『セキュリティが重要なのはなんとなくわかるけど、実際に何から始めればいいの？』
情報システム部門に配属されたばかりの方でこんな疑問を感じている人も多いのではないでしょうか。

ITmediaなどのIT系のニュースサイトで、連日のように新たな脅威が生まれていることを目にされていると思います。
 
Microsoftのマクロ遮断に攻撃側が対抗、防御をかいくぐるマルウェア感染の手口とは・・
「GitHubで大規模なマルウェア攻撃が広まっている」海外エンジニアのツイートが話題　すでに対応中か・・
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　※共にITmedia NEWSより

こういったニュースを見て、セキュリティの重要性が増していることは理解していても、増えすぎた情報が逆に具体的な対策や起こり得るリスクの詳細を見えにくくしているのは事実です。
 
しかしながらアクセス制御やパスワード対策など、すぐにはじめることができ、かつ非常に重要度が高い対策があるのも事実です。

今回の記事では、セキュリティリテラシー（※）を高めるために、今さら人には聞けないセキュリティの基本知識やリスク、その対策についてわかりやすく解説していきます。
※セキュリティリテラシー：セキュリティについて正しく理解し適切にセキュリティ対策を行う力

セキュリティ対策がなぜ必要か

まずはじめに、そもそもセキュリティ対策が必要な理由と、セキュリティリテラシーが低いことでのリスクについて解説していきます。
そんなことは知っているという方は、3章まで読み飛ばして頂いて構いません。

なぜセキュリティ対策が必要なのか？という問いに対する回答は以下の二点です。
・デジタル化が進み、業務利用しているあらゆる端末がインターネットに接続しているため
・不正アクセスの技術が日々進化し、技術が高度化してきているため

一昔前と比較して、あらゆる情報がデジタル管理されるようになった昨今、これらを守るためのセキュリティ対策の重要度が今までに増して増加してきております。

昔のようにほとんどの情報が紙媒体で管理されている状態であれば、情報を盗むためには物理的にオフィスに侵入する必要がありました。
しかし、業務で利用している端末がインターネットに接続している現在の環境においては、社内ネットワークへの悪意ある侵入によって、簡単に情報を抜き取ることができてしまいます。
ここでいうデータとは、企業が保有している機密情報だけではなく、従業員の個人情報や顧客情報なども含まれます。

そのため、データの漏えいや故意的な破壊が起こってしまった場合、個々人に対する身の安全や会社経営に深刻なダメージを与えてしまうことが予想されます。
データ漏えいや破壊、不正アクセスの手法は日々進化しており、常に対策をアップデートしていかなければなりません。

また、最近ではテレワークをはじめとする社外でのデータ管理も行われているので、従来のセキュリティ対策から、全ての通信を信頼しない“ゼロトラスト”の考え方が主流になりつつあるなど、セキュリティ対策も新たな局面を迎えている状況です。

　　　　　　　　　　　　　　　　　　　　　　　　　　※ゼロトラストについて詳しくはこちら

セキュリティリテラシーが低いと発生するリスク

セキュリティリテラシーが低いことで発生するリスクはさまざまありますが、代表的なものは次の3点が挙げられます。
 
＊ウイルスによる攻撃で情報漏えいやPCの操作不能
＊ヒューマンエラーによる情報漏えい
＊情報漏えいによる社会的信用の失墜
 
＊ウイルスによる攻撃で情報漏えいやPCが操作不能になる
セキュリティと聞いて、Emotetに代表されるマルウェア対策や不正アクセスへの対策を講じることをまずイメージする人も多いのではないでしょうか。
セキュリティ対策を怠るとウイルスの新入や不正アクセスを容易に許してしまい、保有している情報の漏えいや改ざん、データの破壊をされてしまう可能性が高くなります。
 
またウイルスによっては、感染することで利用している端末が操作不能になってしまったり、勝手に操作されてしまったりすることはもちろん、同じネットワーク内の端末にまで被害が及ぶ可能性もあります。
 
このような状況に陥ると、漏えいや破壊されてしまった情報は取り返しがつかないことも多く、社内環境が復旧するまで業務自体が停止してしまうこともあり得ます。
 
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　※Emotetについて詳しくはこちら

＊ヒューマンエラーによる情報漏えい
ネットワークや利用端末に対するセキュリティ対策も重要ですが、それらを取り扱う従業員の情報セキュリティに対する意識向上も必要不可欠です。
実は情報漏えいの主要な発生原因は、端末の紛失・置き忘れ、誤操作などのヒューマンエラーによるものが多くを占めています。

そのため、社内への啓もう活動に力を入れることはもちろん、情報システム部門の目が届きにくい場所で、どのようなヒューマンエラーが起こりうるのかを一度考え、そのリスクを軽減する方法を考えておかなければなりません。
 
＊情報漏えいによる社会的信用の失墜
情報漏えいや管理データの破損などはデータを所有している企業側の損失だけではなく、顧客の損失および信頼を失うことにも直結します。
たとえば、ご自身が利用しているECサイトで、購入履歴や登録しているクレジットカードの情報、電話番号や住所といった個人情報が流出した場合を想像してみましょう。
情報漏えいがあったサービスを、再度使いたい、あるいは安心して利用できると思うでしょうか。
 
不安に感じた利用者の退会や損害賠償の請求はもちろん、「情報漏えいを起こしたサービス」というレッテルが貼られてしまえば、新規の利用者も大幅に減ることが予想されます。
これは、情報漏えいを起こしたサービスだけではなく、運営している企業そのものの信用問題であるため、新規事業を展開する際にも大きな足かせになり得ます。

