2024.12.12
情報セキュリティの見直しと強化(監査と点検) 3/3
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
本記事では、組織における情報セキュリティへの取り組みを監査・点検する方法について全3回にわたって紹介しています。今回はシリーズの最終回として、常に進化し続けるIT環境に合わせた監査・点検のあり方を、詳しく解説します。
前回の記事はこちら:情報セキュリティの見直しと強化(監査と点検) 2/3
1.サイバーセキュリティの背景
今さらですが、本記事の主題である「サイバーセキュリティ」に関する法律があることをご存じでしょうか。2014年に施行された「サイバーセキュリティ基本法」には、以下の条文があります。
簡潔にいうと「インターネット活用が進展する中、世界的規模でサイバーセキュリティに対する脅威が深刻化し、その他の内外の諸情勢が変化している。そこで、セキュリティ対策を積極的に行わなければならない。」ということです。
この法律からは、インターネットの普及に伴うサイバー脅威の深刻化を背景に、適切な対策を講じることが求められていることが読み取れます。例えば、インターネットがもたらす急速なIT環境の変化に最新のセキュリティ対策で応えていくことが、現代社会では不可欠であることが理解できます。
では、IT環境の急速な変化・進展に応じたセキュリティ対策を実行するには、どうしたらよいのでしょうか。
ここでは、定期的に実施される監査・点検を通じて、日々変化・進展するIT環境に適したセキュリティ対策を「見つける」ための観点について解説します。
2.IT環境の変化・進展に応じた監査・点検の必要性
こちらの記事「情報セキュリティの見直しと強化(監査と点検) 1/3」では、「情報セキュリティの監査・点検とは、社内のセキュリティのルールや、一般に必要とされる情報セキュリティ対策を基準として」と述べました。
監査や点検の基準となるセキュリティポリシーやガイドラインは、その策定時点では有効であっても、IT技術の急速な変化により陳腐化してしまうことがあります。
このため、監査・点検は社内外のIT環境の変化を踏まえ、柔軟にその時勢に合った基準や観点で実施する必要があります。特にIT分野は「ドッグイヤー(Dog Year)」と呼ばれるほど技術革新や進歩が速く、常に最新の状況に対応した監査基準が求められます。
3.ITインフラの変化・進展による新たなセキュリティモデル
従来のサイバーセキュリティ対策は、境界型防御※といって組織のネットワークの境界、つまり外部ネットワークと内部ネットワークの境目で防御を行うことに重点を置いていました。
※ファイアウォール、IDS/IPS(侵入検知・防止システム)、ウイルス検知、Webフィルタリング、スパムメール対策や、それらを統合したUTM(Unified Threat Management、統合脅威管理)を境界に設置して、外部からの不正なアクセスや攻撃から防御する手法。
ところが、ここ数年、テレワークの普及もありクラウドサービスの利用が急増しました。
クラウド環境では、データやアプリケーションが組織のネットワークの外部に存在し、従来の境界を意識することが難しくなります。
このため、セキュリティ対策として「ゼロトラスト」モデルが注目されるようになりました。このモデルでは、外部・内部を問わず、すべてのアクセスを検証します。
具体的には、ユーザーの認証、デバイスのセキュリティ状態の確認、アクセス権限の厳格な管理などを行います。これにより、内部からの脅威や、不正アクセスに対する防御を強化します。
例えば、基幹システムを自社内に設置したサーバーやネットワーク機器、ソフトウェアで運用し、境界型防御をセキュリティ管理の基準としていた組織が、基幹システムをクラウドサービスに移行した場合、監査・点検で自社のファイアウォールやウイルス検知についてチェックしても意味がありません。
このようなときは、従来の境界型防御の運用状況ではなく、クラウドサービスの選定要件や、サービス提供者のセキュリティ対策などを基準、観点にして監査・点検を行う必要があります。
4.情報機器の変化への対応
総務省の「通信利用動向調査」によるとスマートフォンの世帯保有率は、2010年に9.7%だったものが、2021年には88.6%に増加し、既にパソコンの69.8%、固定電話の66.5%を超え、最も普及した情報通信機器になりました。
もはや、スマートフォンを持っていない人は、ほとんどいない、といってもいいでしょう。
スマートフォン普及以前の2003年頃、ファイル交換ソフトWinnyが流行りました。
当時は私物パソコンの業務利用は珍しくなく、企業データがWinnyを通じて外部に漏えいする事故が相次ぎました。
そのため、多くの企業では私物パソコンの持ち込みや業務利用が禁止されるようになりました。
今でも社内ルールで私物パソコンの持ち込み、業務利用を禁止している企業は多いと思います。
一方スマートフォンはメールやチャット、SNSでの取引先とのメッセージ交換など、私物を業務に利用する「BYOD(Bring Your Own Device)」として活用が広がっています。
パソコンとスマートフォンは名称や形は違いますが、どちらも小型のコンピュータです。特にスマートフォンはインターネット接続を前提とした多機能、高性能コンピュータであり、サイバー攻撃の対象にもなります。
つまり、私物スマートフォンの業務利用には新たなセキュリティリスクが伴うのです。実際、私物スマートフォンを社内Wi-Fiに接続したことで、社内システムがウイルスに感染してしまった事例も発生しています。
社内ルールで私物パソコンの持ち込みおよび業務利用を禁止しても、私物スマートフォンは対象外としている場合、会社貸与機器を基準とした監査・点検を行っても、セキュリティ対策としては不十分になってしまいます。
しかし、スマートフォンの持ち込みや業務利用を禁止すると、業務に支障が出ることも考えられます。
このような状況に対応するため、私物スマートフォンにはモバイルデバイス管理(MDM)を導入するなど、現代のビジネス環境に合った柔軟なセキュリティ対策の導入と監査・点検の基準の見直しが求められます。
皆さんの会社や組織では正しい監査・点検が行われていますか?
この機会に定期的な監査・点検のあり方や重要性を考えてみてください。
次回は、セキュリティ対策に関わる費用と効果について解説します。