情報セキュリティ導入のアプローチ

情報セキュリティ導入の アプローチ

情報セキュリティ(information security、infosec)は、データセキュリティとほぼ同義であり、データを保護するための事前対策となるサイバーセキュリティ計画の構成要素の1つです。情報セキュリティプログラムの主な分野には、誰がどのデータにアクセスできるか、権限を与えられた各人にどのレベルのアクセスが与えられるか、従業員のトレーニング、データに関する特定のニーズへの対応などが含まれます。

医療、金融、公共、教育などの諸機関や不動産管理業など、個人・顧客データの管理に責任を持つ組織には、情報セキュリティプログラムが欠かせません。国や業界によっては、データ保護が法的に義務付けられている場合もあります。

情報セキュリティは 多くの組織に共通するリスクへの対策 不正アクセス データの損失・窃盗 データの改ざん

情報セキュリティは、データの安全を守る手段となります。

  • 不正アクセス:データ漏えいは業種を問わず最大の懸念事項であり、平均約400万ドルの損害が発生し、小規模企業の60%が復旧できずに廃業に追い込まれている。
  • データの損失・窃盗:情報セキュリティは、気象災害、火災、窃盗などの予期せぬ災害からデータを保護する。
  • データの変更・改ざん:徹底した情報セキュリティプログラムにより、データが変更されることなく元の状態に保たれ、偶発的あるいは悪意による変更・改ざんを防止する。

情報セキュリティを実施するための一般的なアプローチには、ボトムアップとトップダウンの2種類があります。この2つの方法の違いを説明し、独自のデータ保護計画を確立するための役立つヒントを紹介します。

 

1. ボトムアップのアプローチ

ボトムアップのアプローチでは、ネットワークセキュリティの専門家、社内のサイバーエンジニア、またはトップレベルの管理職に就いていないその他の専門家など、一人のスタッフまたはセキュリティ部門がそれぞれ情報セキュリティの成功の責任を担います。各担当者は、教育、訓練、経験、専門知識を駆使して組織全体のデータを保護することが、社内での主な責任となります。

 

ボトムアップによる導入のメリット

情報セキュリティに対するボトムアップのアプローチの主なメリットは、個人やチームの経験と専門知識を活用して複雑なセキュリティ問題を処理できる点にあります。彼らは、ニーズに即したトレーニングを既に受けており、各組織・業界独自の状況を理解しいます。

多くのケースでは、新たに人を雇う代わりに、適切な経歴を持つ従業員に任務を任せることができます。すぐに利用可能なリソースを活用し、大規模で複雑な計画を確保するための時間やコストを節約するという面で効果的な方法です。

 

ボトムアップでの留意点

ボトムアップによるアプローチの最大のデメリットとなる、多くの業界専門家がこのアプローチを避けることを推奨する理由は、トップレベルの経営陣からの支援やインプットがないことです。そのため、情報セキュリティプログラムは、トップからの情報やアドバイスを取り入れた場合と比較して、長期的な継続性や徹底性に欠ける結果となります。

企業の上層部を巻き込むことで、全社的な懸念事項、基準、要件、利用可能なリソースについて、ユニークな視点を持つことができます。 

 

2. トップダウンのアプローチ

トップダウンのアプローチは上層部から始まります。トップレベルの管理者は、ポリシーの作成、手順の指示、エスカレーション計画など、データ保護戦略の開始、作成、実施に責任を持つ人物です。外部からの支援、トレーニング、または専門の情報セキュリティサービスとの連携を求めることもできます。また、既存のスタッフの専門知識や会社のリソースを活用することもできます。

 

トップダウンによる導入のメリット

このアプローチでは、各部門のデータに注目し、それがどのようにつながっているかを探って脆弱性を見つけます。管理職には全社的な指示を出す権限がある一方で、各人がデータの安全維持に不可欠な役割を果たすことができます。個人や部門に比べて、管理職ベースのアプローチでは、より多くの利用可能なリソースが組み込まれ、会社のアセットや懸念事項がより明確になります。 

トップダウンのアプローチでは、ボトムアップのアプローチよりも一般的に長期的な継続性と効果が得られます。データ保護は一個人やチームに全ての責任を負わせるのではなく、全社的な優先事項となるからです。データの脆弱性は全ての部門や事業所に存在し、状況は各部門・事業所によって異なります。情報セキュリティプログラムが機能する唯一の方法は、全社的な計画に全マネージャー、支店、部門、従業員が賛同することです。

