min Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

情報セキュリティの概要とその重要性

1. 情報セキュリティについてよくあるご質問


情報セキュリティとは何ですか?

情報セキュリティは、データを保護するための手法、プロセス、ツール、作成・使用されるリソースを網羅しています。 電子データだけでなく物理的情報 (印刷物など) も対象となります。

情報セキュリティ (InfoSec と呼ばれることも多い) には、データ処理にとどまらない、データ保護とプライバシーのさまざまな手法が含まれます。 情報セキュリティは、データセキュリティと呼ばれることもあります。

情報セキュリティの対象となるデータの種類には、個人医療情報 (PHI)、個人情報 (PII) (氏名、住所、社会保障番号、生年月日など)、金融情報 (銀行口座、クレジットカード番号など)、企業情報 (内部財務情報、研究開発情報、顧客のリストと情報、競合企業データなど) その他が挙げられます。

SANS Institute では、情報セキュリティを「印刷物、電子的、その他すべての形式での機密、個人、秘密の情報やデータを、不正使用、誤用、暴露、破壊、改ざん、混乱から保護するために設計と実装が行われた」プロセスと方法論であると定義しています。

多くの人は、情報セキュリティは個人医療情報 (PHI) と個人情報 (PII) のみに関わるものと誤解していますが、多数の企業が、そのほかの情報セキュリティ手法の対象となる、さまざまなタイプのデータの作成、保存、保持、送信を行っています。企業では、例えば、従業員の健康記録や給与データの情報、および顧客に関する情報 (最近の購入品など) に対して、作成、アクセス、保存を行っているかもしれません。 さらに、事業拡大計画や新製品の研究情報といった企業の内部データも、情報セキュリティ手法の保護下のデータである可能性があります。

かつて多くの企業の情報セキュリティのアプローチは、最悪のケースを想定した取り組みだったかもしれません。例えば、セキュリティ脅威の影響を限定的にする制御の実装などです。 しかし今日、さまざまな業界の企業では、進化する脅威環境や複雑さを増す環境からの脅威の増加に直面しています。そのため、最新の情報セキュリティ手法には、秘密情報と機密情報の機密性、完全性、可用性を保護するための、事前対応型で柔軟なアプローチも含まれている必要があります。

今日、情報セキュリティの脅威は増加しているだけでなく、持続的になり検出と防止がますます難しくなっています。 DX 時代の情報セキュリティ脅威は、テクノロジーの種類や場所に限定されたものではなく、広範囲のテクノロジーに対象を拡げて、世界中に存在しています。

情報セキュリティ問題をますます複雑化させているのは、進化する業務環境です。より多くの企業が従業員のリモート勤務に完全にあるいは部分的に頼るようになっているため、重要な日常業務の機能に対処するメールやサービスとしてのソフトウェア (SaaS) アプリケーションなどのテクノロジーへの依存が高まっています。

メールは攻撃者がよく使用する攻撃手法です。その狙いは、悪質なリンクのクリックやファイルのダウンロード、あるいはフィッシングやソーシャルエンジニアリングの詐欺を成功させて、認証情報やその他の重要な情報を流出させることです。この情報を悪用して攻撃者は、システムへの足掛かりを作り、企業全体にわたりラテラルムーブメントを実施します。この偵察行為は、数か月間検出されないことも多くあります。 またメールでの攻撃は、データの盗取、損傷、誤用、破壊を引き起こす、ランサムウェアなどのマルウェアを複数のシステムにわたって導入するのにもよく行われます。

基本的なサイバー衛生管理の中には役立つものもあります。しかし残念ながら、より大きな対策、教育、トレーニングのイニシアチブに組み込まれたものでないと、企業は依然として情報セキュリティ攻撃の餌食となる可能性があります。 かつて「十分に安全」とされたパスワードは、今日では潜在的な攻撃者を食い止めるには不十分かもしれません。特に、効果的なパスワードの作成と管理上の注意事項を徹底させる、有効性が実証されたベストプラクティスを企業で導入していない場合にはその危険があります。

情報セキュリティの問題をさらに複雑にしたのは、クラウドコンピューティングの急速な導入です。その管理には、オンプレミスでの情報セキュリティ手法とは大きく異なることが多い、独自のスキルセットが必要です。

クラウドの導入によって企業には幅広いメリットがもたらされますが、メリットに伴う新たな情報セキュリティリスクも生じます。 プライベートクラウドではなくパブリッククラウドのサービスを使用すると、クラウドサービスプロバイダーのインフラ内の他のポイントに攻撃者が侵入すれば、自社のデータもさらなるリスクにさらされる可能性があるので、リスクはさらに高まります。

情報セキュリティに関しては、常にさまざまな脅威が現れて標的を狙っているのが現実です。情報セキュリティの専門家は、そのすべてを正確に捉えていなければなりません。 なぜかと言うと、攻撃者は、しばしば誰にも気付かれることなく、企業内の最弱点を悪用できる状態を整えているからです。

情報セキュリティの 3 原則とは何ですか?

