2015.07月号

ArayZオリジナル特集

企業情報の守り方を解説 IT・データセキュリティ対策のHow To

sub

ビジネスのペーパーレス化が進み、企業の重要な情報はパソコンやタブレット、スマートフォンなどのデバイスに多く保存されている。ネットワーク上からのリスクと端末の紛失・盗難などの物理的なリスクからどのように重要な情報を守るのか。
その対策について、IT・データセキュリティのプロフェッショナルであるHitachi Asia (Thailand) Co., Ltd.の高橋秀幸ジェネラルマネージャーと、河崎誠シニアマネージャーに話を伺った。

HOW TO 1
資産としての情報を正常に維持する

企業が恐れるべき事態として、まず、内部情報の外部漏洩というリスクがある。運営上持ち合わせる、法人・個人顧客の情報、従業員の個人情報、また、培ってきたノウハウといった機密情報などが外部に漏れることがあれば、重大な問題だ。情報を守るには、インターネットやEメールなど、ネットワーク上で起こりうるの問題と、モバイルやパソコン端末の盗難、紛失など物理的な問題の2局面からリスク対策を講じる必要がある。また、それら漏洩の原因が企業内部と外部、どちらからの要因であるかも考えねばならない。
日本・経済産業省の委託を受けているNPOの日本ネットワークセキュリティ協会によれば、情報セキュリティとは、「企業の情報システムを取り巻くさまざまな脅威から、情報資産を機密性・完全性・可用性(3要素)の確保を行いつつ、正常に維持すること」と定義している。

正常に維持すること為の3要素

【機密性の確保】
情報資産を正当な権利を持った人だけが使用できる状態にしておくこと。
情報漏えい防止、アクセス権の設定、暗号の利用などの対策。
【完全性の確保】
情報資産が正当な権利を持たない人により変更されていないことを確実にしておくこと。
改ざん防止、検出などの対策。
【可用性の確保】
情報資産を必要なときに使用できること。
電源対策、システムの二重化、バックアップ、災害復旧計画などの対策。

HOW TO 2
ネットワーク上の脅威にはスキを埋めることで対策を

河崎氏はネットワーク上で起こりうる脅威の管理についても、内部からと外部からの両面で対策を講じるところから始まると話す。
「まず内部で予測できるリスクとして、情報ファイルをEメールに添付し送信する流出、ウェブに情報をアップロードしての持ち出し、人為的な操作ミスによる情報漏洩、モラル低下によるルールの不徹底が原因で起こりうる漏洩などが考えられます。内部から漏洩する場合は、故意的なものもあれば人為的なミスということもあります。
外部からの場合は悪意のあるソフトウェアをインターネット経由でインストールしてしまう、ウイルスに感染する、不正にアクセスされるなどの脅威が考えられます」(※)。
外部からのリスクに対し、まず簡単に実行できる対策として〝脆弱性の解消〞がある。
ウインドウズの場合は「Microsoft (Windows) Update」、マッキントッシュであれば「定期的なセキュリティ更新の適用」を行い、OSなどを常に最新バージョンにアップデート、セキュリティ更新を行い、セキュリティホールと呼ばれる安全上の欠陥(脆弱性)を放置しないようにすることだ。脆弱性はウイルス感染の危険も引き起こす。
また、ウイルス対策にはセキュリティ(ウイルス)対策ソフトをインストールし、ウイルス定義ファイル(パターンファイル)を常に最新の状態にする(自動更新)ことも有効で、セキュリティ機能は安易に止めない、ウイルスを発見したら駆除することなどを習慣付けておきたい。

代表的な外部からの脅威例(※)

スパイウェア
利用者の意図に関わらず勝手にパソコンに侵入(感染)し、パソコン内の情報や利用者の操作を記録、必要に応じて外部に送信する行為を行う。
暴露ウイルス
ファイル交換ソフトを介して情報流出を行うウイルスで、利用者のパソコンを勝手にインターネット上で一般公開のウェブサイトにして暴露してしまう。
スケアウェア
「あなたのパソコンはウイルスに感染しています」と偽の情報を表示し(自作自演のウイルス騒ぎ)、偽ウイルス対策ソフトの購入を促すなど脅迫する。
ランサムウェア
パソコンに格納された特定のファイルやフォルダを勝手に暗号化などし、『戻すためのパスワードを知りたければ金を出せ』などと脅迫する。
トロイの木馬
ギリシャ神話「トロイの木馬」に由来し、利用者の意図に反し、攻撃者の意図する動作を侵入先のパソコンで秘密裏に行うプログラム。
バックドア
ネットワークを介して外部からパソコンを操作させるための裏口(バックドア)を作成。パソコンの外部から侵入して、操作ができるようになる。
不正なプログラムのダウンロード
パソコンの利用者が気づかないうちに、不正なプログラムなどをインターネットからダウンロードし実行してしまう。
ワーム
ウイルスのようにほかのプログラムやファイルに感染(寄生)するタイプではなく、パソコンにインストールされ実行される自己完結型のプログラム。
マルウェア
不正かつ有害な動作を行う意図で作成された、悪意のあるソフトウェアや悪質なコードの総称。

gototop