 

トップダウンでの留意点

トップダウンのアプローチを成功させるには、情報セキュリティの優先順位付けに尽力する優秀なリーダーが必要です。既存の経営陣は、効果的なデータ保護計画を策定するために必要なトレーニングや経験を持っていない可能性が高いため、外部の専門家に相談する必要があります。

情報セキュリティ計画を作成する一方で、経営陣が新しいポリシーを導入、監視、維持するための十分な時間とリソースを確保する必要があります。理想的なトップダウンのアプローチは、一般的に上層部から始まり、既存の IT 部門を動員して充実したプログラムを作成します。

 

多層的な情報セキュリティ

サイバーセキュリティは、種類や規模を問わず、全ての企業にとって極めて重要です。ある調査では、参加者の半数以上がサイバーセキュリティを組織の最大の懸念事項として挙げています。データやネットワークの侵害は、多くの企業が完全に回復することのない壊滅的な影響をもたらすおそれがあります。2019年にサイバー攻撃を受けた企業の平均被害額は20万ドルでした。 

攻撃には、フィッシング詐欺、ハッキング、物理的な場所への不正アクセス、トロイの木馬ウイルス、ランサムウェア、パスワード攻撃など、さまざまな形態があります。想定される脆弱性は多岐に及ぶため、多層的アプローチは、部門横断的な保護を実現するための最良の方法です。

情報セキュリティの多層化は、Web、ネットワーク、デバイス、アプリケーション、ソフトウェア、物理的セキュリティなど、サイバーセキュリティの他の側面とともに、標準的なデータ保護を全て考慮に入れています。また、ディザスタリカバリ(DR)やデータバックアップ計画も含まれます。多層的な保護は、セキュリティ上の大きな懸念を管理しやすい断片に分割します。これにより、部門、デバイス、保存データなど、特定のニーズに応じてタイプや保護レベルのカスタマイズが可能になります。

医療ビジネスを考えてみましょう。財務部門では、過大請求や過少請求を防止するために、データの完全性が最大の関心事の1つとなります。一方で、患者記録部門では、データのセキュリティ、プライバシー、アクセス制御に重点が置かれます。そこで、多層的なアプローチの出番となります。多層的なアプローチは、情報セキュリティの各分野が他の分野に依存するように組み合わされ、外部からの攻撃者の侵入を困難にする、強力で防御的な保護ブランケットを構築します。

Web とネットワークのセキュリティ 全種のブラウザ、プライベートネットワーク、 共有ネットワーク、オンラインユーザーアカウントを保護

Webとネットワークのセキュリティ

Webセキュリティとネットワークセキュリティでは、ポリシーを作成し、全てのブラウザ、プライベートネットワーク、共有ネットワーク、オンラインユーザーアカウントなどの要素を保護します。

  • 経営陣、従業員、サードパーティの請負業者、パートナーを含む、アクセス権を持つ各人に割り当てられたユーザーの権限・役割を明確にする。
  • オンサイト/オフサイトの従業員と請負業者のためのさまざまな暗号化を検討し、適切な方法を適用する。
  • 全ネットワークトラフィックに対するIPネットワーク全体のセキュリティ対策を講じる。
  • ファイアウォール、アンチウイルス、アンチマルウェアシステム、侵入アラート、防御ソフトウェアを導入する。
  • Webブラウザのポップアップを無効にする。
  • 添付ファイルやフィッシング詐欺の可能性を含む、全てのWebメールのセキュリティを強化する。
  • 従業員個人の管理されたアクセスアカウントで、安全な最新のWebブラウザを使用する。
  • 業務用の携帯電話、タブレット、スマートデバイスを保護するモバイルデバイスのためのセキュリティ対策を講じる。
  • ネットワークのセグメンテーションを適宜行う。
  • ファイルとメッセージのデータ損失防止(DLP)対策を導入する。

 

デバイスとアプリのセキュリティ

デバイスとアプリのセキュリティは、全てのコンピュータ、タブレット、会社の電話、スマートデバイス、アプリケーション、ユーザーソフトウェア、コンピュータプログラム、オンラインアカウントに適用されます。主な留意点は次のとおりです。