ほとんどの企業は、主要な 3 つの原則である、機密性、完全性、可用性を軸にして情報セキュリティを構築しています。 医療機関や医療ビジネスの関係者ならば、Health Insurance Portability and Accountability Act (HIPAA) of 1996 (1996 年の医療保険の相互運用性と説明責任に関する法律) により定められた義務に含まれている、この 3 原則をよくご存じのはずです。

この項で情報セキュリティの 3 原則について説明する際、その概念はヘルスケア分野に限らず、他の分野にも適用できる内容があります。

機密性:

情報セキュリティの観点では、機密性はデータの使用に関係しています。 例えば、企業は、権限を持たない人物や団体による、あるいは不正な目的のための、データの暴露や悪用を防ぐポリシーや手法を実装します。たとえば従業員が PHI (個人医療情報) を含む書類を印刷して休憩室のテーブルの上に置いたままにした場合、その情報の機密性が問題になる可能性があります。

完全性:

ここでいう完全性とは、企業のデータが完全かつ正確であること、つまりデータの完全性があることの保証です。 データの完全性を確保することで、企業は不正な方法によるデータ変更を防ぐ制御を実装しています。 例えば、従業員に仕事での私物端末の業務利用 (BYOD) を許可したとします。 従業員が退職したとき、その端末からアクセス権限を消去していなければ、元従業員が不正に社内データを変更する隙を残したままになる可能性があります。

可用性:

情報セキュリティを検討する際は、企業のデータは必要に応じてアクセス可能であることを想定しています。 例えば、人事担当者が従業員の入社日を調べる必要があるとします。 この場合、その担当者が機密データを必要に応じて参照できる必要があります。

情報セキュリティの例にはどのようなものがありますか?

情報セキュリティにはさまざまなタイプやプロセスがありますが、一般的な分野として、アプリケーションセキュリティ、クラウドセキュリティ、暗号化、インフラセキュリティ、インシデント対応、脆弱性管理などが挙げられます。

アプリケーションセキュリティは、セキュリティ問題を事前 (最善ではデプロイメント前) に特定・修正して攻撃者によるエクスプロイト成功を防ぐために、ソフトウェア開発ライフサイクル (SDLC) 全体を通じたアプリケーションの作成、開発、更新、変更に関するすべてのプロセスを網羅します。

クラウドセキュリティは、すべてのクラウド資産を継続的に評価して脆弱性や設定ミス、その他のセキュリティ上の弱点の検出と修正を行うために企業が採用している、すべてのプロセス、ツール、リソースを指します。

暗号化には、意図しないユーザーによる保護データの読み取りやアクセスを防ぐ通信と処理を行うためにデータを保護するプロセスが含まれます。

インフラセキュリティは、従来のネットワーク監視の枠を超えて、IT、クラウド、OT、IoT、IIoT を含む複雑な企業環境を保護する包括的なアプローチです。

インシデント対応は、情報セキュリティの要です。 インシデント対応には、チームが障害やその他のセキュリティ問題に対する対応と回復を効果的に行えるように、企業で整備した計画とリソースが含まれます。

脆弱性管理は、さまざまな業界であらゆる規模の企業が採用している一般的な情報セキュリティの手法です。 脆弱性管理とは、すべての企業資産を事前に検出すること、および自社環境を脅威から保護するためにセキュリティ問題、緩和、修正、防衛戦略を継続的に監視することを含む、継続的なプロセスです。

一般的な情報セキュリティ脅威にはどのようなものがありますか?

