ここではサイバーセキュリティリスクへの対策OODAループの中のDecide(意思決定)で行うデータセキュリティ強化について解説。その必要性や具体的な手法をご紹介します。
データセキュリティとは、外部からの悪意のあるサイバー攻撃や内部犯行など、不正アクセスや情報漏洩などが起きないように守る手段や技術のこと。ID・パスワードによるアクセス管理は基本ですが強化するためにはそれ以外の方法も必要です。
またLinuxよりもWindowsではウイルス感染のリスクが高いなど、OSやシステム環境によって強化する内容や優先度を変えて対策を行うことも重要です。今後、紙中心の業務のデジタル化が進めばさらにデータセキュリティの範囲も拡大します。
企業は顧客情報や製品開発情報、財務情報など機密性の高い情報・データを大量に保有しています。これらの情報の多くは社内システムやデータベース内にありますが、ネットワークにも繋がり情報共有も行われます。
これらの情報は悪意のある攻撃者にとって、不正アクセスを行って盗み出すターゲットになりやすい側面があります。万が一、情報漏洩が起きたりシステムが破壊されるようなことがあると企業に甚大な被害を与えるためデータセキュリティ強化が必要なのです。
サイバー攻撃による不正アクセスは、どれほど対策を講じていても発生してしまうことがあります。その際に被害を最小限に抑え、迅速な復旧が行えるかどうかはデータバックアップの質に依存します。
確実にサイバー攻撃から守るためには、オンラインにつながらない場所に定期的にバックアップを行いメンテナンスを行うことが必要です。
ネットワークを通じてデータのやりとりを行う際に暗号化が行われます。これにより通信経路の途中で第三者に情報を盗まれたり、改ざんされるリスクを軽減できます。
データ暗号化ツールを使用してマスキングを行えば、保存されている文書の秘匿化ができ、データが流出しても攻撃者に内容を知られることがなくなります。
ルーターやァイアウォールなどのネットワーク機器で利用されるネットワーク制御機能の一つに、パケットフィルタリングがあります。
これはソフトウェアでも実現でき、あらかじめ管理者が設定した条件に従って通信パケットや送信元・送信先IPアドレスの整合性を検査し、不正だと判断されるとパケットを破棄することができます。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
近年はクラウド上で業務やコミュニケーションを行うケースが増えてきました。クラウドシステムは社内で使用するデータでも、物理的には外部のサーバーに保存されており、データセキュリティに関しては複雑化します。
クラウド業者にサーバー管理やセキュリティ対策を任せられるメリットがありますが、内容の確認が難しくなります。そのため業者選びが重要になり、それを含めたセキュリティに関するアドバイスできる会社に相談することも必要です。
【Act(行動)】
従業員のトレーニング
インシデント管理を徹底する
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス
悪意のある命令を実行できる
データセキュリティは、デジタル情報をそのライフサイクル全体を通じて不正アクセス、破損または窃盗から保護することです。外部のハッカーから狙われやすいのはもちろんのこと、内部の人間が自分の立場を利用してデータを盗んだり、ミスにより不慮の事故を起こす可能性も考慮し、データを守らなければなりません。
リスクと脅威に応じた具体的な対策を講じましょう。例えば外部からの不正アクセスに対しての脆弱性対応、ウィルス感染に対するセキュリティソフト(EPP、EDR)の導入、人為的なミスによる情報漏洩を防ぐための教育やシステムの導入、故意の情報漏洩に対するログ管理と行動管理などといった対策をしましょう。