  • 全てのアプリとソフトウェア、およびそれに付随するセキュリティを最新の状態に保つ。
  • 解読されにくいパスワードとログイン認証情報の設定とそれらの定期的なアップデートを各ユーザーに義務付ける。
  • デバイスとシステムのメンテナンスを定期的に実施する。
  • 疑われる脅威、検知された脅威、または隔離された脅威を含む、デバイスおよびアプリの全ての挙動について、徹底した最新の記録を保持する。
  • 各デバイスのユーザーとアカウントにホスト侵入検知システムを適用する。
  • 不要なアプリ、ソフトウェア、ユーザーアカウント、デバイスをローテーションから削除する。
  • パッチ管理を導入し、全てを最新の状態に保ち、新しいパッチがリリースされたら自動的に適用する。

 

物理的セキュリティ

物理的なセキュリティは、業界、ビジネスモデル、物理的な場所や施設によって異なります。例えば、データセンターへの入室にアクセスコードを課するという大規模なものから、中小企業で秘密情報のある部屋に施錠するなどの小規模なものまで、さまざまなものが含まれます。

物理的セキュリティには、小さな行動から大規模な実装まで、 あらゆるものが含まれる

その他の物理的なセキュリティ対策の例を以下に示します。

  • 社内の誰がどの機器やデバイスにアクセスできるかを明確にするポリシーを定義し、使用方法や持ち出し場所について厳格な規則を設ける。
  • ドアや窓に警報システムを設置する(多くのデータをオンサイトで保存する企業の場合には特に重要)。
  • 新規採用者、第三者の請負業者、または秘密情報に密接に関わるパートナー全てに対し、身元調査および照会を実施する。
  • キーカード、従業員身分証明書、その他事業所内の安全な区域に入るための管理方法を導入する。

 

バックアップとディザスタリカバリ

データのバックアップとディザスタリカバリ(DR)は、ビジネスの規模や種類を問わず、全ての多層的なセキュリティプログラムに不可欠な要素となります。台風、火災、水害、竜巻、盗難、世界規模の災害、物理的な場所にアクセスできなくなる事故など、あらゆる業界がさまざまな予期せぬリスクにさらされています。リカバリとバックアップの計画がなければ、データ、時間および、事業停止による利益の損失のリスクが生じます。

バックアップとディザスタリカバリのためのヒント バックアップを 自動化 複数の場所で データを保管 オンサイトの ストレージを保護 アクセス計画を 策定

次に、バックアップとリカバリのヒントを紹介します。

 

バックアップを自動化

全てのバックアップ方法が自動設定されているわけではありません。例えば、データを物理的なデバイスに手動でバックアップしなければならない場合もあります。保護対象となるデバイスやシステムを自動バックアップスケジュールに入れることで、プロセスの欠落や重複を避けることができます。日次、週次、月次など、データを保存する頻度は、組織のニーズによって異なります。

 

複数の場所でデータを保管

一般的に、コンテンツはクラウド上でより安全に保護されます。重要なデータをコンテンツクラウドに保管することで、オンプレミスのデータ保管に伴う物理的・地理的な負担が軽減され、責任はベンダーに移ります。オンプレミスのデータについては、情報セキュリティに多層的なアプローチを取ります。特に物理的な場所である場合は、 会社や部門のデータを全て一か所に保管することは避けましょう。一部の企業は、異なるサーバーやストレージデバイス、オンサイトとオフサイトを組み合わせた方法(ハイブリッドのアプローチ)でデータの複製を分散させることで、このような問題を回避しています。また、磁気テープ、ローカルエリアネットワーク(LAN)、USBドライブなどのオプションを使ってオンサイトのデータを保護する企業もあります。

 

オンサイトのストレージを保護 

オンサイトでの保管は、不正アクセスのない安全な場所で保護する必要があります。必要に応じて、施錠、アラーム、継続的な監視を導入します。また、特に山火事やハリケーンなどの自然災害の多い地域では、ポータブルドライブやファイルの保管用として、耐火性・耐水性の容器に投資するのもよいでしょう。

 

アクセス計画を策定

自然災害、パンデミック、あるいは重大な事故によって1日以上業務が停止するリスクは、どの業界でも完全な回避は困難です。このような事態が発生した場合に、コスト的な損失につながる遅延を避けるため、オンサイトのデータへのアクセスと通常業務を継続するための行動計画を確立する必要があります。このような状況下での役割について、全従業員がトレーニングを通じて確実に理解していることが重要です。また、必要に応じて、分散業務を支援するリモート機器への投資を行います。