情報セキュリティ脅威の種類は常に変化していますが、一般的なものがいくつかあります。 ハッカーはありふれた存在でニュースにもなるセキュリティ脅威ですが、今日の企業が直面している情報セキュリティリスクはハッカーだけではありません。

情報セキュリティ脅威は、インサイダー脅威という形で現れることもあります。その一例は、企業データの破壊や改ざんを行う、不満を抱えた従業員です。 機密データへのアクセスが可能な企業管理の資産が増えることで生じるリスクも高まっています。 企業所有のノートパソコン、タブレット、コンピューターであれ、スマートフォンのような私物端末の業務利用 (BYOD) であれ、テクノロジー機器の紛失や置き忘れ、安全対策の欠如なども、今日の増え続ける情報セキュリティ脅威となっています。

しかし、テクノロジーだけが情報セキュリティをリスクにさらすわけではありません。 従業員もまた、セキュリティ脅威の要因になりえます。 例えば、1 つの建物内で他の企業とオフィスを共用している場合を考えてみましょう。 2 人の従業員が、重要な問題について相談するため共用エリアのロビーにやってきました。 その間、2 人は新製品の開発に関する情報を共有しましたが、他社の従業員に立ち聞きされていました。 これが、一般的な情報セキュリティリスクの一例です。

他にも、誤った相手に機密データを含むメールを送る、受信者がアクセス許可を持たないファイルを誤ってメールに添付する、テキストメッセージで機密情報を送信する際に電話番号を誤入力する、保護されていないノートパソコンを開いたままで離席するなどの例があります。

情報セキュリティに対する一般的な攻撃手法にはどのようなものがありますか?

上記の情報セキュリティリスクはどれも攻撃の糸口になる可能性がありますが、さまざまな状況や環境に適用される一般的な情報セキュリティ攻撃手法が他にも存在します。 いくつか例を示します。

設定ミスやパッチが適用されていないシステムを悪用する

マルウェア:

マルウェア攻撃はその数と複雑さを増しており、中でもランサムウェアは攻撃手法としてよく使用されています。 感染したファイルのダウンロード、悪質なリンクのクリック、感染したウェブサイトの閲覧などによって悪質なソフトウェアがデバイスにインストールされると、攻撃者は、通常は長い期間にわたって検出されないままネットワーク内を探索できることが多いため、機密データの盗取、破壊、損傷につながる広範な被害が発生します。 ランサムウェアの他に、攻撃者はトロイの木馬やウイルス、時にはスパイウェアなどをデバイスに感染させることもあります。

フィッシング詐欺またはソーシャルエンジニアリング:

フィッシング詐欺とソーシャルエンジニアリングによる狙いは根本的に同じです。すなわち無防備なユーザーに対して、悪質なリンクのクリック、悪質なファイルのダウンロード、システムやデータへのアクセスに用いる認証情報の暴露などを仕向けることです。 フィッシングはここ数年間で急増しており、最近、最も悪用される一般的な攻撃手法となりました。

サービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃:

帯域幅と CPU リソースを使いつくし、システムが実際のサービス要求に対応できないようにするフラッディング攻撃です。

クロスサイトスクリプティング (XSS):

ウェブサイト上に悪意あるコードを配置して訪問者を標的にする手法です。

中間者 (MITM) 攻撃:

公衆 Wi-Fi のような保護されていないネットワークを通じてユーザーを侵害します。

SQL (Structured Query Language) インジェクション:

サーバー上に悪意あるコードを配置して SQL を悪用し、他の方法ではアクセスできない機密情報にアクセスする手法です。

ゼロデイエクスプロイト:

脅威の公表後、パッチや修正がリリースされる前にシステムを悪用する手法です。

不正アクセス:

不正アクセスは侵害の結果の場合がありますが、従業員や請負業者がシステムやデータのアクセス権限を悪用または誤用した結果として発生することもあります。

APT 攻撃 (持続的標的型攻撃):

APT 攻撃は一般的に、ある標的に対して継続的に行われる攻撃です。攻撃者は、企業環境に侵入した後、通常は長期間にわたって検出されないようにして、ネットワークアクティビティの監視やデータと機密情報の窃取などを行います。

なぜ情報セキュリティは重要なのですか?

情報セキュリティが重要な理由は多岐にわたります。 情報セキュリティによって、次のようなことが可能になります。

  • 企業での機密データ保護のための必須のコンプライアンス、規制、その他の法的要件すべてへの確実な適合
  • 企業の「大きな混乱なく日常業務を遂行できる」という自信の構築
  • 企業で作成、送信、処理、保存が行われる機密データ (移動中データと保存データ) の保護
  • 最重要な資産、システム、データ、コア機能の保護
  • データの機密性、完全性、可用性の保護
  • 競合に対する優位性の確立
  • IT とサイバーセキュリティのチームの目標と、ビジネス上の目標・目的との整合

情報セキュリティに関する共通の課題はありますか?

