ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
- 企業が取り組むべき情報セキュリティー対策が多岐にわたっている。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」(2017年3月)によれば、企業などの組織への脅威としては「標的型攻撃による情報流出」が1位となった。2016年に7位だった「ランサムウェアによる被害」が2位に急浮上、以下「ウェブサービスからの個人情報の窃取」「サービス妨害攻撃によるサービスの停止」「内部不正による情報漏えいとそれに伴う業務停止」と続く。第8位には「IoT機器の脆弱性の顕在化」が入り、話題のIoTに対する情報セキュリティー対策も考慮しなければならない。多様化し続ける攻撃に、企業としてどう対策を施すべきなのだろうか。
脅威ごとに必要な対策も変わる
特定の組織に狙いを定めて、さもありそうなシナリオを作って社員をだます「標的型攻撃」、悪意を持ったプログラムでパソコンなどを使えなくさせて身代金を取ろうとする「ランサムウエア」、Webサイトのセキュリティー上の弱点を狙って個人情報を盗み取る「脆弱性攻撃」と、主要な脅威だけでもその攻撃手法は異なる。
脅威の手法が異なると、それを防御する仕組みも当然違ってくる。標的型攻撃に遭っても被害を最小化できるようにメールの添付ファイルをいったん隔離する、ランサムウエア対策にバックアップソリューションを活用する、脆弱性攻撃にはアクセスログのリアルタイム分析を導入する、などが考えられる。専任の担当者が24時間365日監視を行うSOC(セキュリティーオペレーションセンター)と呼ばれる組織を活用するといった施策もある。
自社でツールを選んで導入するのは難しい
標的型攻撃に対応するために情報セキュリティー対策を考えると、さまざまなツールが選択肢に挙がる。次にランサムウエア対策ツールを選ぼうとすると、これまた他に多くのツールがあることに気づくだろう。
多様な攻撃に対し、情報セキュリティーの専門家でもない普通の企業がこれらのツールを選び、自分で組み合わせて導入するのはハードルが高い。そこでツールの導入を支援する事業者や、情報セキュリティー対策全体をサービスとして提供する事業者が存在する。
具体的には、情報セキュリティー対策のための社内体制やツール導入のアドバイスを行うコンサルティング会社、ベンダーからツールを調達して導入を支援するシステムインテグレーター、クラウド形式も含めたパッケージ製品などで情報セキュリティー対策を提供するサービス提供事業者などがある。
対策にはネットワークの観点が欠かせない
コンサルティング会社を活用すれば、第三者視点から自社に適切なツールや運用方法を提案してくれる。しかし、コンサルティング費用を含めたコストは安いとはいえない。
大企業が情報セキュリティー対策を導入する場合に多いのが、システムの開発や運用を委託しているシステムインテグレーターを利用するケースだ。大企業では日ごろから付き合いがあるので安心感があるし、情報セキュリティー対策ツールもスムーズに導入できる。
しかし、中堅・中小企業では普段から付き合っているIT企業がないところが多く、また、どこまで手厚く対応してくれるのか分からない不安が付きまとう。そこで注目したいのが、情報セキュリティー全体を見てくれるサービス提供事業者だ。
情報セキュリティー対策のサービス提供事業者に絞ったとしても、さまざまな事業者が見つかるだろう。事業者選びの注意点を挙げるとすれば、情報セキュリティー対策にはネットワークの観点が欠かせない点だ。パッケージ製品を導入したとしても、ネットワーク周りの情報セキュリティー対策は別会社に頼まなくてはならないケースもある。
多様化する脅威に対応するには、総合的な情報セキュリティー対策が不可欠だ。ネットワークも含めた広範囲にわたる対策を確実に行える事業者をいかに選ぶかがカギとなる。情報セキュリティー対策のパートナー選びに自信のない企業は、ネットワーク周りの対策を行えるサービス提供事業者から探してみてはどうだろうか。
執筆=高橋 秀典
【MT】