起こりうる全ての不測の事態を想定した計画は不可能です。しかし、想定できる範囲での事前対策を講じることで、データや利益面の損失を軽減できます。

 

多層化には協力が必要

従業員の過失とサードパーティベンダーは、企業にとって主要なサイバーセキュリティのリスクとなります。多層的な情報セキュリティとサイバーセキュリティプログラムには、継続的なコラボレーションと従業員の積極的な参加が欠かせません。データをセキュアに保つことは全社的な取り組みであり、従業員一人ひとりが重要な役割を担います。 

インシデント対応計画の 主な構成要素 迅速な脅威検知 エスカレーション手順 フォローアップ手順

次の内容を含む明確なインシデント対応計画を事前に策定し、従業員、経営陣、ITチーム間の協力を促します。

 

迅速な脅威検知

全従業員は、プログラム、デバイス、アカウント全体に対する脅威の兆候の判別方法を知る必要があります。脅威の発見が早ければ早いほど、IT部門による脅威の分析、特定、隔離、対処が速やかになります。従業員が留意すべき一般的な兆候としては、添付ファイルやリンクが含まれた不審なメール、事業所での不正アクセスの試み、ポップアップ、デバイスのパフォーマンス低下などが挙げられます。 

 

エスカレーション手順

従業員がリスクを認識したら、明確なエスカレーションパスが必要です。インシデントを直属の上司に報告すべきか、IT部門に緊急通知やヘルプデスクチケットを提出すべきか。インシデントについて、どのような情報(たとえば、スクリーンショット、日時、アカウントのログイン情報など)を含めるべきでしょうか?新入社員研修の全てにエスカレーション計画を含めます。

 

フォローアップ手順

全アカウント保有者に対して、パスワード要件を適用し、パスワードの定期的な更新を義務付けます。従業員からのフィードバックやインシデント報告を受け入れ、さらに堅牢なデータ保護計画の策定に役立てます。リスクの高いセキュリティ行動をとる従業員を注意深く管理し、必要に応じて補足的なトレーニングを導入します。

 

情報セキュリティプログラムの導入方法

データを安全に保管するための 5 つの重要なステップ

データの安全な保管を可能にする新たなサイバーセキュリティ計画の導入に役立つ5つのステップについて説明します。

 

1. 現在の状況を把握・評価する

現状を把握・評価することがまず必要です。次の各問いについて考えてみましょう。

  • あなたの部門・チームでは、現在、どのようなリソース(財務的な資料、ITの専門知識、ストレージハードウェア、クラウドアカウント、その他)を保持していますか?
  • 現行のシステムのストレージ、バックアップ、セキュリティ面の能力はどのようなものですか?
  • 最も重大なセキュリティリスクはどのようなものですか?
  • 脆弱性と債務は現在どの部分に存在していますか?その中で改善が可能なものはありますか?

これらの問いにどう回答すればよいかわからない、あるいは、回答するための情報が不足している場合は、専門家によるセキュリティ監査を依頼し、弱点の特定を検討するとよいでしょう。

 

2. 目標と目的を設定する

目標と目的 情報セキュリティプログラムの マイルストーンを設定する

自社の情報セキュリティプログラムは1か月後にどうなっているべきか、1年後、5年後はどうか?パスワードの変更、より効果的なアンチウイルスプログラムへの投資、データバックアップの追加オプションの確保など、一部のプロセスはすぐに実行できます。一方で、情報セキュリティプログラムの他の部分、例えば、ブロックした攻撃のパーセンテージ目標の達成や、大量のデータの新システムへの移行など、達成に長い時間を要する目標もあります。 

短期・長期的な情報セキュリティ目標のリストを作成し、それらを小さなタスクに分割して、個人、管理職、各部門に割り当てます。また、毎月の脅威報告件数の減少や、特定のセキュリティ認証の取得などのベンチマークを作成し、目標の達成度を測定する方法を確立します。

 

3. ニーズを特定して計画を立てる

自社の現状と将来のあるべき姿を把握したら、次は計画の策定です。チームの他のメンバーや外部の専門家と協力し、情報セキュリティプログラムを実行するために必要なものと概算コストを整理します。

  • 物理的なストレージハードウェア
  • クラウドベースのコンテンツ管理プラットフォーム
  • オフサイトの保管施設の利用
  • ITの専門家によるコンサルティングと外部トレーニング
  • スタッフのトレーニングのためのコスト
  • 新しいセキュリティソフトウェア(購入、サブスクリプション)
  • ハードウェアとアカウントのアップグレード
  • 継続的な監視と保守
  • 分散した従業員やバックアップアクセスのための諸設備

