昨今、個人や企業の資産の中に「情報」というものが含まれるようになりました。
情報は紙媒体、コンピュータのハードディスク、USBメモリなど、様々な形で管理されています。インターネットの普及によりこれら情報に対するセキュリティ対策が叫ばれていますが、具体的にどのようなものがあるのでしょうか?
情報セキュリティ対策を大きく分けると以下の3つになります。
1.技術的対策
2.物理的対策
3.人的対策
では、それぞれの対策を具体的に見てみましょう。
技術的なセキュリティ対策
情報セキュリティ対策、セイバーセキュリティ対策というと、アンチウィルスソフトなどのソフトウェアによる対策を思い浮かべる方がおおいのではないでしょうか?アンチウィルスソフトも技術的対策の一つですが、それ以外にも”何を守るか”によって、対策の種類は分けられます。
システムに対するセキュリティ対策
OSやソフトウェアのアップデートやセキュリティパッチを適用したり、本人認証システムを導入するなどしてアクセス制御を厳格にしたりします。
ネットワークに対するセキュリティ対策
ネットワークを定期的に監視し、異常なアクセスなどを速やかに検知できる体制をとることはもちろんのこと、Webサーバやメールサーバなど外部からアクセスされるものは、ファイアウォールの内側、かつ、内部ネットワークと物理的に切り離された領域(DMZと呼ばれます)に配置しておくことが重要です。IDSという侵入検知システムもこの対策に含まれます。
データのセキュリティ対策
コンピュータ内のデータを暗号化しておくことがこれに当たります。
コンピュータウィルス対策
実際に操作す るデバイスであるパソコンやスマートフォン、家電などでアンチウィルスソフトなどのウィルス対策ソフトを導入し、パターンファイルを常に最新にしておきましょう。
これらのうち、どれかの対策をとっていれば大丈夫、ということではありません。セキュリティにおいて、100%サイバー攻撃を阻止できる対策は存在しないため、それぞれの対策を行い、多層防御の体制を整えることが大切です。
物理的なセキュリティ対策
主に物理的な脅威から情報を護るための対策です。
・災害対策
・防犯対策
・障害対策
システムを冗長化したり、データのバックアップを取ったりすることに加え、緊急時の代替システムや機器を準備しておくことがこれに当たります。
人的なセキュリティ対策
これは情報を扱う人間に対し、情報の重要性とその保護についての考え方を徹底させるためのいわば教育と考えられます。
・情報セキュリティポリシーの策定、実施
・社内規定の遵守(罰則を決めておく)
・情報セキュリティ教育の実施
・パスワード、アクセス管理
最後に
こうした様々な角度から情報という貴重な資産に対しての安全性を確保する施策が求められています。ただ、これらの対策は非常に広範囲に渡り、高度に専門化された知識も必要とされます。そのため上記のような対策を取ったとしても、情報セキュリティを専門に取り扱う人材がいなければ、これらの対策は十分に機能しません。これからはそうした人材の育成も企業にとって急務と言えるでしょう。