情報資産保護のための対策とは

2019.06.20  株式会社ワンビシアーカイブズ

「情報資産」とは、組織内で日常的に発生するデータのうち、ビジネスで活用する価値のあるデータや、外部に漏えいしてはならないデータなど、長期的に「資産として管理すべきデータ」を指します。近年、この情報資産を狙ったサイバー攻撃によって漏えい事件が発生したり、あるいは内部要因(不正、誤操作など)によって情報が外部に流出してしまったというニュースをよく見かけます。

企業は、情報資産を確実に保護するためにどういった対策を取ればよいのでしょうか?本稿ではIPA(独立行政法人情報処理推進機構)が紹介している、「情報セキュリティ対策」から、企業が今取り組むべき対策を抜粋しつつ、解説していきます。

コンピューター・ウイルス対策

コンピューター・ウイルスとは不正プログラムの一種で、侵入した端末やサーバーを自動的に操作したり、重要ファイルを破壊したりすることで大きな被害をもたらすサイバー攻撃です。IPAに寄せられる届出によると、2017年から2018年の1年間でコンピューター・ウイルスの検出件数が激減しています。

参考:コンピュータウイルス・不正アクセスの届出状況

しかしながら、この現状はサイバー攻撃自体が減少傾向にあるというわけではなく、もっと高度な攻撃方法にシフトしていると考える方が得策でしょう。近年のサイバー攻撃は技術誇示をするための愉快犯的なものではなく、明らかな金銭目的や政治目的、あるいは何らかの私怨がある企業に対するいやがらせ行為が大半を占めます。

コンピューター・ウイルスはあまりに簡易的なサイバー攻撃なので、実行する攻撃者も少なくなっていると考えましょう。ただし、2017年に大流行したランサムウェア「WannaCry」など、突発的に大きな被害をもたらすコンピューター・ウイルスも存在するため油断は禁物です。

ウイルス対策ソフトなど、コンピューター・ウイルスから端末やサーバーを保護するための最低限のセキュリティ対策は当然今後も必要になります。

関連資料:

脆弱性対策

「脆弱性」とはいわば、プログラムに介在するセキュリティ上の欠点です。「セキュリティホール」と呼ぶこともあります。脆弱性の何が危険かというと、そのまま放置していると脆弱性に気付いた攻撃者によって、内部ネットワークへの侵入やコンピューター・ウイルスの感染をいとも簡単に許してしまうことです。

さらに、脆弱性はユーザー自身が気付くことは難しいため、ソフトウェアベンダーが発信する情報を常にチェックする必要があります。脆弱性対策として有効なのは、ソフトウェアベンダー各社が配信するセキュリティ更新プログラムを漏らさず有効にすることです。後で対応しようと放置していると、脆弱性を突かれて情報漏えいや重要ファイル破損といった被害に遭う可能性があります。

2020年にはWindows 7およびWindows 10の延長サポートが終了し、セキュリティ更新プログラムの配信がストップするため、同OSを利用し続けていると脆弱性を突いたサイバー攻撃に遭う可能性が高いので、OSを移行するかその他の対策を考えましょう。

標的型サイバー攻撃対策

近年のサイバー攻撃の高度化を代表するのが「標的型サイバー攻撃」です。これは無差別にコンピューター・ウイルスをばら撒くような攻撃ではなく、特定のターゲットを定め、偽装メールを送信して添付されたウイルス感染ファイルを実行させるサイバー攻撃です。攻撃者はターゲットが置かれている業界知識を身に付けたり、身辺調査等を行ってから攻撃を仕掛けるため成功率が高く、非常に危険なサイバー攻撃です。

2015年に起きた日本年金機構での、125万人以上の個人情報漏えい事件も標的型サイバー攻撃によって起こっていますし、その後に起きた大規模な情報漏えい事件も標的型サイバー攻撃が原因になっているものが多くあります。

ただし、組織全体のセキュリティ意識を高め、セキュリティインシデントに関する情報共有体制を整えることで確実に防ぐことができるサイバー攻撃でもあります。より高度な情報セキュリティ対策を取る場合は、標的型サイバー攻撃に特化したセキュリティシステムを導入し、万が一メールに添付されたウイルス感染ファイルを実行しても、それが隔離空間であることなどの対策が必要です。

情報資産管理のあり方 情報資産管理のあり方
データ保管における情報漏えい対策と災害対策とは データ保管における情報漏えい対策と災害対策とは

IoTの情報セキュリティ対策

近年、サイバー攻撃の新しい対象として危険視されているのが「IoT」(Internet of Things)です。IoTとは、モノがインターネットに接続されることを指し、家電製品や日用品など、従来はネットワークへの接続が想定されていなかった製品が、IoTデバイスとしてインターネットと繋がり、新しい価値を提供するというものです。インターネットと通信を介して運転を自動的に制御する自動運転の自動車も、一種のIoTと言えます。

IoTはモノに様々なセンサーを取り付けることで、そこから発生する情報を集約/分析し、分析結果に応じて提供するサービスを変更したり、あるいはその分析結果自体に価値を持たせてユーザーに提供します。つまり、IoTがあることで価値ある情報資産がこれまでの数倍に跳ね上げるという意味をもつので、攻撃者がこれを逃すはずがありません。

すでにIoTをターゲットにしたコンピューター・ウイルスは存在し、IoTデバイスに感染して秘密裏に情報を搾取します。IoTを保護するためには堅牢なセキュリティシステムが必要であり、様々な角度から社内ネットワークやIoTデバイスを保護するための多層防御が必要です。

IoTにより新しいビジネスを展開する企業にとって、セキュリティシステムの強化は重い義務だと考えましょう。

まとめ

どんなセキュリティにも100%はありません。万が一、社内ネットワークに侵入されたりコンピューター・ウイルスに感染したりすることも想定し、総合的な情報セキュリティ対策を取っていただきたいと思います。

ワンビシアーカイブズは、情報資産マネジメントのリーディングカンパニーとして、お客様の情報資産の安全確保や効率的な活用をご支援しています。重要な書類やデータの保管など、大切な情報資産の管理について、長年の経験と専門知識を持ったエキスパートがサポートいたします。

いつでもお気軽にご相談ください。

データマネジメントベーシックガイド

RECENT POST「文書管理・記録管理」


RELATED POST関連記事


情報資産保護のための対策とは