はい。情報セキュリティに関する課題は数多く存在します。 これらの課題は、企業の特定の構成やニーズに固有である可能性がありますが、DX 時代の脅威環境は絶えず進化しているという事実に基づいた、業界や組織の複雑性を超えた共通の課題も存在します。 また、ほとんどの企業では、複雑性が並行して増しています。

企業間の相互接続が進むほど、業務を遂行するためにテクノロジーへの依存が (社内で、または第三者を通じて) 高まり、情報セキュリティ管理 (ISM) 上の課題も増加します。

パブリッククラウドプロバイダーとの関係を構築する際には、SLA (サービスレベル合意書) などの契約を締結することになりますが、誰がどのセキュリティコンポーネントに責任を持つのかについてまとめる必要があります。 また、双方が想定している内容を明確に理解していることを確認し、その関係が継続している間、また双方の間で契約または類似した更新が交わされた際には、定期的なフォローアップを実施するようにします。 利用しているパブリッククラウドプロバイダーが企業の規制要件に準拠しているかどうかを確認するには、コンプライアンス監査の文書の提示を要請します。

攻撃手法が増え、また社内に導入されるテクノロジー、資産、アプリケーション、サービスも増加するにつれて、脆弱性やセキュリティ上の問題も多くなります。 多くのチームには、そのすべてに取り組むための時間、リソース、経験がないのです。 熟練した情報セキュリティ専門家が世界的に大幅に不足していることが、事態をさらに困難にしています。 また、パンデミックを踏まえて、転職を検討している熟練した専門家の増加が見られます。 事実、Microsoft の調査報告 「Work Trend Index」(働き方の動向指標) によると、昨年には世界の労働者の 40% 以上が離職を検討していました。

情報セキュリティの責任者は誰ですか?

情報セキュリティ最高責任者 (CISO) または IT 担当ディレクターが情報セキュリティ対策の責任を負うという意見もありますが、現実には、情報セキュリティは IT だけの課題ではありません。 企業内の全員が、データの保護、プライバシー、セキュリティに責任を負っています。 企業で日常業務に従事する人だけを指すのではありません。 経営幹部チーム、主要ステークホルダー、サプライチェーン内のベンダーも、情報セキュリティに対して、また業界や企業独自のコンプライアンスと規制要請への適合に対して責任を負っています。

一般的な情報セキュリティ技術にはどのようなものがありますか?

企業でのデータセキュリティ管理に役立つ情報セキュリティ技術は増加しています。 以下にいくつかの例を挙げます。

クラウドセキュリティ:

潜在的な侵害が発生する前に問題の特定、脅威の緩和、修正を行えるように、設定ミスやポリシー違反を確実になくすためにすべてのクラウドリソースを評価することです。

データ損失防止:

データ損失防止 (DLP) ツールを使えば、企業でのデータ損失を確実に防ぐことができます。 DLP には、データバックアップやデータ監視など、いくつかの形があります。

エンドポイント検知・対応:

エンドポイント検知・対応ツールによりエンドユーザーのさまざまなアクティビティの監視が可能になります。後述する侵入検知ツールと同様に、エンドポイントでのアクティビティが疑わしいかの判定と問題への対応に役立ちます。 情報セキュリティ対策の一環としてエンドポイント検出を採用するメリットの 1 つは、ネットワークへの侵入やデータの転送または盗取が起きる前に、エンドポイントでの潜在的なセキュリティ問題を検出できることです。

ファイヤーウォール:

ファイヤーウォールは、ネットワーク保護のために一般的に使用されるツールです。 ファイヤーウォールを設定してポリシーを確立すると、ネットワークトラフィックの監視とフィルタリングを行い、疑わしいアクティビティやポリシー違反についてアラートを受け取れるようになります。

インフラのコード化 (IaC):

インフラのコード化により、コードから実稼働、使用に至るまでの DevOps ライフサイクル全体を通じてクラウドネイティブスタックを保護できます。これには、クラウドへのプロビジョニング前に、欠陥またはセキュリティの弱点、ポリシーの問題点、攻撃経路を検出するためのインサイトも含まれます。

侵入検出:

