情報セキュリティ対策はここから!実践的な5ステップ
何から着手したらいいの?
昨今、企業においても個人においても「情報セキュリティ対策の重要性」をご理解いただいている方がほとんどかと思います。
このブログでも、直近では「ランサムウェア対策」「セキュリティにEDRは必要か」などについてご紹介してきました。
弊社のお客様でも情報セキュリティ対策に本格的に取り組んでいらっしゃる企業様が増えているなかで、
「なにかやった方がいいの?」
「セキュリティソフトは入れたんだけど」
といったご相談をいただくことがたびたびございます。
そこで今回は、これからセキュリティ対策に着手したい方に向けて、基本となる考え方についてご紹介させていただければと思います。
情報社会を取り巻く脅威
まず初めに、セキュリティ対策を取り巻く現状を知ることから始めましょう。
何事も、対策するためにはまず「相手を知る」ということが重要です。
下記「情報セキュリティ10大脅威」には、どのような事案が起きているか、そしてそれぞれの事例ごとの傾向・対策が詳細にまとめられています。
IPA(独立行政法人 情報処理推進機構)が毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、
情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
対策を講じるまでの5ステップ
上記の事例をご覧いただくと、私たちの情報が多種多様なリスク・悪意にさらされていると感じることができたのではないでしょうか。
では、実際にどのように対策・施策を打てばいいのかを考えていきましょう。
①会社として守るべきものを明らかにする
- 自組織の「業務プロセス」
- 自組織が保有する貴重な「情報・データ」
- 業務プロセスを実現し、重要な情報やデータを保護するための「システム」
- システムを用いて提供される「サービス」
- システムやサービスを構成している「機器」
などが挙げられます。
②守るべきものに対する脅威を抽出する
10大脅威を再度読んでみて、そのうちのどれに該当するか考えます。
最新のものだけでなく、過去にランクインした10大脅威も参考にするのもよいでしょう。
③対策候補の洗い出しをする
②で洗い出したそれぞれの脅威に対して、対策として有効と考えられるものを書き出していきます。
④実施する対策を選定する
- 予算、時間、機器が十分であるか
- 対策しなかった場合の被害はどれくらいになるか
- 対策を別の方法で実施できないか
- 運用できる担当者がいるか
上記のような要素を考慮して、実施する対策に「すぐに実施」「半年以内に実施」「1年以内に実施」などの優先順位をつけます。
⑤ソフト・機器の購入や、システム業者への相談をする
④でつけた優先順位の順番に沿って行動に移していきます。
第一歩を踏み出すために
ここまでの手順で考えていただくと、漠然としていたセキュリティ対策への道筋が、具体性を持ったものに変わってくるのではないでしょうか。
すでに社内でセキュリティ対策が十分な企業様も、情報システム部門の方のみならず、社員皆様にこの流れを意識していただくことでセキュリティ対策の効果が一層高まることと思います。
すべてに取り組むことが難しい場合、まずは「情報セキュリティ10大脅威」を読み、
現状を知っていただくだけでも情報セキュリティ対策の第一歩となりますので、ぜひ周りの皆様にご紹介いただければと思います。
情報セキュリティ対策に着手するためのお手伝い、ITやシステム化、業務効率化でお困りの場合はぜひご連絡ください。
【参考文献】
IPA(独立行政法人 情報処理推進機構)
最後までお読みいただき、ありがとうございました。
お問い合わせは「✉まずは相談してみる」ボタンよりお願いします。
担当者がお返事させていただきます。
