企業にお勤めしていると、セキュリティ対策の担当者になるというケースもゼロではありません。特にネット犯罪が問題になっている中、企業のセキュリティ担当者になるということは責任重大です。
では具体的にはどうすればよいのでしょうか?
企業担当者であればおさえておくべき、セキュリティ対策とそのポイントについて紹介します。
システム対策の指揮をとる企業担当者が意識するべきことは、情報を守るということにつきます。オフィス内で抱えている仕事の情報をライバル社に知られないことは言うまでもありません。
またお付き合いしている顧客の情報が漏洩するということも絶対に起こらないようにする必要があります。その目的をインターネットという視点で考え、具体的な対処方法を実施していくことがセキュリティ部門に携わる企業担当者の役目の一つと言えるでしょう。
現代のビジネスにとっては、情報そのものがお金と同じくらい価値のあるものです。企業を信頼して利用している顧客情報が多くの企業サーバー内に保管されています。
セキュリティが不十分であれば、顧客の情報や企業秘密が流出し、企業が受けるダメージは深刻なものになる可能性が高いです。また意図的に企業イメージを下げるためにサイバー犯罪を企てるケースも珍しくありません。
システム対策の指揮を執る企業担当者は、企業が抱える情報を守る番人です。
企業のセキュリティ担当者にはさまざまな責任が伴い、企業の根幹を揺るがすセキュリティインシデントを防ぐ使命があります。
今まで発生したサイバー犯罪には、どのようなものがあるかご存知でしょうか。
企業担当者が意識すべき、情報に着目したサイバー犯罪の実例について紹介します。
2016年3月には介護情報を発信するサイトが、不正アクセスを受けるという事件がありました。介護を必要とする方をはじめ、多くの方の情報が不正アクセスにより流出した可能性が高いといわれています。
最近では大きな企業ではなくても、ターゲットにされる中小企業が増えてきています。そのためサイトの利用者が安心できるサービスの提供が難しい現状なのです。
お菓子で有名なグリコのネットショップや、通販サイトのデータベースが不正にアクセスされる事件も報道されています。
トータルで10万件以上の顧客情報が流出した可能性が高く、さらに顧客が利用したクレジットカードの情報なども盗まれた疑いがあります。企業にとっても、利用者にとっても大きく精神的被害を被った事件だったと言えるでしょう。
家電量販店として知られているビックカメラも不正なサイバートラブルを被っています。
サイバー攻撃の実行者は不正な方法によるシステムログインを行い、情報操作を行った可能性があります。その時に顧客のポイントを利用して商品購入など、悪質な犯行が実行されました。
最近では貯めたポイントを現金と同じように使えるサービスが多く、盗難事件としても見過ごせないものになります。
北海道では、銀行を利用している方の個人情報が一万件近く紛失したという事件が起きました。この事件の詳細として、不正なログインなどはなく、人為的なミスが要因として知られています。
情報管理の意識がおろそかになると、顧客から預かっている情報すら失くしてしまう可能性を否定できません。顧客の心理状態からすると、他社へ乗り換えたいと考える要因になったとしてもおかしくはないでしょう。
セキュリティ対策の企業担当者は、情報を効率よく守る方法を考える必要があります。情報セキュリティを実現するポイントは3つあると考えられています。
セキュリティ対策の企業担当者におすすめする、情報セキュリティ対策の方法やポイントについて紹介します。今後行うべき対策の具体例として、お役立てください。
最近ではほとんどの企業がwebサービスやアプリケーションを利用しています。セキュリティ対策に強いシステムやwebツールを活用することが一般的に普及しています。
情報流出や犯罪の温床となりやすい、システムの脆弱性には日頃から意識を傾けることがおすすめです。HTTPSを代表とする情報の暗号化なども導入検討することが必要です。
企業内で使われている通信機器にも、使用方法や教育を実施する必要があります。企業のパソコンやスマホを私的利用することで、サイバー犯罪につながるウイルス感染や不正アクセスを引き起こすことも珍しくありません。
端末や機器のセキュリティ対策と、使用方法についても併せて意識する必要があります。
企業が守るべき情報が洩れる要因には、人為的なミスも少なくありません。USBなどに保存して企業情報の持ち出しや、私用や公共のパソコンでの企業情報閲覧などはリスクが大きいと考えられます。
現実にウイルス感染した自宅PCから企業の顧客情報が流出したケースもあります。企業が扱っている情報をおろそかにしない・させないという観点からも対策を考えていく必要があるでしょう。
情報をメインとしたセキュリティ対策をするのであれば、企業担当者は社内だけでは対策は不十分と言えるでしょう。
多くの顧客を抱える企業はクラウド型データベースやサーバーを活用していることが多いです。ネット上のシステムそのものを強固なものにする必要があるのです。
そこで次に、サーバーやデータベースのセキュリティについて紹介します。
サーバーやデータベースのセキュリティについて紹介します。
パソコンにもインストールされていますが、セキュリティの基本はファイアウォールの設定が定番です。ファイアウォールとはネット上の防壁です。
正しく設定することで、不正なアクセスをこちらがすることも、相手からされることも防ぐことができます。ウイルス感染にも予防効果が期待できるので、最初に行いたい設定と言えます。
IPSとは侵入防止を司るシステムの一つです。不正なアクセスやサーバー破壊を目的としたクラッカー行為を破棄・遮断する効果があります。
ネット上にサーバーやデータベースがある以上は、完全にネット通信を遮断することができません。悪質なサイバー犯罪はDos攻撃として、一秒間に膨大な量の通信を開いているスペースにぶつけようとします。
IPSを作動させることで、ネット上で完全に防げない、開いているポートを守ることが可能です。
長年同じサーバーを活用していると、時代やシステムの変化に対応できていないこともあります。企業担当者は定期的にサーバーのシステムチェックを行う必要があります。
オプションや設定で、最新の通信やセキュリティサービスに対応できるかどうかも確認しておきましょう。
今回は企業担当者向けに、webセキュリティのポイントや考え方について紹介しました。
セキュリティ対策は実施するべき項目が多種多様で、どこから手を付けてよいか悩ましいかもしれません。
けれどもこれらの対策をすることで、より安全な企業となると言えるでしょう。「情報を守る」ためにも、できることから対策をしていくことが大切です。
webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/6/1 執筆、2020/3/20修正・加筆)
この記事と一緒に読まれています
2020.02.15
セキュリティ対策
2020.02.27
セキュリティ対策
2019.12.24
セキュリティ対策
【WordPressとDrupal】WAFでオープンソースCMSの脆弱性を防ぐ
2020.02.28
セキュリティ対策
2020.02.14
セキュリティ対策