキュリティ初心者のための3原則

総務省は、「情報セキュリティ初心者のための3原則」として、「ソフトウェアの更新」、「ウイルス対策ソフト(ウイルス対策サービス)の導入」、「IDやパスワードの適切な管理」の3つの対策を挙げています。それぞれ押さえておきましょう。

3-1.ソフトウェアの更新

サイバー攻撃は、OSやウェブブラウザなどのソフトウェアに見つかる脆弱性を狙うものが多くあります。こうした脆弱性は、各ソフトウェアメーカーから修正プログラムが配布されるため、それを適用して随時更新する必要があります。このようにして常に最新の状態にソフトウェアを保っていても、攻撃はされてしまうものです。ですので、この対策は最低限のものといえます。

3-2.ウイルス対策ソフト(ウイルス対策サービス)の導入

ウイルス対策ソフトをパソコンにインストールし、常にウイルスを監視したり、スキャンを行ってセキュリティの脅威がないかを確認したりすることで、ウイルス対策を実施することが重要です。

3-3.IDやパスワードの適切な管理

個人が使用するIDやパスワードは、パソコンやモバイルデバイスなどの情報機器やインターネットサービス、クラウドサービスなどを利用する際に認証を行うものです。IDやパスワードが他人に奪われてしまうと、自分になりすまされてしまい、情報機器や各種サービスを勝手に利用され、情報が漏洩されたり、不正利用されたりするおそれがあります。そのため、IDやパスワードは適切に管理しなければなりません。例えば、パスワードは他人に容易に想像されないものを作成する、複数のサービスで同じパスワードを使い回さない、IDやパスワードを記したメモは他人の目につきにくいところに保管するなどがあります。

その他の情報セキュリティ対策

・不正アクセス対策
不正アクセスとは、個人PCやスマートフォンなどのメールやアプリを通じて、外部から侵入し、カード情報を盗みとるなどにより、金銭被害を伴うものです。パーソナルファイアウォールやフィルタリングなどの機能を備えた総合セキュリティ対策ソフトの導入や、不審なメールの開封をしない、不用意にアプリをダウンロードしないといった対策が有効です。

・プライバシー設定の見直し
普段からよく利用するブラウザやアプリなどのほか、PCやモバイル端末自体の個人情報を保護するプライバシー設定を見直し、設定を強化することも重要です。

・脅威の手口の情報を常にチェックしておく
サイバー攻撃は、どんどんその手口が高度化しています。そのため、常に発表されるセキュリティ脅威の最新情報をチェックしておくことが重要です。
また企業は社員に向けて情報セキュリティに関する情報を教育する機会を定期的に設けるなどすることも重要です。

まとめ

情報セキュリティ対策の基礎知識をご紹介してきました。テレワークなど、ワークスタイルが変化するなか、セキュリティに関して十分な知識の習得と対策が必要になります。セキュリティ対策の知識のベースを作り、さらにレベルアップしていきましょう。

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT CLC

シー・エル・シーとは

システムの最適化を提案するエキスパート

CLCはさまざまな業種のお客様からシステムについてのご相談をいただき、そのつど問題の的確な解決に努力してまいりました。
システムに関する豊富な経験とノウハウを活かした実績が評価され、システムの最適化をご提案するエキスパートとして、お客様から厚い信頼を頂いています。