「セキュリティ対策」や「サイバー攻撃対策」は情シスの仕事？何を守るの？

情シスにとって重要な業務の1つであるセキュリティ対策。実は、セキュリティ対策は重要な経営課題でもあります。ここでは、情シスがすべきセキュリティ対策と、企業にとってどのような対策が求められているのかを学ぶヒントとなる情報を集めました。なお、このnoteは主に中堅・中小規模の新任情シスや兼任情シス向けの内容です。

1. セキュリティ対策の基本的な考え方を知る

セキュリティ対策（情報セキュリティ対策、サイバーセキュリティ対策）というと、PCにウイルス対策ソフトを入れる、ファイアウォールを設定する…というような取り組みが有名です。しかし、情シスがセキュリティ対策を考える上で必要なのは、いかに企業が持つ重要な情報を守るかという観点です。

そのためには、「守るもの」を知り、それを脅かす「脅威」を正しく知ること、守るべきものをどう守るか？を知ることが求められます。その内容を整理すると、次の4つのようになります。

①守るべきものを知る
リスクを評価し守るべきものに優先順位をつけること。このとき、経営陣を巻き込んで取り組みを進めることが重要です。

②脅威とその対策を知る
自社への脅威を知ること。その脅威の影響を知り、対策を知ること。すべての脅威に備えることはできませんので、守るべきものの優先順位と合わせて考えることになります。

③具体的な対策手法を知る
入口・出口・内部対策など、自社のセキュリティ上の弱点（脆弱性）を知り、どう効果的にカバーするか、限られた予算の中でセキュリティ対策製品を考えなければならないという難しさがあります。

④「組織の文化とルールの変え方」「ユーザーの可用性を妨げない」ことを意識する
セキュリティ対策を強化した結果、ユーザーの利便性が低下し生産性が低下した…ということがないような対策を考えます。

――このようなセキュリティ対策の「キホンのキ」を前後編でまとめたのが下記のコラムです。セキュリティ対策に向けた基本的な考え方をまずは学んではいかがでしょうか。

情シス担当キホンのキ。セキュリティ対策で知っておくべき4つのポイント【前編】

情シス担当キホンのキ。セキュリティ対策で知っておくべき4つのポイント【後編】

また、中小企業の経営、情シスがともに自社のセキュリティ体制を考えるためにも、IPA（独立行政法人情報処理推進機構）の「中小企業の情報セキュリティ対策ガイドライン」が参考になります。

中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構

ほかにも、公的な機関が提供するセキュリティ情報については、下記コラムの「サイバーセキュリティ対策、最新のサイバー上の脅威について知り、対策を考えるための情報」を参考することができます。

情シス向け情報分類学（1）公共性の高い情報、中立的・客観的な情報

2. 新しい時代のセキュリティ対策

2-1 「ゼロトラスト」とは？

昨今、新しいセキュリティの考え方として、「ゼロトラスト」という語が注目されています。IPAの「情報セキュリティ10大脅威」では毎年、新たな脅威が注目されていますが、標的型サイバー攻撃、ビジネスメール詐欺、なりすまし…これらのサイバー攻撃は、ファイアウォールなど従来のセキュリティ対策では防ぐことが難しい攻撃です。政府CIOポータル資料では、ゼロトラストを次のように述べています。

“ゼロトラストとは利便性を保ちながら、クラウド活用や働き方の多様化に対応するため、ネットワーク接続を前提に利用者やデバイスを正確に特定、常に監視・確認する次世代のネットワークセキュリティの考え方です
『政府情報システムにおけるゼロトラスト適用に向けた考え方』より

これまでのセキュリティ対策の限界とゼロトラストの概略についてわかりやすくまとめられていて、経営層や上司とこれからのセキュリティ対策について話し合う時の資料としても活用できるのが下記のコラムです。

社長に「ゼロトラスト」について聞かれたら？…ニューノーマル時代のセキュリティ対策の考え方

また、新しい働き方に応じたセキュリティ対策であるゼロトラストについて、まずは初歩的なところから知っておきたいなら、この資料がおすすめです。

【情シスと経営層が読む】難しくないゼロトラスト読本 〜中堅・中小規模の企業向け〜 ｜ 情シスレスキュー隊

2-2 テレワーク環境での課題、“テレワーク帰りのPC”のリスクとは

テレワークの普及とともに、いくつかのセキュリティインシデント（サイバー攻撃、ウイルス感染、情報漏えいなどの事象）が発生しています。その1つが、在宅勤務に使っていた PCがマルウェアに感染し、再び社内ネットワークに接続した際に社内に被害が広まってっしまうというケース。このような危険を防ぐためにも読んでおきたいコラムがあります。

“テレワーク帰りのPC”にリスクあり！社内に接続する前にセキュリティをチェックしよう

さらにテレワーク環境でのセキュリティ対策について、詳しく知りたいならこの資料がおすすめです。

テレワーク端末のセキュリティ対策ガイドブック ｜ 情シスレスキュー隊

おわりに

このnoteでは、情シスとセキュリティ対策に関する基本的な情報を中心ご紹介しました。

セキュリティ対策は、一度策定して終わりというものではありません。サイバー攻撃の脅威は年々高度化、巧妙化し続けていますので、よりセキュリティ対策を強固にするためにも、絶えず新たな情報を収集し改善する必要があります。

情シスレスキュー隊でも、今後、情シスが考えるべきセキュリティ対策に関する情報を、引き続き提供していきますので、ぜひご覧いただき、情シス業務にお役立てください。

情報システム部の悩みや課題を解決する、情シスサポートメディア | 情シスレスキュー隊