情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
タグから探す
働き方改革
人材不足
ITインフラ
労働環境
課題解決
クライアント管理
顧客対応
人材管理
セキュリティ
アウトソーシング
クライアント管理
中小企業

「セキュリティ対策が不安」なら? まずは5つのチェックで自社のリスクを可視化しよう【Security Upgrade-1】

情報システム部門
セキュリティ

「セキュリティ対策しているが、適切にできているかわからず不安…」このように、セキュリティ対策に不安を感じている情シスは少なくありません。そこで、本シリーズでは、「問題はどこにあるのか?」「何から対策すればよいのか?」など、自社のセキュリティ対策のどこに問題があるのかをチェックするとともに、自社が実行すべき次の対策をご紹介します。

この記事の内容
セキュリティ対策に不安を感じる理由
セキュリティ対策の次のステップを見つけ出そう
まずはチェック、重要な5つのセキュリティ上のポイントとは?
おわりに

セキュリティ対策に不安を感じる理由

サイバー上の脅威が増している現在。サイバー攻撃被害に遭うことで企業のビジネス上にも大きな影響を及ぼすことの認識も広がったことで、セキュリティ対策は経営戦略にも関与する重要な取り組みの1つと考えられるようになりました。

あらゆる規模の企業がサイバー攻撃の対象になると言われていることから、最近では組織的なセキュリティ対策に取組む企業も増えています。しかし、情シスはセキュリティ対策について次の用な不安を感じていることも少なくありません。

「必要な対策はできているだろうか?」
「これまでも対策はしてきたが、漏れなく対策できているだろうか?」
「数年前からセキュリティ対策の内容は変わらないが大丈夫だろうか?

こうした不安の原因は、自社がどこまでセキュリティ対策ができているのか全体像がつかめずにいることが挙げられます。セキュリティ対策は、1度行ったら終わりというものではありません。『セキュリティ対応組織の教科書』によると、下図のように短期的には「運用」と「対応」のサイクルを回し、見直しと改善のための実行を繰り返すことになります。つまり、対策を見直しながら運用を行うサイクルが必要なのです。

セキュリティ対応実行サイクル ※出典『セキュリティ対応組織(SOC/CSIRT)の教科書 第2.1版』NPO 日本ネットワークセキュリティ協会(JNSA)、
日本セキュリティオペレーション事業者協議会(ISOG-J)

また、セキュリティ対策には目標の設定も必要です。対策の目的が曖昧だと、それが不安の原因にもなりかねません。目標(ゴール)を設定して、チェックポイントを設けながら対策を行うことで、不安の芽を摘むことにもつながることでしょう。

ロードマップ 出典『Security Update 2023…レベル別に考える、セキュリティ対策のNEXTステップ』ソフトクリエイト

セキュリティ対策の次のステップを見つけ出そう

セキュリティ対策を行う上で、目標の設定が重要なことはわかりましたが、設定するためには自社の現状を知り、課題を明確にする必要があります。自社の現状を知るためにはいくつかの方法があります。

①自社独自またはIPAなどが提供する資料※を用いてチェック・分析
IPA(独立行政法人情報処理推進機構)では、『 5分でできる!情報セキュリティ自社診断 』、『 制御システムのセキュリティリスク分析ガイド 』などを提供。自社でチェックに活用できる。

②脆弱性診断サービス等を利用
社外のセキュリティ上の脆弱性を診断するサービスを利用する。自社の脆弱性について詳細なチェックを行うとともに、専門家の視点から診断しレポート化、その後の対策までサポートしてもらう。

主に社内で行うか、外部のサービスを利用するかということになりますが、まずは自社でどこまでできるかチェックしてみてはいかがでしょうか。IPAでは百以上の項目にわたり詳細の診断を行うための資料もありますが、まずは事項で簡易的なチェックを用意しましたので、自社の診断を試みてはいかがでしょうか。

まずはチェック、重要な5つのセキュリティ上のポイントとは?

ここでは、IPAの『 情報セキュリティ5か条 』を参考に5つのチェックを作成しました。まずは自社の状況をチェックしてみましょう。

□チェック1:OS やソフトウェアは最新の状態になっているか?
  • PC やサーバにインストールされているソフトウェア、パッチの増強を把握できているか
  • OS、ソフトウェアを効率的にアップデートするための仕組みを導入しているか…など
□チェック2:ウイルス対策ソフトを導入しているか?
  • 統合管理ができるウィルス対策ソフトを導入しているか
  • パターンファイルが最新の状態か確認しているか…など
□チェック3:パスワードを強化しているか?
  • パスワードの複雑性をシステムで強制しているか
  • 多要素認証の仕組みを導入しているか…など
□チェック4:共有設定を適切に行っているか
  • 管理者ユーザを共有していないか
  • 入社、異動、退職時のアカウント変更、権限変更のルールが決まっているか…など
□チェック5:脅威や攻撃の手口に関する知識習得や教育を行っているか
  • セキュリティ専門機関などから最新の脅威や攻撃の手口を学んでいるか
  • 従業員へのセキュリティ教育や注意喚起を定期的に行っているか…など

このチェックの中で少しでも気になる項目があるならば、その項目についてさらに詳しく知って対策を強化してみることがおすすめです。そして、まずはこの5つのチェック内容をクリアし、その後にIPAが提供する情報をもとにチェックしたり、脆弱性診断サービスを利用したりしてみてはいかがでしょうか。
(それぞれの項目に関する詳細解説については、順次公開予定です)

おわりに

今回は、セキュリティ対策を行っているものの不安が残るという情シスに向けて、不安を解消するための取り組み方のヒントをご紹介しました。自社のセキュリティ対策の状況がわからないと不安に感じる部分もあるかもしれませんが、様々なチェックや下記で取り上げる資料やサービスを自社のセキュリティ対策を強化に役立ててみてはいかがでしょうか。

▼おすすめ資料
Security Update 2023…レベル別に考える、セキュリティ対策のNEXTステップ

おすすめ資料

セキュリティ関連のセミナー情報はこちら (随時更新)

▼関連セキュリティソリューション
関連キーワード
情報システム部門
セキュリティ
ITインフラに関するおすすめ記事
専門家が徹底討論! 中堅・中小企業の情シスがいまやるべきセキュリティ対策とは【Part 3 “オール情シス”を目指して】
情報システム部門
セキュリティ
座談会
専門家が徹底討論! 中堅・中小企業の情シスがいまやるべきセキュリティ対策とは【Part 2 いまあるリソースを最大限に活かすために】
情報システム部門
セキュリティ
座談会
専門家が徹底討論! 中堅・中小企業の情シスがいまやるべきセキュリティ対策とは 【Part 1 コロナ禍がもたらす情シスの危機】
情報システム部門
セキュリティ
座談会
新手のサイバー攻撃に対策は待ったなし…2021アンケートから読み解くセキュリティ対策
情報システム部門
セキュリティ
情シスアンケート
【マンガでわかる】在宅PCが危険! テレワークのセキュリティ対策で大事なコト
セキュリティ
情報漏えい
テレワーク
テレワーク
情報システム部門