対策1 物理セキュリティ対策
施設や設備、機材などに対する物理的な干渉(情報の盗難や紛失)に備える対策
【対策の例】
- 施設への入退室管理、生体認証、監視カメラの設置
- サーバーやネットワーク機器は、サーバールームに置かれていて、扉が施錠されている
- 社外に持ち出すPCのハードディスやUSBメモリが暗号化されている
対策2 ネットワークセキュリティ対策
内部システムと外部システムを遮断し、内部システムへのアクセスを防止したり、アクセスするユーザーを管理したりする役目を持つファイアウォール(Firewall Management)による対策
【対策の例】
- 外部ネットワークとの接続境界点にファイアウォールを設置
- 新たな脅威に対応するために、設定変更または修正プログラムをすぐに適用できる体制がある
- ファイアウォールが備えている機能が有効になっている
✓ Webフィルタリング (不正サイトへのアクセス禁止)
✓ IDS(侵入検知システム)
✓ IPS(侵入防止システム)
対策3 エンドポイントセキュリティ対策
ITシステムの末端(エンドポイント)にあるデバイスに対して、マルウェアの侵入や不正アクセス、サイバー攻撃などによる情報漏えいを未然に防ぐためのセキュリティ対策
◆エンドポイントデバイスの例
- デスクトップコンピュータ
- ノートPC
- スマートフォンやタブレットなどのモバイルデバイス
- スマートウォッチやスマート医療機器などのウェアラブル
- プリンター、スキャナー、コピー機などのネットワーク周辺機器
- ワークステーションとサーバー
- ルーターとスイッチ
- スマートセンサーや他のスマートマシンなどのモノのインターネット (IoT) デバイス
【対策の例】
- PCへの対策ツールの導入
✓ パターンマッチング型マルウェア対策ソフト
✓ ふるまい検知型マルウェア対策ソフト
✓ EDR(不審操作ログ監視)
✓ DLP(データ監視、情報漏洩防止)
✓ USB デバイス制御など
対策4 アプリケーションセキュリティ対策
アプリケーション内のデータの盗難やコードの挿入、乗っ取りから保護するためのアプリケーションレベルのセキュリティ対策
【対策の例】
- 使用アプリケーションに関連する最新の脆弱性情報の入手
- 脆弱性への対応を速やかに実施、最新のセキュリティアップデートの適用
✓ 適用前にアップデートの適用の手順を確認
✓ 適用後のアプリケーションテスト手順の準備
対策5 データセキュリティ対策
PCやサーバ等、様々な場所に保存されている企業のデータを安全に保ち、不正アクセス、データの破損、盗難等から保護する為の対策
【対策の例】
- バックアップによるデータ保護
✓ 日次、週次、月次でのデータバックアップ
✓ バックアップデータの暗号化
✓ バックアップデータのオフサイトでの管理
✓ データおよびシステム復元のリハーサル
対策6 組織内部のセキュリティ方針(Security Policy)
前述のセキュリティ対策を施したとしても、組織に適切な管理方針が無ければ、効率的なセキュリティ管理は不可。組織が定める情報セキュリティ方針を明文化しておくことが重要
【対策の例】
- 社員向け各種セキュリティ規定の作成
✓ 社内ネットワークに接続するPC
✓ 外部記憶媒体の利用
✓ 情報の取り扱い
✓ 使用可能ソフトウェア
✓ アカウント・パスワード
✓ メール使用
お客様のインフラセキュリティ脆弱性の調査、診断を実施し、適切なセキュリティ対策をご提案いたします。事業継続へのリスクとなるサイバー攻撃からあなたの組織を守ります。
お気軽にお問い合わせください。
