情報セキュリティ対策の重要ポイント（まとめ）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。

本記事も今回が今年度最終回となります。

最終回ではこれまでに取り上げた情報セキュリティ対策の要点を振り返り、その重要ポイントを整理します。

１．クラウドサービスの情報セキュリティ

クラウドサービスは今後ますます重要になっていくと考えられます。利用者としてはセキュリティを確保するための対策が欠かせません。ここでは『クラウドサービスを安全に利用するためのポイント』15項目の中から、サービス利用者が見落としがちだが、必ず実施する必要のある対策5項目を再確認します。

※詳しくは「クラウドサービスを安全に利用するポイントとは（1/3～3/3）」をご参照ください。

・クラウドサービスを安全に利用するポイントとは（1/3）

・クラウドサービスを安全に利用するポイントとは（2/3）

・クラウドサービスを安全に利用するポイントとは（3/3）

２．ウェブサイトのセキュリティ

インターネットの普及に伴い、ウェブサイトは個人や企業が簡単に情報を発信するための主要な手段となりました。

しかし、これに伴いサイバー攻撃のリスクも増加しています。不正アクセスやデータ漏えい、フィッシング詐欺などの手口が巧妙化しており、これらの攻撃は利用者と運営者の信頼関係を崩壊させかねません。

こうした状況を踏まえて、安全なウェブサイト運営のためには、包括的で段階的なセキュリティ対策が欠かせません。

ここでは、ウェブサイトの運営形態の検討から構築、実際に運営するまでの３つの段階で、それぞれ取るべき安全対策について解説します。

ウェブサイトに適したセキュリティ対策を実施することで、安心できるオンライン環境の構築を目指しましょう。

※詳しくは「ウェブサイトのセキュリティ対策（1/3～3/3）」をご参照ください。

・ウェブサイトのセキュリティ対策（1/3）

・ウェブサイトのセキュリティ対策（2/3）

・ウェブサイトのセキュリティ対策（3/3）

３．技術的セキュリティ対策

情報セキュリティ対策において、技術的対策は不可欠です。

不正アクセスやマルウェア感染、機密データの漏えいといったリスクを軽減するには、ファイアウォールの設置やウイルス対策ソフトの導入が基本です。また、暗号化技術を活用することで、データの保護を強化することが求められます。

さらに、システムやソフトウェアを常に最新バージョンに更新することで、脆弱性を悪用した攻撃を未然に防ぐことができます。また、多要素認証やアクセス制御を用いて、不正な操作を防止することも有効です。

このように多岐にわたる技術的セキュリティ対策の中から特に重要なものとして、優先して実装すべき対策を以下に挙げます。

（１）ネットワーク脅威・端末対策

ネットワークの境界付近に配置して通信の処理や監視を行い、不正な通信の制御と管理を行うことで対策を実施します。

●UTM（Unified Threat Management：統合脅威管理）

ファイアウォールやIDS・IPS、メールフィルタリング、URLフィルタリングなど複数の異なるセキュリティ機能を一つのハードウェアに統合して、社内ネットワークとインターネットの脅威であるウイルスの侵入や不正アクセス、サイバー攻撃などを検知し、防御するツールです。

●WAF（Web Application Firewall）

ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護する技術。例えばファイアウォールやIDS/IPSとウェブサーバーの間に設置することで、ウェブアプリケーションがやり取りするデータを監視して攻撃を検出できます。

●VPN（Virtual Private Network）

インターネットのような公衆ネットワーク上で、保護された仮想的な専用線環境を構築する技術。例えば、テレワーク勤務者が職場との間で機密性の高い電子データをやり取りする際に、VPNを利用することで暗号化による安全な通信ができます。

（２）コンテンツセキュリティ対策

プログラム実行や電子メール送受信、ウェブ閲覧などを、その内容（コンテンツ）によって制御することで対策を実施します。

●ウイルス対策

ウイルスを検知・駆除することで、ウイルスに感染するのを防ぐための対策。例えば、利用するパソコンにウイルス対策ソフトをインストールしてウイルス定義ファイルを最新の状態にすることで、既知のウイルスを検知できます。

（３）アクセス管理

情報システムの利用者を、認可及び制限する機能を提供します。

●アクセス制御

利用者や情報機器がデータなどにアクセスすることができる権限や認可を制御する技術。例えば、業務で使用するクラウドサービスなどを事務所のみで利用可能とするアクセス制御を行うことで、事務所外からデータへの不正アクセスのリスクを軽減できます。

（４）システムセキュリティ管理

組織が保有するIT資産について、一元的な管理や脆弱性を検出する機能を提供します。

●ログ管理

サーバーなどに誰がログインしたか、どのデータに対してアクセスがあったかは、サーバー上にログファイルとして記録されます。

サイバー攻撃があった場合、このログファイルに書かれている内容をもとに、情報漏えいが生じたかどうかを分析するので、ログファイルをどのように管理するかの方針を、組織として定めておくことは重要です。

一方で、ログファイルの内容を十分に理解するには専門的な知識が必要となるため、こうした管理を容易にするためのツール類も提供されています。

※詳しくは「技術的セキュリティ対策（1/2～2/2）」をご参照ください。

・技術的セキュリティ対策（1/2）

・技術的セキュリティ対策（2/2）

４．セキュリティインシデント対応

サイバー攻撃の手法がますます巧妙化する中で、セキュリティインシデント（情報漏えいや改ざん、破壊・消失、情報システムの機能停止、またはこれらにつながる可能性のある事象など）が増加しています。

昨今の状況を踏まえると、予防策を講じるだけではなく、インシデント発生をあらかじめ想定し、被害を最小化する手順を整備しておく必要があります。これを実現するためには、インシデント対応を３つのフェーズに分け、それぞれで効果的な対応策を想定しておくことが求められます。

※詳しくは「セキュリティインシデント対応（1/2～2/2）」をご参照ください。

・セキュリティインシデント対応（1/2）

・セキュリティインシデント対応（2/2）

全20回にわたり「もっと知りたい！セキュリティ」を配信してきました。

本記事が、お読みいただいた皆さまの情報セキュリティに関する知識向上のお役に立てることを願っています。

※この記事は、独立行政法人情報処理推進機構（IPA）作成の中小企業の情報セキュリティ対策ガイドライン第3.1版に基づいて作成しています。