侵入検出ツールを使用すると、企業ではネットワークトラフィックを自動的に監視して、悪質なアクティビティの可能性があるとアラートを受け取ることができます。 多くの場合、侵入検出ツールは侵入防止システムと組み合わせて使用されます。

侵入防止:

異常なネットワークアクティビティへの対応を可能にするツールです。 例えば、侵入防止ツールにより、接続中セッションの終了やトラフィック要求の拒否を実行できます。 侵入防止ツールは、侵入検出ツールと組み合わせて使用されることが多く、企業のセキュリティポリシーや計画と整合性があります。

セキュリティ情報イベント管理 (SIEM):

SIEM (セキュリティ情報イベント管理) は、企業が社内全体から情報を収集して評価するのに役立つツールです。このツールを使用すると、より効果的に脅威を探し出すことができます。 ほとんどの SIEM には、イベント、侵入、検出のアラート機能、イベントロギング機能があるため、チームでは一般的な情報セキュリティ手法の一部を自動化できます。 SIEM は、コンプライアンスの管理と、弱点の特定に役立つ効果的なツールとなりうるため、データ漏洩インシデントが発生する前に計画を改善したりギャップを塞いだりできます。

ユーザー分析:

ユーザー分析ツールでは、ユーザーの振る舞いに関するログの取得と評価を行えるため、潜在的な脅威となりかねない疑わしいアクティビティや異常なアクティビティを容易に特定できます。 例えば、大きなファイルや大量のデータをダウンロードすることが稀なユーザーによる異常なデータ転送が突然検出された場合には、注意を要する情報セキュリティ問題がある可能性があります。

InfoSec とは何ですか?

InfoSec は、情報セキュリティ (information security) という語を結合した一般的に使用される用語です。 InfoSec は、データを保護してデータ漏洩、不正アクセス、その他のデータセキュリティ問題を防ぐための、企業のポリシー、計画、プロセス、ツール、リソースを指します。

サイバーセキュリティと情報セキュリティは同じものですか?

いいえ。 サイバーセキュリティと情報セキュリティは別物です。 しかしこの 2 つの用語は、一般的に混同されて同じ意味で使われています。 それぞれの対策の対象範囲に注目すると、その違いを最も簡単に説明できます。 例えば、情報セキュリティは通常、特にデータセキュリティに関連するプロセスを指します。一方、サイバーセキュリティの対象範囲はもっと広く、情報セキュリティを含むさまざまな手法が含まれています。

情報セキュリティ対策はどのように構築できますか?

多数の企業では、まず情報セキュリティ対策の構築、実装、管理に役立つテクノロジー探しを行いますが、その多くで重要な最初のステップを見落としています。

対策を実装する多数のプロセスと同様に、真の成功は多くの場合、経営幹部の関与と主要ステークホルダーの同意から始まります。 この時に、情報セキュリティ対策のリーダーがプログラムと要件を理解しているエグゼクティブスポンサーとの関係の確立と構築を追求する必要があります。そうすることで、情報セキュリティプログラムを企業のビジネス目標にすり合わせ、成功に必要な人員、リソース、資金を確保しやすくなります。

経営幹部とステークホルダーは、リスクプロファイルやリスクしきい値、その他のガバナンス監督を含め、情報セキュリティ戦略の承認において重要な役割を果たします。 また、コンプライアンスにおいても大きく寄与する役割を担い、プログラム開発を支援することもあります。

情報セキュリティ対策のリーダーは、エグゼクティブスポンサーとの関係構築に取り組みながら、情報セキュリティチームの編成も行う必要があります。 前述のとおり、情報セキュリティは IT だけが課題となっているわけではないため、部門横断的に代表者を集める必要があります。 情報セキュリティ対策と共有目標が一致する点について理解を得るために、コンプライアンス、サイバーセキュリティ、リスク管理、ビジネス継続性、災害対応、危機管理の分野から上級ならびに中級の管理職を社内全体から迎え入れることを検討してください。

チームの準備が整ったら、自社が保有する資産、システム、データについての包括的なインサイトが必要になります。 留意すべきなのは、知らないものは保護できないということです。

このことは、「情報セキュリティ対策の成功を目指す上で大きな課題になっている」と多くの企業が述べています。 保有資産の数、その所在、使用状況、アクセス権限について把握できていないことが多いためです。 さらに重要でありながら見落とされがちなステップは、これらの資産と、重要なプロセスや製品、サービスとの対応付けです。

