セキュリティ対策vol.18|社内のセキュリティは誰が守るのか
守られるものから、守るものに変わるセキュリティ
時代の変化とともに、セキュリティ対策の考え方も変化してきました。過去はセキュリティソフトで十分だと考えられていましたが、現在は守られるものから、守るものに変わるセキュリティが求められているといえます。
つまり、セキュリティ対策は、単にウイルス対策ソフトをインストールするだけではなく、システムの隅々までしっかりと見据え、そのシステムに関わるすべての人々がセキュリティに対する意識を持ち、日々進化する脅威に対応するための対策を講じることが必要とされるようになったのです。
その中でも、最も重要なのが、人の手による日々の更新です。セキュリティ対策は、単発的な取り組みではなく、継続的な取り組みが必要となります。というのも、脅威は日々進化し、新たな攻撃手法が現れるため、セキュリティ対策も日々進化していかなければならないからです。
従来の「守られる」対策からの脱却
従来の代表的なセキュリティ対策と言えばセキュリティソフトがあげられますが、これは以下のような弱点を持っています。
1.ゼロデイ攻撃への対応が困難
セキュリティソフトは、既知の脅威に対する対策を行うものであり、新しい脅威に対しては対応が困難です。特にゼロデイ攻撃のように、既知の脅威ではなく新たに発見された脆弱性を悪用した攻撃に対しては、十分な対策が取れていないことがあります。
2.フィッシング詐欺などの人為的な攻撃への対策が限定的
セキュリティソフトは、主にマルウェアの検知や防止に特化しています。しかし、フィッシング詐欺やスパムメールなどの人為的な攻撃に対しては、限定的な対策しか取れていないことがあります
3.セキュリティソフト自体が脆弱性を持っている場合がある
セキュリティソフト自体が脆弱性を持っている場合があります。これにより、セキュリティソフトが攻撃者に悪用され、逆にセキュリティ上のリスクになってしまうことがあります。
4.セキュリティソフトの性能によっては、パフォーマンスに影響を与えることがある
セキュリティソフトは、常に動作しているため、システムのリソースを消費します。そのため、性能の低いセキュリティソフトを使用すると、システムのパフォーマンスに影響を与えることがあります。
上記のように、セキュリティソフトにはいくつかの弱点があります。
従って、セキュリティ対策は単一の対策手段に頼らず、複数のセキュリティ対策を組み合わせて総合的な対策を行うことが必要になっています。
アストンではセキュリティリスクのチェックリストを無料で配布しています。
5分でわかるセルフチェックリストとなっているため、お気軽にお試しください。
求められる「守る」ための施策
現在は、様々な脅威が存在し、ウイルス対策ソフトだけで完全に防ぐことは難しくなっています。セキュリティ対策は、ウイルス対策ソフトだけでなく、ファイアウォールや不正アクセス対策、セキュリティポリシーの策定や遵守、従業員教育など、複数の対策を組み合わせることでより高いレベルのセキュリティを実現する必要があります。
また、最近では人工知能や機械学習を用いたセキュリティ対策も増えており、従来の手法だけでなく、新しい技術を活用していくことも重要になっています。
それらの新しい対策には人の運用の手が必要です。技術の進化によって、より高度なセキュリティ対策が可能になってきていますが、それでも人の運用が不可欠です。この「運用をする」という観点が非常に重要なものとなります。
例えば、ファイアウォールや不正アクセス対策を実施していても、定期的なログのチェックやアラートの確認、適切な対応など、人の手による運用が必要です。また、セキュリティポリシーの策定や従業員教育も、人の運用が欠かせません。
人の運用が不十分だと、最新の技術を使ったセキュリティ対策をしていても、不正アクセスやデータ漏えいなどのリスクが高まります。技術と人の運用を組み合わせて、より効果的なセキュリティ対策を実施することが必要です。
企業を取り巻く運用上の問題
それでは、具体的にどのような対策を取ることが望ましいのか、限られたリソース「人」をどこから充てるのが正しいのか、これは非常に難しい問題でおそらく正解がないものですが、一つの考え方として以下の優先順位を示させていただきます。
1.社員教育の強化
社員教育は最優先項目です。従業員の意識向上により、セキュリティリスクを大幅に軽減することができます。
2.セキュリティポリシーの策定
セキュリティポリシーの策定により、従業員に適切なルールを定め、セキュリティ対策の基礎を整えることができます。
3.クラウドサービスの活用
クラウドサービスはセキュリティ対策の一部をアウトソースすることができ、コスト削減にもつながります。
4.セキュリティ対策のアウトソース
専門業者にセキュリティ対策をアウトソースすることで、専門性の高い対策を実施することができます。
社員教育やセキュリティポリシーの策定は、予算や人員の制約があっても実施できることが多いため、まず真っ先に取り組むべきものとして、優先順位を高く設定しています。
これらの対策を行って頂く事は当然として、クラウドサービスやセキュリティ対策のアウトソースも選択肢に入れるべきことになります。(※本来非常に優先度が高いものですが、予算などが必要という意味で低く設定しています)
運用をアウトソースすると言う考え
セキュリティ対策は全ての従業員が関与することが求められます。社内には情報システム部門が存在するかもしれませんが、すべての従業員がセキュリティ意識を持ち、適切な対策を講じることが重要です。例えば、パスワードの定期的な変更や、外部からの不審なメールの開封を避けるなど、日常的なセキュリティ対策を実践することが必要です。
さらに、セキュリティ対策には、社外の専門家のアドバイスや協力も不可欠です。脅威に対応するためには、常に最新の情報や技術を取り入れる必要があります。セキュリティ対策に精通した専門家がいる場合には、その知識や経験を活用することで、より効果的な対策が講じられるでしょう。
これは対策を「人任せにする」というわけではありません。技術的な対策も必要不可欠ですが、それだけでは十分ではありません。人が作るミスやハプニングによるセキュリティ侵害も多く、人の手によるセキュリティ対策が必要不可欠ということです。
したがって、セキュリティ対策は人と技術が共に必要であり、人が日々の更新作業を行うことで、より強固なセキュリティを実現できます。そのため、セキュリティ対策には人が欠かせないということを忘れずに、人と技術の両面からセキュリティ対策を進めることが重要です。
<ご相談はアストンへ>
アストンでは専門家によるセキュリティ診断を行っております。
ネットワークの構築からルールの策定など、お気軽にお問い合わせください。
まずはご相談ください。
株式会社アストン TONグループ
03−4360−8676
https://aston.jp/contact/