Japan
サイト内の現在位置
データ管理
安全なデータ管理の実現に向けた、基本的なセキュリティ対策の方法をご紹介
近年、標的型攻撃による機密情報の窃取や、テレワーク時のネットワークの脆弱性を狙った攻撃など、情報セキュリティに関する脅威はますます巧妙になってきています。警察庁が実施しているサイバー犯罪の検挙件数の調査※によると、2021年の検挙件数は12,209件となっており、10年前の2011年(5,741件)と比較すると2倍以上も増加しています。
- ※(出典)警察庁「サイバー空間をめぐる脅威の醸成について」(令和4年上半期,平成26年上半期)
さらに、サードパーティー・Cookie規制強化に伴い、個人にまつわる情報を安全に管理することが、企業の信頼度を維持していくためにも重要視されはじめています。
このような状況下でも、企業が安全なデータ管理・活用を実現し、既存業務の効率化やビジネス価値の創造につなげていくためには、まず自社のセキュリティ対策を見直すことが重要です。
今回は、企業の安全なデータ管理を実現するために必要な、基本的なセキュリティ対策の考え方と方法をご紹介します。
目次
1. 約3割の企業でセキュリティ投資が行われず、インシデント発生のリスクが高まる
セキュリティ対策の重要性が高まる一方で、実は多くの企業のセキュリティ対策に問題が潜んでいます。情報処理推進機構(IPA)が行う、セキュリティ対策投資額についての調査項目によると、回答企業全体の33.1%にあたる1,258社の企業においてセキュリティ対策のための投資が行われていない状況です。サイバー犯罪の検挙件数が増大し、企業の情報管理におけるリスクが高まっている中でも、十分なセキュリティ対策が進んでいないのが実態です。
なぜ、十分な対策ができておらず、適切なデータ管理が進まない状況なのでしょうか?
2. 適切なセキュリティ対策の方法を知らないことが、データ管理の安全性を脅かす要因に
適切なデータ管理が進まない要因としては、次のようなことが挙げられます。
- セキュリティ対策のコストがかかりすぎる…
- 費用対効果が見えない、わからない…
- セキュリティ対策を行う人員がいない…
- セキュリティソフト導入後の管理に手間がかかる…
- セキュリティ対策の必要性がわからない…
- 親会社、上層部の意向で対策を実施できない…
人員不足やコスト、会社の意向、運用面の問題などのセキュリティ対策の実施に向けた社内環境の要因がネックとなり、対策が実行に移しにくいことも想定されます。しかし、一番の原因は、自社の事業内容や風土に合ったセキュリティ対策の方法が分からないからではないでしょうか?
3. 安全なデータ管理に向けて、脅威の種類やセキュリティ対策の方法をイメージしましょう
自社に最適なセキュリティ対策を講じ、安全なデータ管理を行うために、まずは自社にとって備えるべき脅威はどんなものがあるのかをイメージできるようにすることが第一歩です。それにより、セキュリティ対策の優先順位をつけながら、打つべき施策や方向性の具体的な検討にもつながります。
3-1. 企業にとって備えるべきセキュリティの脅威を知る
セキュリティの観点において、脅威とされているものは「物理的脅威」「人的脅威」「技術的脅威」の3つに大別されます。
- 物理的脅威
地震や台風などの自然災害や、ハードウェア損傷に起因する損害 - 人的脅威
入力ミス、誤操作、盗難など、単純ミスから確信的犯行までの行為に起因する損害 - 技術的脅威
サイバー攻撃、マルウェアなど、プログラムの不具合や脆弱性を攻撃することに起因する損害
物理的脅威や人的脅威に備えた対策も、もちろんビジネスの継続性や信頼性を左右する重要な対策として位置づけられていますが、データを適切に管理し、データ活用を円滑化させるためにまず行いたいのが、技術的脅威への対策です。
おもな技術的脅威としては、マルウェア感染や不正アクセスなど、次のようなものが挙げられます。脆弱性と呼ばれる、ソフトウェアの不具合やアクセス制御の不備などのリスク要因となる弱点や欠陥を狙った攻撃が特長です。
- マルウェア感染
マルウェアとは、ユーザーに不利益をもたらす悪意のあるソフトウェアの総称です。例えば、自己増殖機能を持つ「ワーム」と呼ばれるマルウェアを用いて、メールからターゲット企業のネットワークに侵入し、OS(オペレーティングシステム)やアプリケーションの脆弱性を利用し、増殖を繰り返しながら不正な動作を行なう、といった攻撃があります。 - 不正アクセス
不正アクセスは、本来アクセス権限を持たないユーザーが、企業のサーバーやネットワークに不正にアクセスする行為のことを指します。例えば、予め何らかの方法で入手したユーザーIDやパスワードを利用して不正なログインを試みる、「パスワードリスト攻撃」などがあります。 - 情報漏えい