これが、包括的かつ最新の資産インベントリ作成が情報セキュリティ対策の開発において重要な部分となる理由です。 SaaS アプリケーションやクラウドサービスなども忘れずに、 資産インベントリに含める必要があります。

一度リストを作成して資産の使用状況と担当者を把握しておくと、そのインベントリを自社に最適な方法で分類するのに役に立つことがあります。 例えば、侵害やその他の混乱が起きた際に業務を通常どおり継続するために必要な資産をグループ化しておけます。

資産インベントリは、一度きりの作業として取り組むべきではありません。 資産インベントリは定期的に更新してください。 資産インベントリを自動化すると、各資産の詳細すべてを把握できるようになります。くわえて、資産インベントリが完全な最新状態となるため、被害が発生する前に脅威とリスクを検出できるようになります。

すべての資産の所在と使用状況が分かれば、どこにリスクがあり、どこが情報セキュリティ脅威にさらされているのかについて、適切に把握できるようになります。 例えば、自社の資産に関して対処すべき特定の脅威や脆弱性が存在するか、 パッチや更新が必要であるか、 これらの資産が自社にどのようなタイプの脅威をもたらすか、などを把握できます。

脅威について十分なインサイトが得られたら、リスクを評価して、発生の可能性と影響に基づいて脅威をスコア付けすることが重要です。 自社のリスク許容度のレベルを超える脅威が存在するだろうか? リスクを緩和または修正するための計画は策定されているか? 最初に対処すべきリスクと、その対処順序についてどのように優先順位付けを行うのか?

資産インベントリを一度作ったきりにしてはいけないのと同様に、リスク管理プロセスの先延ばしも避けるべきです。 情報セキュリティに関しては、継続的なリスク管理手法を導入すると、企業をより適切に保護できるかもしれません。 継続的なリスク管理手法を用いると、自社環境が変わった場合でもリスクの所在を常に把握できるので、リスク同士を比較して優先順位付けと修正についての計画を立てられます。

情報セキュリティのリスク管理について検討する際は、 次に示す 4 つの主要な目的に 留意する必要があります。

  1. リスクを緩和しますか?
  2. リスクを (例えば第三者に) 移転しますか?
  3. リスクを容認しますか?
  4. リスクを回避しますか?

自社の資産とその役割、脆弱性、リスクについて完全に理解できたら、起こりうる情報セキュリティ上の問題への対応と問題からの回復について計画を立てます。 これには、情報セキュリティ管理フレームワーク、または自社のニーズや要件を満たす独自の制御のどちらを実装するかの選択も含まれます。

この計画の立案と、使用フレームワークと制御の選択が済んだら、次はその実装に移ります。 ここまでで、重要な資産や機能について明確な理解が得られているはずなので、それから取り組みを始めて、他の制御の実装を後で行うように優先順位を付けておくと便利です。 情報セキュリティ対策を徐々に成熟させるには、これが良い方法となります。

また、この段階で最新の情報セキュリティプロファイルを評価するのも有益です。 例えば、現在運用されている情報セキュリティ対策が自社のコンプライアンス、規制、その他の契約や目標のすべてとどのように関係しているか、 目標に達していない分野はあるか、 これらの不備はすぐに修正すべきなのか長期的な目標として後で取り組めばよいか、などを評価します。

最新の情報セキュリティプロファイルを確立したら、目標とするプロファイル、すなわち自社が理想とする状態と比較して評価します。 目標とするプロファイルとの比較評価で得られた情報は、情報セキュリティ対策を徐々に成熟させるための計画立案に利用できます。

最新のプロファイルを把握した上で、次に、情報セキュリティ制御をテストして設計どおりに動作するかを確認してから、見つかった問題を修正する必要があります。 これは、攻撃者の一歩先を行き、侵害や実際のエクスプロイトを防ぐのに役立ちます。

また、これは従業員教育やトレーニングプロセスを確立する良い機会でもあります。 教育プログラム成功の鍵は、情報セキュリティが企業内の全員の責任であると鼓舞し、励まし、意識を強化することです。

これらは情報セキュリティの着手に適した手順ですが、対策を一度作ったら後は何もしなくていいというわけではありません。 社内の環境と脅威環境は絶えず変化していくため、情報セキュリティ対策には連続的なサイクルで取り組むことになります。 どのくらいの効果があり、どこに改善が必要かを知るには、 内部監査を行うことです。情報セキュリティの防御戦略において優位な立ち位置を維持することができるでしょう。

情報セキュリティ管理システムとは何ですか?

