セキュリティ対策で考慮したい種類と違い

 2017.09.19 Secure Enterpriseポータル

2017年、組織を狙った情報セキュリティ10大脅威は、IPA(情報処理推進機構)によって次のようにまとめられています。

≪情報セキュリティ10大脅威 2017(組織)≫

順位 情報セキュリティ脅威 前年順位
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 7位
3位 ウェブサービスからの個人情報の窃取 3位
4位 サービス妨害攻撃によるサービスの停止 4位
5位 内部不正による情報漏えいとそれに伴う業務停止 2位
6位 ウェブサイトの改ざん 5位
7位 ウェブサービスへの不正ログイン 9位
8位 IoT機器の脆弱性の顕在化 ランク外
9位 攻撃のビジネス化(アンダーグラウンドサービス) ランク外
10位 インターネットバンキングやクレジットカード情報の不正利用 8位

引用:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2017

この情報セキュリティ10大脅威は「2016年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案」から選出されたものであり、IPAによる脅威予測とも言えます。その予測通り、今年5月にはランサムウェア「Wanna Cry」が世界中で猛威を古い、150ヵ国30万台以上のコンピュータがその被害が遭いました。

ランサムウェア以外にも標的型攻撃やウェブサイト改ざんなど、情報セキュリティ脅威は常に潜んでいます。組織のセキュリティ対策へのニーズは高まるばかりであり、早急な対策強化が求められています。

そこで今回は、セキュリティ対策で考慮したい種類と、その違いについて紹介していきます。自社に今必要なセキュリティ対策とは何か?と、見つめ直すためのきっかけなれば幸いです。

セキュリティ対策の基本は「技術」「物理」そして「人」

情報セキュリティでよく言われているのが、セキュリティ対策で最も大切な基本は「技術」「物理」「人」という3つの観点から、対策を取ることです。

まず「技術」セキュリティでは、多様な情報セキュリティ脅威を想定して、総合したセキュリティ対策を取ることが大切です。ウイルス対策ソフトやファイアウォールといった基本セキュリティ対策はもちろん、WAF(ウェブ・ファイア・ウォール)やIDS/IPS(侵入検知/防御システム)など、多様なセキュリティ対策を取る必要があります。

しかし、多くの中小企業では、複数のセキュリティシステムを導入するだけでのリソースが足りません。そこで、アウトソーシングサービスやクラウドサービスの利用を検討します。

「物理」セキュリティとは、外部からの情報セキュリティ脅威に対するものというより、内部要因へのセキュリティ対策だと言えます。実は、情報漏えい事件のうち、約半数は「誤操作」や「管理ミス」といった、内部要因が原因である、といったレポートが多数存在します。

参考:JNSA「2016年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~

このため、PCやタブレット端末、USBメモリなど社用デバイスの利用規約を設けたり、オフィス施錠などを徹底することが大切です。

「人」のセキュリティとは、情報セキュリティに対する明確なルールを作成したり、セキュリティ教育を施すことだと言えます。セキュリティ対策はつまるところ「人」が行うものです。このため、どんなに優れたセキュリティシステムを導入しても、「人」がセキュリティルールを守ったり、防御意識を持たなければ対策強化には繋がりません。

このため、セキュリティ対策において最も重要な基本となります。

セキュリティ対策ツールの分類と違い

次に、多数存在するセキュリティ対策ツールの分類と、その違いについて説明していきます。セキュリティ対策ツールは大まかに分けて「エンドポイント」「ネットワーク」「データベース」の3つに分類されます。

「エンドポイント」とは、いわゆる「端末」のことであり、組織が普段利用しているPCやモバイル端末がなどが該当します。そんな「エンドポイント」セキュリティの代表格がウイルス対策ソフトです。メールやWebフィルタリングによってウイルスの有無を察知し、危険があれば警告したり、ウイルスを排除してくれます。この他には、サンドボックスや仮想化環境セキュリティなど、様々なものがあります。

「ネットワーク」セキュリティとは外部ネットワークと内部ネットワークの間に介在し、不正侵入を防ぐセキュリティ対策ツールです。あるいは、内部ネットワークを監視し、不正通信を察知します。「ネットワーク」セキュリティに該当するのはファイアウォール、WAF、IDS/IPSなどが一般です。特にWAFは、公開しているWebサイトやWebサービスを防御できる、唯一のセキュリティ対策ツールと言えます。

「データベース」セキュリティとは、主にサーバ内のデータベースにて不正操作を監視するためのセキュリティ対策ツールです。多くのサイバー攻撃は、最終的にデータベースでの情報搾取を狙っています。そのため、情報の宝庫であるデータベースを監視することで、よりセキュリティ対策を強化することが可能となります。

「クラウド」「オンプレミス」「アウトソーシング」の違い

最後に、セキュリティ対策ツールの導入形態である、「クラウド」「オンプレミス」「アウトソーシング」の違いについて解説します。

「クラウド」とはインターネット上で提供されるサービスを指します。データをインターネット上に保管するオンラインストレージや、サーバリソースをインターネット経由で確保するPaaS/IaaSといったサービスが一般的です。セキュリティ対策ツールを「クラウド」で導入するメリットは、導入コストと運用負担にあります。

社内でインフラを整える必要がない「クラウド」は導入コストが下がり、さらに導入後の運用負荷が軽減するというメリットがあるのです。強力なセキュリティ対策を維持しつつ、最低限のリソースで運用したいという企業におすすめです。

「オンプレミス」とはセキュリティ環境の全て、あるいは一部を社内で構築することです。社内インフラを整える必要があるので必然的に導入コストと運用負荷が高くなります。

「アウトソーシング」とは、自社のセキュリティ環境運用を、専門会社に委託するという導入形態です。運用負荷が少ないものの、導入コストと維持コストが高くなるという課題があります。

導入コストと運用負荷を考慮するのであれば、やはり「クラウド」がおすすめでしょう。

まとめ

情報セキュリティには実に多様な対策が、ツールが、導入形態があります。これらすべては、日々高度化するサイバー攻撃に対し、情報漏えいを防ぐために欠かすことはできません。自社のセキュリティ対策を強化するためにも、まずは「何が足りないのか?」について考えてみましょう。その上で、必要な対策・ツール・導入形態を選び、実践していただければと思います。