Lesson7で解説しましたが、
社内のセキュリティ対策で重要なのが、
まずは経営トップが主体となり、
トップダウンでルールを定着させていくことです。
その時に現場と対立しないように、
安全対策と取り組める範囲のバランスをとって
実施していくことが大切でしたね。
ソフトウェアの脆弱性の発見は身近なことです。
脅威が見つかった時や攻撃された時、
会社を守るためには日頃からの備えとセキュリティに関する知識、
そしていち早い情報収集が何よりも重要なのです。
Lesson8では、社内でのセキュリティ対策について、
具体的にどのようなことをすれば良いのかを学習しましょう。
まずは基本的な対策を
ITセキュリティ対策というと、
専門的で難しそうに感じるかもしれません。
しかし、会社でもプライベートでも、
最初に取り組むべきことはもっとも基本的なことで、簡単なことです。
NISC(内閣サイバーセキュリティセンター)と、
IPA(独立行政法人情報処理推進機構)が提唱している、
「サイバーセキュリティ対策9か条」を見てください。
サイバーセキュリティ対策9か条
- OSやソフトウェアは常に最新の状態にしておこう
- パスワードは長く複雑にして、他と使い回さないようにしよう
- 多要素認証を利用しよう
- 偽メールや偽サイトに騙されないように用心しよう
- メールの添付ファイルや本文中のリンクに注意しよう
- スマホやPCの画面ロックを利用しよう
- 大切な情報は失う前にバックアップ(複製)しよう
- 外出先では紛失・盗難・覗き見に注意しよう
- 困った時はひとりで悩まず、まず相談しよう
ITリテラシーが低い人の場合、
このような基本的な対策もできていない可能性があります。
この9か条はプライベートでも重要なことですが、
会社の業務でも基本的な対策になります。
セキュリティ診断をしてみよう
IPAのホームページには、中小企業向けに、
会社のセキュリティ診断を簡単にできるチェックシートが掲載されています。
- 基本対策
- 従業員としての対策
- 組織としての対策
の3Partに分かれており、
診断結果をもとに何をすれば良いかが分かります。
ぜひ診断してみてください。
サイバーレジリエンス
サイバーレジリエンスとは、
サイバー攻撃を受けた時の耐久力・回復力のことです。
セキュリティ対策は基本的に、
攻撃を受けないように予防に重点を置きます。
しかし、サイバーレジリエンスの考え方は、
攻撃を受けることを前提に、
攻撃を受けてから復旧するまでの計画を立てておきます。
被害を最小限に抑えるためにも
業務を止めない方法をあらかじめ考えるのです。
さらに計画したことを実行できる
社内のセキュリティ対策メンバーの育成も行う必要があります。
攻撃された時の経営判断は経営層が行うため、
サイバーレジリエンスはIT部門だけではなく、
経営層の関与も必須になるでしょう。
手始めにできるサイバーレジリエンスの具体例としては、
社員のパソコンの種類やOSの種類、アップデート状況、
そして使用しているアプリやクラウドサービスなどを把握しておくことです。
そうすることで、ヒューマンエラーや攻撃でインシデントが発生した時に、
どこが原因かを突き止めやすくなります。
EASM(External Attack Surface Management)の活用
EASMとは、企業が外部に公開している資産を把握して、
攻撃を受ける可能性のある(脆弱性)を分析し、
修復するソリューションで、
サイバー攻撃を未然に防ぐことを目的としています。
一般的に、セキュリティ対策は内部のネットワークを守るのに対し、
EASMは外部から見た点に重きを置きます。
第三者が外部からチェックしてスコア化してくれるので、
自社のセキュリティ状況を客観的に判断することができます。
セキュリティ対策できていること、
足りていないことを明確にするために、
活用を検討してみると良いでしょう
次のレッスンでは、より具体的な対策の進め方について解説していきます。
