【新任のセキュリティ担当者様向け】企業が取り組むべきセキュリティ対策 | 脆弱性診断の重要性も解説

前回のブログでは、セキュリティ対策の新任ご担当者様向けに、セキュリティ対策の必要性について解説しました。今回は、具体的にどのような施策があるのかや、脆弱性診断の重要性についてご紹介します。

前回のブログをまだ読んでいない、という方は是非お読みいただければ幸いです。

目次

企業が取り組むべきセキュリティ対策

セキュリティ対策をいざ進めようにも、どういった対策があるのか分からないという方や、自社ではどのような施策が実現可能なのか分からないという方もいらっしゃるかと思います。そこで具体的な施策として、どのような施策があるのかご紹介します。

企業ができるセキュリティ対策1.不正アクセスへの対策

外部からの不正アクセス対策は、企業ができる重要なセキュリティ対策です。不正アクセスにより、社内の情報が流出する危険があります。ネットワークの把握やファイヤウォールの設定が基本的な対策になります。

  • ネットワークの把握
    外部からのアクセス経路、保守業者のメンテナンス回線など外部からのアクセス経路を把握し、適切な認証や適切な運用が実施されていることを確認します。
  • ファイヤウォールの設定
    基本的に外部からのアクセスは全面的に禁止し、外部から社内に向けてアクセスする必要がある際は、限定したIPから限定したポートについてのみ許可する等の制限を加えてください。内部から外部への通信についても必要最低限のポートに制限してください。また、ファイヤウォールのログについて、必要な項目が必要な期間取得されていることを確認して下さい。
  • セキュリティ機器の設置
    社内から外部にアクセスする経路には、攻撃の検知や遮断が行えるセキュリティ機器の導入を検討ください。

また、自社システムに対する脆弱性診断は必須の対策です。こちらに関して後ほど詳しく紹介します。

企業ができるセキュリティ対策2.マルウェアやウイルスへの感染対策

マルウェアやウイルスへの感染対策は、企業ができるセキュリティ対策の一つです。ランサムウェアなどに感染しないように、セキュリティソフトの導入とアップデートを行うことが重要です。

  • セキュリティソフトの管理
    社内で利用するサーバやPC等の端末機器に漏れなくセキュリティソフトが導入され随時アップデートされていることを確認して下さい。可能であればEDR等も検討ください。
  • Webサイトアクセスへの対策
    社内から社外へアクセスする際にURLを制限してください。また、社内のセキュリティ機器によりWebサイトからの攻撃を検知遮断できるものもありますのでご検討ください。
  • 電子メールの対策
    電子メールのプロバイダ等、電子メールによる攻撃を検知して排除するメールセキュリティサービスがありますので検討ください。

マルウェアやウイルスの侵入経路には様々な事例があるため、過去の事例を参考に対策を練るのも良いでしょう。

企業ができるセキュリティ対策3.情報漏洩への対策

自社が保有している機密情報が漏洩しないためのセキュリティ対策として、社内運用の見直しをするのもよいでしょう。顧客管理の方法を見直す、情報にアクセスできる権限を持つ従業員の選定・管理を徹底する、などの方法があります。

  • 権限管理の徹底
    権限管理は定期的に見直しを行い、適切な職務に適切な権限が割り振られているか、不必要に過大な権限が割り振られていないか等、確認を行います。また、配置換えや離職により職務を離れた人の権限が残存していないか等も、確認します。

情報漏洩は賠償金などのリスクにつながる可能性もあるため、きちんとセキュリティ対策を行っておく必要があります。

企業ができるセキュリティ対策4.災害などによる障害への対策

災害などによって物理的に問題が発生すると、事業がストップするリスクがあります。バックアップと無停電電源装置の導入などによるセキュリティ対策が、万が一の災害への備えになります。

  • バックアップの実施とリストアの訓練
    バックアップは災害だけではなく、ランサムウェア等により必要な情報が利用できなくなった場合に備え、オフライン環境等の攻撃できない場所にバックアップを行う必要があります。また、バックアップしたデータを利用して業務の復帰が可能であることを確認するために、定期的にリストア(データ復帰)の訓練を実施することを推奨します。
  • 障害発生時の対応マニュアルの整備と障害発生時の訓練の実施
    障害発生時に備えて対応すべき対策を障害の種類ごとに手順をまとめてマニュアル化してください。対応マニュアルは関係者に周知し、災害発生時には速やかに閲覧できるようにして下さい。また、定期的に対応マニュアルに従った訓練を実施し、災害発生時の対応内容について理解を深めると共に、業務の影響の確認やマニュアルの不備を確認します。

なおサイバー攻撃による問題だけでなく、現実で起こり得る課題に対処することもセキュリティ対策の一環です。

企業ができるセキュリティ対策5.従業員のセキュリティ意識を変える

従業員のセキュリティ意識を高めることも、セキュリティ対策の1つです。セキュリティリテラシーの低い従業員が多いと、どれだけ厳重なシステムを構築しても、トラブルの発生を防ぎきれない可能性があります。例えば重要なデータを外部に持ち出したり、出先で使用するパソコンにパスワードをかけなかったりなど、問題につながる行動をするケースが懸念されます。従業員向けにセキュリティ教育の場を設けて、少しずつ意識を変えていくことがポイントです。

