企業のセキュリティ担当者に求められること

情報セキュリティ対策の不備が原因で発生する事故が後を絶ちません。現代社会は様々なものがネットワークにつながり、相互に複雑な関係を持っています。そのため、ある場所で発生した事故が、別の場所に影響を及ぼすこともあり、このような状況が被害の拡大につながっています。
企業のセキュリティ担当者は、情報セキュリティ対策に万全を尽くす必要があります。そのためには、社内の関係者と協力するだけでなく、時には社外の組織などとも連携することで情報セキュリティを確保することが求められます。

企業のセキュリティ担当者が行うべきセキュリティ対策を紹介します。

情報セキュリティポリシーとは企業内で情報セキュリティ対策を推進させるために設けられた方針や行動指針の事です。一般的に、

・「基本方針」情報セキュリティに対する宣言
・「対策基準」どのような対策を施すのかを記したもの
・「実施手順」対策基準の具体的な内容

から成り立っています。

情報セキュリティポリシーでは、セキュリティ対策の目的、セキュリティ対策の範囲、セキュリティ対策の運用、マニュアルなどの整理、リスクの評価などセキュリティに関する基本的な方針を定めます。
情報セキュリティポリシーを定めることによって、企業としてどのような方針・行動指針でセキュリティ対策を行っていくのか、社員全体に周知させることができます。セキュリティ担当者が他の社員にセキュリティ上の指導を行う際に、ポリシーが定まっていれば「なぜそのような指示がなされるのか」といった疑問を持たせないようにするという効果もあります。効果的な情報セキュリティポリシーを決めるためには、対象となる範囲を明確に定め、できるだけ具体的に策定し、さらに社内の状況を考慮し実現可能なポリシーを決めることが重要です。

情報資産とは企業内で保有している情報全般のことを指します。パソコンに保存されている個人情報や機密情報、データベースなどのソフトウェア資産だけでなく、パソコンそのものやLANなどのネットワーク機器といったハードウェア資産も含まれます。
セキュリティ担当者は社内にいる各部門の責任者と協力し、存在している情報資産を把握することが求められます。それらを情報資産管理台帳に記録して一元的に管理できるようにします。情報資産管理台帳には、資産の名称・個数・重要度・管理者などを記載します。そして、情報資産管理台帳に記載された資産に対して、どのようなリスクがあるのかを検討し、それに応じた対策を考える必要があります。

企業のセキュリティ担当者だけがセキュリティに対する意識を持っているだけでは不十分です。業務を遂行している社員すべてが情報セキュリティリテラシーを高める必要があります。しかし、情報セキュリティリテラシーを高めると言っても、難しいセキュリティ対策を実行できるようになる必要はありません。
社員のセキュリティに対する意識は、日常の何気ない行動に反映されています。ディスプレイにパソコンにログインするためのIDやパスワードが記載されている付箋を貼り付けていたりしていませんか？　また、昼食時などに社外の飲食店で顧客情報などを軽々しく話したりしていませんか？　特に入社したての社員は自分が保有している社内の情報の重要度を理解していない場合があります。そのため、セキュリティ担当者は、社内で管理している情報の扱い方について社員に対し監督・指示する必要があります。

一般的にセキュリティ対策というのはコストがかかります。しかし、必要となったコストに対して、得られた成果がわかりにくいというのがセキュリティ対策の特徴です。どのような形であれセキュリティ対策の導入を最終的に決断するのは、企業の経営層です。また、実際にセキュリティ事故が発生してしまった場合、最終的に責任を取る事になるのも企業の経営層です。経営層が責任を取る事態にならないためにも、経営者がリーダーシップを取って、セキュリティ対策を推進していくことの重要性を、企業のセキュリティ担当者は理解させる事が必要です。

情報処理推進機構（IPA）とは国内のIT関係の戦略を支えるために設立された経済産業省が管轄する独立行政法人です。IPAのサイトの「情報セキュリティ」のページには毎日のように新着情報やセキュリティ情報が更新されています。国として情報セキュリティ対策をどのように進めて行くのか指針となる情報が豊富に提供されています。企業の情報セキュリティ担当者として定期的にチェックしておきたいサイトの1つです。

https://www.ipa.go.jp/security/index.html

平成26年に成立した「サイバーセキュリティ基本法」に基づき、内閣官房に設置されたのが内閣サイバーセキュリティセンター（NISC）です。組織自体はいくつかのグループに分かれて活動を行っています。サイトでは主に日本政府が開催した会議・会合の活動報告やイベントの情報などを配信しています。サイバーセキュリティに特化した国家戦略の情報を取得するのであれば、NISCのサイトをチェックしたほうがいいでしょう。

https://www.nisc.go.jp/

JPCERT/CCは実際にインターネット上で発生したセキュリティ攻撃やサービスの妨害などのインシデント情報を公開しています。特にソフトウェアやサービスの脆弱性の情報をいち早く提供している点が特徴です。公開されている情報は、脆弱性を含んだソフトウェアやサービスのバージョン情報や、具体的にどのような影響があるのかなど、詳細に記述されているものです。
このサイトで脆弱性を配信されているソフトウェアやサービスを自社で使用しているかどうかチェックすることで、セキュリティ事故の発生を未然に防ぐことができるでしょう。

https://www.jpcert.or.jp/

IPAが実施している情報処理技術者試験のうちの1つである「情報セキュリティマネジメント試験」を受験することもセキュリティ対策として有効です。情報セキュリティマネジメント試験は、情報システムの利用部門にて情報セキュリティのリーダーとしての素養が問われる試験内容となっています。
試験は毎年4月・10月の第3日曜日に実施されます。出題形式は午前と午後にそれぞれ形式の異なる出題がなされます。午前は問題数50問の4択形式、午後は長文読解が必要な選択式の出題となっています。午前・午後ともに解答形式はマークシートとなっております。合格基準点は午前・午後ともに60点です。
企業によっては資格の取得に対して、手当や一時金の支給を行っているところもあります。有資格者が増えれば、それだけ社内にセキュリティの知識を持った人材が増えますし、対外的にもセキュリティ対策をしっかり行っている企業であることをアピールできます。企業のセキュリティ担当者が率先して資格を取得すれば、他の社員に対するセキュリティ意識の向上にもつながるでしょう。

企業のセキュリティ担当者が行うべきセキュリティ対策について紹介してきました。セキュリティ対策というと難しい知識や高度な技術が必要だと思われるかもしれません。しかし、現実に発生しているセキュリティ事故には、ちょっとしたミスや油断が原因で発生しているものもあります。ほんの少しセキュリティに対する知識を持っているだけで、セキュリティ事故を防ぐことができる場合もあるのです。
また、セキュリティ対策は一度やれば、それで大丈夫ということはありません。セキュリティホールを突いた攻撃は日々進化していますし、社内に存在する情報資産や、それを取り扱う社員も時とともに変わっていくからです。セキュリティ担当者は自社で行っているセキュリティ対策を定期的に見直し、セキュリティ事故を未然に防ぐ努力を続けていくことが重要です。

webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
 
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。


https://www.shadan-kun.com/
 

（2018/6/1執筆、2019/9/28修正・加筆）