情報セキュリティ管理システムは ISMS と呼ばれることもあります。 ISMS とは、企業がデータセキュリティ問題について検出、対応、回復を行えるようにするすべての計画、ポリシー、プロセスを指します。

例えば ISO 270001 は、情報セキュリティ管理のための国際的に認められた一連のベストプラクティスです。 ISO 27000 ファミリーには 12 を超える規格の概略が示されています。 これらの規格は、企業での情報セキュリティに関わるすべてのニーズの管理改善に役立ちます。

ISO 27001 の対象は、情報セキュリティで重要な 6 つの領域である、リーダーシップ、計画、支援、運用、パフォーマンス評価、改善です。

ISO 27001 への適合を企業で選択する場合は、上記 6 領域のそれぞれで満たすべき所定の要件があります。 認証の取得は義務ではありませんが、業界によってはそれが必須の場合もあります。

ISO 27001 への適合が求められない場合でも、ISO 27001 のベストプラクティスを導入して自社の情報セキュリティ手法を改善することにはメリットがあります。

情報セキュリティポリシーとは何ですか? その役割は?

情報セキュリティポリシーには、弱点の検出とその保護計画の策定のために、企業がすべての資産をどのように取り扱うべきかが規定されています。 多くの企業が、機密データの機密性、完全性、可用性を確実に保護するために情報セキュリティポリシーを定めています。このポリシーは、多くの場合、経営幹部と主要ステークホルダーからの承認を受けています。

自社の情報セキュリティポリシーは、企業独自のニーズを反映して採用できますが、情報セキュリティポリシーへの組み込みを検討すべき重要な領域もいくつか存在します。具体的には、対策の目的、対象範囲、目標、責務です。

情報セキュリティのフレームワークはありますか?

Tenable One には企業が情報セキュリティ対策の開発に利用できるフレームワークは多数あります。 以下に、有用なフレームワークをいくつか紹介します。

セキュリティ侵害により発生するコストはどのくらいですか?

セキュリティ侵害のコストは高額です。 IBM の「Cost of a Data Breach Report 2021」(2021 年データ侵害のコストに関する調査レポート) によれば、2021 年のデータ侵害の平均コストは前年から 10% 上昇して 420 万ドル (USD、以下同様) を上回りました。 興味深いことに、パンデミックの影響も見られます。新型コロナウイルスの大流行をきっかけとするリモートワークに起因するデータ侵害の平均コストは、リモートワークが要因ではなかった環境と比較して 100 万ドル以上高くなっていました。

11 年連続でデータ侵害の平均コストが最も高額と報告されているのは医療業界で、その額は 900 万ドルを超えています。

また、同調査では、PII (個人情報) のレコード 1 件あたりの侵害コストは 180 ドルであり、発生した侵害の半分近く (ほぼ 44%) にこのような情報の侵害が含まれていたことに言及しています。

2021 年に最も一般的に使用された初期の攻撃経路は漏洩した認証情報であり、次にフィッシングとクラウドの設定ミスが続きました。 その他の攻撃経路としては、悪意ある内部関係者、サードパーティ製ソフトウェアの脆弱性、物理的なセキュリティ侵害、意図しないデータ損失やデバイス紛失、ソーシャルエンジニアリング、システムエラー、業務メールの漏洩などがありました。

しかし、データ漏洩の高額なコストは、漏洩への対応と修正に関連するものだけではありません。 コンプライアンス監督機関から高額な罰金と罰則を課されることがあり、また民事・刑事上の問題への対処が必要な場合もることもあります。 さらに、ブランドや風評被害のリスクが非常に大きいことも考慮しなければなりません。

一方で良いニュースもあります。 すべてのデータ漏洩が多額の支出や破滅的な打撃につながるとは限らないのです。 これこそが、情報セキュリティのベストプラクティスが企業にとって非常に重要である理由です。 このベストプラクティスがあれば、影響を最小限かつ短期間にとどめるという目標のもとに、セキュリティ上の問題に対する予測、計画の策定、対応が実施できるようになります。

SOC とは何ですか?