この計画に参加する人、部門、外部の専門家は、選択したセキュリティのアプローチによって異なります。一般的には、少なくとも既存のITチームのメンバー、外部の専門機関と、関連する全従業員の参加が推奨されます。

 

4. 認証規格への準拠をめざす

ISO/IEC 27001規格などの認証プログラムへの準拠を任意で検討します。これらの規格は、ほとんどの業界では必須でない一方で、情報セキュリティ計画の基準として最適な枠組みを提供するものであるため、有用です。

ISO 27001はコンプライアンス認証の唯一のタイプではありません。しかし、以下のようなトピックに関する有用なガイダンスが含まれています。

  • 監査のスコープとガイドライン
  • 攻撃のタイプ
  • 業界の定義
  • リスクの評価と改善方法
  • アクセス制御ポリシー
  • 通信とオペレーションのセキュリティ
  • サプライヤーとの関係に関するガイドライン
  • 人的リソースに関するセキュリティ
  • アセットの目録、許容される使用用途、管理方法
  • インシデント管理・対応手順

 

5. 継続的な監視・保守・更新

情報セキュリティと多層的サイバーセキュリティは 企業において常に進化すべき要素である

情報セキュリティと多層的なサイバーセキュリティプログラムは、一度導入すればあとは放置しておけばよいというものではありません。企業において絶えず進化すべき要素として捉える必要があります。セキュリティの新たな脅威への対応や、最新の予防策の導入のため、継続的な従業員トレーニングを実施します。情報セキュリティの状況と成功を包括的に監視し、必要に応じて投資や手順の調整を行います。サイバーセキュリティ計画は、テクノロジーの変化やスタッフの入れ替わりにあわせて常に最新の状態に維持することが重要です。

また、定期的な脆弱性評価を実施し、新たな脆弱性となるリスク領域を特定し、全てのセキュリティ対策の有効性を検証する必要があります。年1回の内部監査は、関係者全員が意識を共有し、包括的なセキュリティ対策を実施するための効果的な選択肢となります。

 

コンテンツクラウドと、Boxのセキュリティへの取り組みについてさらに詳しく

脅威がますます巧妙化し、綿密で効果的な情報セキュリティシステムの導入がこれまで以上に重要になっています。Boxは、お客さまのコンテンツライフサイクルを簡素化し、日々の業務効率を向上させると同時に、お客さまのデータに対して最高レベルのセキュリティとコンプライアンスを提供します。

コンテンツクラウドのセキュリティに対するBoxのアプローチの特長を以下に示します。

  • 完全な可視性と制御性:制御、権限、監査証跡機能が組み込まれており、十分な情報に基づく意思決定を可能にします。
  • 強力なユーザー認証:誰がデータにアクセスしているかを把握し、ファイルの暗号化と機械学習のテクノロジーにより不正侵入を防止します。
  • Box Shield:機械学習を活用して脅威を検知し、アカウントが攻撃や侵害の危険にさらされたときにアラートを発行します。
  • Box KeySafe:ユーザーエクスペリエンスを犠牲にすることなく、お客さまによる暗号キーの独立制御を可能にします。
  • コンプライアンスの簡素化:Boxは、ガバナンスとコンプライアンスを容易にします。また、業界標準の準拠、罰金の回避および、データレジデンシー要件、国際標準、業界固有のガイダンスなど必要に応じたプライバシープロトコルの実装を可能にします。
  • シームレスな統合:Box Trustの各コンポーネントを他のパートナーのアプリケーションやソフトウェアと統合することで、継続的なセキュリティと保護を可能にします。
  • Box Trust:Boxのセキュリティとコンプライアンスに対する取り組みと、Boxのセキュリティおよびコンプライアンス認証の一覧は、こちらのページをご覧ください。 

お客さまの情報セキュリティと生産性の目標達成にBoxがいかに貢献できるかを体験していただけます。今すぐ無料トライアルをお申し込みください!

 

  **Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、このブログ記事で提供される情報は、法的助言の提供を意図したものではありません。

 

コンテンツクラウドと セキュリティへの取り組みについて、さらに詳しく

無料トライアル
Icon Trending 20x20px
Trending topics