情報漏えいは、企業が有するさまざまな情報が、意図せず外部に流出してしまうことを指します。例えば、ECサイト上に不正なプログラムを埋め込んで、利用者が入力した決済情報を窃取する、「Webスキミング」と呼ばれる攻撃などがあります。 - データ改ざん
データ改ざんは、サーバー上に保管している情報が、攻撃者の都合のいいような内容に勝手に書き換えられてしまうことを指します。Webサイトの脆弱性を狙って、htmlに悪意のあるスクリプトを埋め込む、「クロスサイトスクリプティング攻撃」などが該当します。
3-2. セキュリティ対策の方法をイメージする
さまざまなセキュリティの脅威に、企業はどのように備えていく必要があるのでしょうか?技術的脅威に備えた対策の方向性として、外的要因への対策と内的要因への対策の2種類が基本的な考え方としてあります。
- 外的要因への対策
企業のネットワーク外からの不正な侵入や攻撃を防ぐことで、「入口対策」とも呼ばれます。 - 内的要因への対策
万が一企業のシステム内に侵入されたとしても、外部にはデータを流出させないようにすることで、「出口対策」とも呼ばれます。
しかし、サイバー攻撃が高度化・多様化する現代では、どちらか一方の対策だけをしても、セキュリティ対策としては不十分です。そのため、社内ネットワークは安全で外部ネットワークは危険、というような境界で区切った対策のみを行うのではなく、内部も外部も関係なく、全てのアクセスを信頼せずに対策を行う「ゼロトラスト」という考え方をベースに、外的要因・内的要因の両方で多層的なセキュリティ対策が求められます。
例えば、「暗号化」「侵入検知(IDS)/侵入防御(IPS)」「アクセス制御」をはじめとする方法を組み合わせることで、ゼロトラストの考え方に基づく多層的なセキュリティ対策が実現できます。
- 暗号化
暗号化アルゴリズムと呼ばれる暗号化のルールを用いながら、元のデータを読めない状態に変換し、ネットワークの情報やサイトのトランザクション、顧客のデータなどの機密データを保護します。暗号化は一般的に、メールやWebサイトでのデータの送受信を行う際に活用されています。万が一データが流出してしまった場合でも、データが暗号化されていれば、データの解読や悪用のリスクを下げることができます。 - 侵入検知(IDS)/侵入防御(IPS)
侵入検知(IDS)では、社内外のネットワークの監視を行い、不正なアクセスを検知した場合は、セキュリティ管理者に通知されます。一方、侵入防御(IPS)では、侵入検知(IDS)と同様に不正なアクセスを検知し通知を行うほか、通信自体を自動的に遮断することで不正なアクセスを未然に防ぎます。両方を併用しながら、「チューニング」と呼ばれる、用途に応じて検知したい通信を調整することで、正常な通信を遮断してしまう誤検知を防ぎつつ不正な通信を遮断することができます。不正な通信は遮断し、正常なものだけの通信を可能にすることができます。 - アクセス制御
アクセス制御は、PINコードや、パスワード、生体情報などを用いて、システムやデータにアクセスする利用者を制御します。安全なデータ管理を実現する上でアクセス制御は防波堤としての役割を果たしており、正当な目的を持つユーザーのみ情報のアクセスを可能にします。アクセス制御による対策の身近な一例として、「多要素認証」があります。多要素認証は、2つ以上の認証要素を組み合わせたアクセス制御を行う方式で、ID・パスワードとSMSなどに送付される認証コードを用いたWebサイトへのログイン時にも活用されています。
ゼロトラストをベースにした多層的な対策の考えで、継続的なリスク分析・評価を行いつつ、自社に最適なセキュリティ対策や安全なデータ管理の実現につなげていくことが重要です。
安全なデータ管理を実現することで、企業のデータ活用を進めたり、さらに円滑化したりすることができます。それによって、データ活用のゴールの一つである、業務効率化や新しい価値の創造にもつながります。データ管理の安全性向上の取り組みを進めるにあたって、他社のデータ活用事例を参考しながら自社のデータ活用の姿をイメージすると、必要なセキュリティ対策やデータ管理の方向性の検討がしやすくなるかもしれません。
NECでは、国内の先進企業が進めるデータ活用の先行事例を、ポイントも解説しながら、ご紹介しています。まずは、実際のデータ活用の事例を見ながら、安全なデータ管理を実現するために自社でどのような取り組みが必要か検討することから始めませんか?
関連記事もぜひご覧ください