SOC とは、セキュリティオペレーションセンター (Security Operations Center) の略語です。 多くの企業は、SOC を情報セキュリティに関連する人員、プロセス、テクノロジーを管理する中央拠点として使用しています。 企業によっては、オンサイト SOC を設けています。 クラウドモデルでのセキュリティ運用を任せられる外部機関との連携を選択する企業もあります。 オンサイトオペレーションセンターの要素とクラウドベースコンポーネントとを組み込んだ、ハイブリッド SOC モデルを採用する企業もあります。 SOC を、インシデント時の司令塔、つまり企業全体での包括的なインサイトを有する場と考えてみてください。ここでは継続して自動的に監視が行われ、セキュリティ問題が起きた際にはアラートを送信できます。

ソーシャルエンジニアリングとは何ですか?

多くの人が情報セキュリティをデータとテクノロジーの観点で捉えていますが、人もまた情報セキュリティリスクになりうることに留意してください。 ソーシャルエンジニアリングは一般的な攻撃手法です。 ソーシャルエンジニアリングにおいて、攻撃者は個人を巧みに操り、認証情報や機密情報を暴露させようとします。(その際には、メールや電話、テキストメッセージやソーシャルメディアなどの手段が使用され、相手に直接会うことさえあります。) 攻撃の成否は、話の信憑性と、相手からの信頼を得られるかにかかっています。 このため、情報セキュリティ、脅威、従業員の役割と責任についての全社的な教育を行うことが攻撃を防ぐのに最も重要となります。

ランサムウェアとは何ですか?

ランサムウェアはマルウェアの一種です。 ランサムウェアはますます一般的な攻撃手法となっています。この手法では、攻撃者は、妨害の除去やデータの暗号化解除のために身代金が支払われるまでシステムへのアクセスを妨げる目的で、悪質なソフトウェアを導入します。 被害を受ける企業がシステムから締め出されている間に、ランサムウェア攻撃者が機密データの破壊、損傷、公開に及ぶことや、実行をほのめかして脅迫することは頻繁にあります。 企業が身代金の支払いを選択したとしても、暗号化の解除が成功する保証はなく、データの破損や消去がないとも限りません。

フィッシングとは何ですか?

フィッシングはソーシャルエンジニアリングの一種です。攻撃者は、メールやメッセージの開封、悪質なファイルのダウンロード、悪質なリンクのクリック、ウイルス感染したウェブサイトの閲覧を行うようユーザーに仕向けて、機密データの入手やマルウェア導入、デバイスの感染を狙っています。

情報セキュリティのベストプラクティスにはどのようなものがありますか?

企業が検討するべき情報セキュリティのベストプラクティスは数多くあります。 より詳しい情報については、ISO 27001 の内容を調べてください。制御の推奨事項や認証に関するガイドを確認できます。 俯瞰的な観点では、従業員に以下のようなことを奨励するのが良い基準と言えるでしょう。

  • 常に周囲に気を配り、公共スペースでは機密情報について絶対に話さない
  • 所持デバイスがどこにあるかを常に把握する
  • 強力なパスワードと多要素認証を使用する
  • データを暗号化する
  • 役割と責任に基づいてデータアクセスを制限する
  • 知らない人物からのメールの開封や添付ファイルのダウンロードを行わない
  • VPN (仮想プライベートネットワーク) を使用し、公衆 Wi-Fi 接続の使用は避ける
  • 攻撃や侵害の疑いがあれば情報セキュリティチームに連絡する

機密として扱うべきデータの例にはどのようなものがありますか?

一般的に、顧客と従業員に関する情報、内部文書、財務記録、研究開発関連の情報、市場での自社の競争優位性を担保する可能性のあるその他すべての分野の情報を、機密情報として扱う必要があります。

ノートパソコン、またはスマートフォンやタブレットといったデバイスの紛失は情報セキュリティ侵害にあたりますか?

情報セキュリティ侵害に該当します。ただし、侵害の深刻度は、デバイスに保存されているデータの種類と量、暗号化、そのデバイスから接続可能な機密データやシステムの内容など、さまざまな状況に応じて変わります。 デバイスの紛失や侵害については、できる限り速やかに IT 担当チームに報告する必要があります。

情報セキュリティに関する Tenable のリソース

関連製品

DX 時代のアタックサーフェスを今すぐ保護しましょう

Tenable Vulnerability Management をお試しください

情報セキュリティに関する Tenable のリソース

クラウドセキュリティの管理: SANS ウェビナー

SANS ホワイトペーパー: クラウドセキュリティ管理ガイド

無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料でお試し 今すぐ購入

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料でお試し 今すぐ購入

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加