　　　　　　　　　　　　　　　※情報漏えいの有無を調べるツール「OSINT」についてはこちら
 

セキュリティリテラシー向上のために今からでも始められる取り組むべきセキュリティ対策

ぱっと思いつくセキュリティ対策と言えば、ウィルス対策ソフトの導入ではないでしょうか？

ウィルス対策ソフトの導入によって遠隔地の業務利用端末まで管理したり、操作を追ったりすることも可能となりますが、それ以外に簡単に実施できるセキュリティ対策は以下の4点です。

＊アクセス制限
＊メール対策
＊パスワード対策
＊従業員へのセキュリティ教育
 
＊アクセス制限
アクセス制限とは、その名の通りWebサイトやファイルへのアクセスを制限する対策です。
悪意のあるWebサイトにアクセスしてしまったことで、ウイルスに感染してしまったり、情報を抜き取られてしまったりすることを防ぐために、危険性のあるサイトへの接続を制限するようにしましょう。
 
＊メール対策
メールはビジネスシーンで最も利用されているコミュニケーションツールですが、悪意あるメールを開いたり、記載されているURLにアクセスしたりすることで、ウイルス感染や情報漏えいが発生する可能性があります。
利用しているメーラーの機能を活用して迷惑メールに振り分けるのはもちろん、ウイルスメールの対策ツールを導入するなども検討するとよいでしょう。

　　　　　　　　　　　　　　　　※メール対策のひとつ、メール訓練サービスについてはこちら
 
＊パスワード対策
利用端末の盗難や紛失が発生しても、第三者に利用できないようにパスワードの設定を実施することは必要不可欠です。
その際、以下のようなルール設定が効果的です。
 
・90日ごとに変更しなければならない
・一度利用したパスワードは利用不可
・予測されにくい大文字小文字の組み合わせ、数字や記号を含める
 
また、昨今ではクラウドサービスの利用も増えてきており、その際にもIDやパスワードの設定がされていますが、利用しているブラウザによっては「パスワードを保存する」こともできます。

パスワードを保存することでログイン時の手間は省けますが、悪意ある第三者に侵入された場合や端末が盗まれた際に、容易にログインできてしまいます。
これは情報システム部門での対策が難しい分野になるため、パスワードの保存を利用しない、させないような仕組みやルールの整備が必要となります。
 
＊従業員へのセキュリティ教育
2章でも触れた通り、セキュリティ対策は情報システム部門の対応だけでは不十分であり、情報資産を取り扱う従業員一人一人が意識しなければなりません。
入社時の教育だけでは危機意識は薄れてしまうので、定期的に教育を実施する場を設け、事例などを用いながら情報資産を取り扱う際の意識を高めるよう働きかけていく必要があります。
 
　　　　　　　　　　　　　　　　　　　　　　※情報セキュリティ対策の基本中の基本はこちら

とっておくと強みになるセキュリティ関係の資格

資格は確かな知識のもとセキュリティ対策を行える裏付けでもあります。
情報システム部門の方が取得しておくと強みになるセキュリティ関連の資格は、たとえば以下のようなものが挙げられます。

＊情報セキュリティマネジメント
＊CompTIA Security+
＊情報処理安全確保支援士
 
＊情報セキュリティマネジメント
本資格は入門レベルに位置するもので、未経験からでも取得がしやすく、情報システム部門としての企画や開発、運用におけるセキュリティについての基礎を網羅的に学べるとして人気の資格です。
 
IT企業に所属していなくても、個人情報の取り扱いや対策についての知見を深めることができるため、情報管理をしている人は取得して損はないでしょう。
 
＊CompTIA Security+
CompTIA Security+は国際基準のセキュリティ資格であり、システムやネットワーク、利用するデバイスなどのセキュリティ確保に関する知識を、広く証明できるものです。
先の情報セキュリティマネジメントよりも難易度は上がりますが、導入から保守までの知識やスキルを身に付けられるため、より需要の高いセキュリティ人材を目指すことが可能です。
 
また、こちらの資格はIT技術先進国のアメリカ国防総省のセキュリティ人材に対し、取得を義務付けていることから信頼性も高く、セキュリティ関連の資格選びで悩んだら候補に入れてみるとよいでしょう。
 
＊情報処理安全確保支援士
より高度なセキュリティ関連の資格取得を目指したい方には、情報処理安全確保支援士がおすすめです。
単純なセキュリティについての知識やスキルが求められるだけではなく、セキュリティに関する相談やアドバイス、調査・分析ができるまでのレベルが求められるため、取得すると情報システム部門以外の部署へのセキュリティ相談役としても活躍できるでしょう。

まとめ

あらゆる情報がデジタル化している昨今において、セキュリティリテラシーの向上は業種業態問わず非常に重要な課題です。

特に、最近ではテレワークをはじめとする社外からのアクセスや、クラウドサービスの活用も増えており、セキュリティそのものに対する考え方も変化しています。
セキュリティ対策を怠ると、情報の漏えいや破壊はもちろん、それによる社会的信用の損失や復旧のための業務停止など数々の損害が発生します。
 
セキュリティ対策と聞くと、高度な知識やスキルがなければ実施できないと考えている人もいると思いますが、メール対策やパスワード対策、従業員へセキュリティ教育といった、今すぐにでも取り掛かることのできるものもあります。

さらに高度で専門的な知識やスキルを身に付けたい人には資格取得が効果的で、取得することで確かな裏付けのもと施策を実行できるため、セキュリティに関わる仕事をしている方、これから携わる方は、今回紹介した資格獲得もぜひ参考にしてみてください。

■関係記事

・クラウド初心者でもわかる！Intuneがテレワークにおすすめな理由を徹底解説

・テレワークのセキュリティ問題を解決する！第1回 -モダンマネジメントのセキュリティ機能-

・2021年度の情シス部員は知っておきたい新時代のデバイス管理　“EMM”とは？

※この記事は、公開時点の情報をもとに作成しています。