  • セミナー形式のセキュリティ教育の実施
    新入社員や中途採用社員など教育を受けていない従業員が毎年発生しますので定期的にセキュリティ教育を実施する必要があります。最近はオンライン形式でのセミナーも受講できますので、定期的にセキュリティ教育を実施して下さい。
  • ビデオコンテンツや試験問題形式等、オンライン教材を使用したセキュリティ教育の実施
    セミナー形式のセキュリティ教育だけでは、受講者の興味を維持するのが難しくマンネリ化しがちですので、セキュリティ対策に関するビデオコンテンツや質問形式やクイズ形式などの試験問題形式の有償無償のオンライン教材を活用してセキュリティ教育を実施して下さい。
  • 攻撃メール訓練の実施
    訓練の一環として、疑似的な攻撃メールを送り、従業員の開封状況や、開封後の連絡状況を確認し、開封者や開封したにもかかわらず連絡しなかった者に対して教育を実施して下さい。

不正アクセスへの対策には、脆弱性診断が有効

脆弱性診断ですが情報流出などのリスクを低減することができるため、セキュリティ対策の第一歩として検討いただくのが良いでしょう。以下では、脆弱性診断の基本や実施のポイントを紹介します。

脆弱性診断とは?

脆弱性診断とは、システムやアプリケーション、あるいはネットワーク、サーバなどにセキュリティ上の問題点がないかをチェックすることです。見つかった問題箇所については診断後に改修を行うことにより、トラブルを未然に防ぐことができます。

脆弱性診断には、Web診断、プラットフォーム診断、WebAPI診断、スマホアプリ診断などの種類があり、これら各診断対象に合わせて、診断する方法が異なります。

脆弱性診断の主な方法

脆弱性診断には、ツール診断と手動診断の2種類があります。ツール診断は専用の診断ツールを用いて、システム全体をチェックする診断方法です。無料のツールもあり、比較的低コストで診断することができます。ですが、検知漏れや誤検知など正確な診断ができないケースが多いのがデメリットです。

一方、手動診断はプロの手によって、直接診断を実施する方法です。細かな部分まで診断ができるうえ、状況や課題をレポートにまとめて提出してくれます。脆弱性に対する具体的な対策も考案してもらえるため、自社にナレッジがない場合でも安心してセキュリティ対策に臨むことができます。

脆弱性診断は定期的に実施する

脆弱性診断は定期的に実施し、継続的に安全性を確保することが必要です。計画的に脆弱性診断を実施し、常に安全な状態をキープすることが重要です。診断結果は、あくまでその時点での結果であり「1度脆弱診断をすれば安心」というわけではないため、定期的に実施することを意識してセキュリティ対策を計画しましょう。

セキュリティ対策を実施する際の3つのポイント

セキュリティ対策を実施する際には、いくつか把握するべきポイントがあります。以下では、セキュリティ対策を進めるときのポイントを解説します。

ポイント①:セキュリティ対策に関する情報収集に力を入れる

セキュリティ対策に関する情報収集に力を入れることが、1つのポイントです。経済産業省は「中小企業のサイバーセキュリティ対策※1」のページで、セキュリティ対策に関するガイドラインを公開しています。詳細を把握することで、具体的な行動を起こしやすくなるでしょう。

またIPA※2も、情報セキュリティに関するさまざまな情報を提供しているため、セキュリティ対策の実施に役立ちます。是非ホームページをご覧ください。

ポイント②:セキュリティ対策の重要性を社内に認知させる

セキュリティ対策は事業を続ける限り、常に必要な工程になります。そのためセキュリティ対策の重要性を社内に認知させ、一丸となって対策に臨める環境をつくることもポイントです。特定の従業員だけにセキュリティ対策を任せるのではなく、経営層含めた職場全体が対策への理解と実施ができるように備えると良いでしょう。

ポイント③:信頼できる外部サービスに脆弱性診断を依頼する

脆弱性診断によるセキュリティ対策を実施する場合、専門家の知見が必要になります。そのため信頼できる外部サービスを利用し、安全性を高める対策を進めることも重要です。脆弱性診断サービスを提供しているベンダーは複数あるため、信頼できる委託先を探す必要があります。これまでの実績や診断方法の種類や診断水準などを参考に、信頼できる委託先をみつけるのがポイントです。

まとめ

セキュリティ対策は現代の企業に欠かせない作業であり、自社を守るために必要なプロセスです。まずはセキュリティ対策の基本を把握し、自社に必要な行動を明確にすることから始めてみてください。基本的な対策としてまずはWebサイトの脆弱性診断を導入してはいかがでしょうか。脆弱性を事前に発見し、対策を取ることがセキュリティの安全性を高めます。

Proactive Defenseでは、Webアプリケーション脆弱性診断、クラウドセキュリティ設定診断、プラットフォーム診断、WebAPI脆弱性診断といった、各種診断を提供しています。企業の環境に合わせて柔軟な対応が可能なため、適切な脆弱性診断が実行可能です。ぜひお気軽にお問い合わせください。



※1:経済産業省「中小企業のサイバーセキュリティ対策」
https://www.meti.go.jp/policy/netsecurity/sme-guide.html

※2:独立行政法人情報処理推進機構の略称
https://www.ipa.go.jp/index.html

  • URLをコピーしました!
目次