企業におけるITセキュリティ対策はどこまで行うべきなのか？

こんにちは、DeepApex株式会社（ディープエイペックス）代表取締役の市川 駿です。

企業においてどこまでITのセキュリティ対策をすれば良いのか悩んでいる情報システム担当者の方が多いと思います。特に今までに自社への外部からの攻撃がなく、重要データの漏洩やランサムウェア被害の経験がない企業だと、そもそもなんでこんなにお金をかけてITセキュリティの対策をしないといけないのか？と経営陣から言われることも多いと思います。

コストを無視するのであれば、どこまででもITセキュリティ対策をするべきです。ただ、企業ではコストを無視したやり方は不可能であるため、最終的には、コストと外部からの脅威をどこまで許容するかということになります。一方で、コストを無視してITセキュリティ対策を行ったからと言って、外部からの攻撃を絶対にされないという保証もありません。

今回は、企業規模や機密情報や個人情報をどれだけ社内に保持しているかの場合分けをして、それぞれごとに最低限やっておくべきITセキュリティ対策について書いていきます。

小企業で機密情報があまりないという場合

この場合に最低限行っておくべきITセキュリティ対策は、アカウントと端末の管理とマルウェア対策ソフト（EPP）の導入です。具体的には、アカウントは、企業が発行するものを利用して、情報システム担当者が管理者として、それらのアカウントの発行・管理・削除を適切に行う必要があります。また、端末（PCやスマートフォン）を会社から貸与して、統一的なセキュリティ設定を行って社内で利用するようにすることが重要です。また、マルウェア対策ソフトの導入を行うことを推奨します。最近では、WindowsやMacでも標準のマルウェア対策ソフトがインストールされているので、最低限それが稼働していることが重要です。また、常に端末のOSは最新にアップデートすることも重要です。これらをしっかりと行うことでほとんどの外部からの攻撃はブロックすることができます。

中堅企業で機密情報が多くある場合

中堅企業で機密情報（個人情報を含む）が多くある場合には、アカウントと端末の管理とマルウェア対策ソフト（EPP）の導入はもちろんのこと、ネットワーク上でのセキュリティ対策（VPN、CASB、セキュアWebゲートウェイ（SWG））も必須になります。また、ログ監視なども行っておくとなにかあった時にすぐに気付けたり、事後調査がやりやすくなります。

どのようなITセキュリティ対策ソリューションを導入するかは、企業のシステムやネットワーク構成などによって変わってくるため、1つの正解というのはありません。様々なソリューションを組み合わせてITセキュリティ対策を行うのが現代流のやり方になります。社内にサーバがあるかないかによっても大きく対策の手段や実装難易度が変わってきます。

大企業で情報漏洩などが起こると社会的な影響が大きい場合

大企業で情報漏洩が起こると、社内外への影響が甚大である場合には、相応のコストをかけて対策する必要があります。上記で記載した対策はもちろんのこと、日々のセキュリティ運用が必要になってきます。セキュリティ運用とは、様々なシステムからのログを監視したり、アラートに対応したり、情報セキュリティ教育を定期的に社内で行ったりです。昨今、SaaSを使って業務を行っている方が多いと思います。SaaSのセキュリティ対策にはゼロトラストの概念の実装が必須になってきます。ITセキュリティ対策はここまでやったら完了というものではなく、継続的に対策し続け、監視をし続ける必要があります。これらのことを常に行っておくことで攻撃者が、社内に侵入することを防ぐことに繋がります。また、もし攻撃者に侵入されたとしてもすぐに気づいて対処できるようになります。

まとめ

ITセキュリティの対策には終わりはなく、どこまでもやり続ける必要があるものです。一方で、そうなるとコストも常にかかってくるため、事業規模や事業の機密性など様々な要因を考慮して、自社に最適な形でITセキュリティの対策をする必要があります。上記に示したものはあくまでも例であり、自社がどれぐらいの対策をする必要があるのかの指標にしていただければ幸いです。

もしIT施策の検討や実行にお困りの場合は是非、当社の提供している『情シスフォース』にお問い合わせください。『情シスフォース』では、エンジニア経験豊富な人材がチームを組み、IT施策の検討から実行、運用に至るまでをサポートしています。

情シスのアウトソーシング・代行・コンサルティングなら情シスフォース