企業の情報セキュリティ対策一覧!具体例や費用目安を紹介
サイバー攻撃による被害は年々深刻化しており、企業の情報セキュリティ対策は、もはや必須の時代です。しかし、「何から始めればよいかわからない」「費用がどれくらいかかるか不安」などの声も多く聞かれます。
情報セキュリティマネジメントシステムにおいては、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3要素を守ることが重要です。
本記事では、企業向けのセキュリティ対策の具体例からおすすめのソリューション、費用の目安、事例まで詳しく解説します。
「企業のセキュリティ体制について、お気軽にご相談ください」
巧妙化しているサイバー攻撃に、不安を抱えていませんか?
- オフィス状況に最適な対策を導入したい
- インシデント発生時、専門部署にサポートしてほしい
- ICT環境の整備をまとめてお任せしたい
多層防御を実現するツール・デバイスで、不測の事態を未然に予防。万が一の場合にも、NTT西日本の専門部署が迅速にサポートいたします。
- 本サービスはセキュリティに対する全ての脅威への対応を保証するものではありません。
1. 企業の情報セキュリティ対策一覧
企業の情報セキュリティ対策は、以下の情報セキュリティの3大要素を満たすことが基本となります。
- 機密性(Confidentiality):許可されたユーザーのみが情報にアクセスできる状態を保つこと
- 完全性(Integrity):情報が改ざんされることなく、正確で完全な状態を維持すること
- 可用性(Availability):必要なときにいつでも情報を利用でき、トラブル時も使用できる環境を整備すること
企業の情報資産を守るために、企業は以下のような対策を講じ、これらの要素を適切に維持することが重要です。
| 主要なセキュリティ対策項目 | 詳細 |
|---|---|
| アクセス権限の適切な管理 | アクセス権限を最小化し、管理者権限の運用体制を整える。定期的なアカウントの棚卸しやアクセスログの収集・監視を行う |
| 強固なパスワードの設定 | 推測されにくいパスワードを設定し、使い回さない |
| 多要素認証の導入 | 「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する |
| ソフトウェアの定期アップデート | 新たに発見された脆弱性を修正するセキュリティパッチをただちに適用する |
| ウイルス対策ソフト、セキュリティシステムの導入 | ファイアウォール、IDS / IPS、EDR、UTMなどで多層防御を図る |
| 定期的なデータバックアップ | 「3-2-1ルール」に則った定期的なバックアップを取得する |
| 従業員教育の徹底入 | 安易なソフトウェアインストールの禁止、フィッシングメールへの注意など、社員個人でできることを社内教育する |
2. 企業の情報セキュリティ対策の具体例
企業が実施できる情報セキュリティ対策は多岐にわたりますが、基本的な対策を体系的に整理すると効果的なセキュリティ体制の構築に役立ちます。
企業が取り組むべき主要な情報セキュリティ対策を紹介しますので、対策の検討にお役立てください。
アクセス権限の適切な管理
アクセス権限の適切な管理は、企業の情報セキュリティを強化する重要な対策の1つです。以下のポイントを押さえましょう。
| ポイント | 詳細 |
|---|---|
| アクセス権限を最小化する | 不要なアカウントを作成せず、作成したアカウントに過剰な管理者権限や更新権限を与えない |
| 管理者権限の運用体制を整える | 内部不正防止のため、ICTを利用しない対策も併用する。運用担当者の制限、利用記録の保存、クロスチェックの実施など、運用方法による対策を行う |
| 定期的なアカウントの棚卸し | 従業員の離任時にアカウントを削除し、定期的に棚卸しを行うと、権限付与の妥当性や不要なアカウントの存在を確認できる |
| アクセスログを収集し監視する | インシデント発生時に過去に遡って調査できるよう、保存期間やログファイルの運用方法を組織の方針に合わせて検討する |
内部不正や外部からの不正アクセスを防ぎたいときには、これらの対策を体系的に実施することが大切です。
強固なパスワードの設定
企業の情報セキュリティにおいて、強固なパスワードの設定は基本的かつ重要な対策です。推測されにくいパスワードを設定すると、不正アクセスを防ぐのに役立ちます。
推奨されるパスワード設定のポイントは、以下のとおりです。
- IDとパスワードを同じ文字列にしない
- 数字、アルファベット、記号など、複数の文字種を組み合わせる
- 生年月日や名前を使わない
- 連続した数字やアルファベットにしない
- 単純な単語一語だけにしない
具体的には、無関係な複数の単語をつなげる、その間に数字列を挟むなどの方法がおすすめです。例えば、「password」「123456」といった単純なパスワードは避け、「Sx3!raB28Tp1」のような複雑な組み合わせにします。
また、パスワードはサービスごとに異なるものを使用し、使い回しを避けることが重要です。パスワード管理ツールの活用により、複数の強固なパスワードを管理しやすくなります。
多要素認証の導入
独立行政法人情報処理推進機構(IPA)では、可能な場合は「知識情報」であるパスワードだけではなく、「生体情報」なども加えた多要素認証や、知識情報を用いないパスワードレス認証を利用することを推奨しています。
多要素認証とは、ログイン時やシステムアクセスの際に、複数の異なる認証要素を組み合わせてセキュリティを強化する認証方法です。以下3つの認証要素のうち、2つ以上を組み合わせます。
| 認証要素 | 内容 | 具体例 |
|---|---|---|
| 知識情報 | 記憶に頼る情報 | パスワード、PIN |
| 所持情報 | 所持しているもの | スマートフォン、ICカード |
| 生体情報 | 個人固有の特徴 | 指紋、顔認証 |
例えば、Webサイトにログインする際にパスワード認証をし、その後に所持しているスマートフォンにSMSで通知されたワンタイムパスワードを入力するなどの方法が挙げられます。
多要素認証は、1つの認証情報が漏えいした場合でも、第三者によるデバイスへのログインやシステムへのアクセスを阻止しやすくなる方法です。そのため、企業規模を問わず導入が推奨されます。
ソフトウェアの定期アップデート
企業の情報セキュリティ対策として、OSやソフトウェアの定期的なアップデートは必須の取り組みです。アップデートには、新たに発見された脆弱性を修正するセキュリティパッチが含まれており、サイバー攻撃のリスクを軽減するのに役立ちます。
セキュリティパッチを適用しない状態は、脆弱性を放置することと同じです。組織内のすべての端末で統一されたセキュリティ強度を維持するためには、情報システム部門が一括して管理することが重要です。
ウイルス対策ソフト、セキュリティシステムの導入
企業のセキュリティ対策において、ウイルス対策ソフトやセキュリティシステムの導入は基本的かつ重要な対策の1つです。
現代のサイバー攻撃は巧妙化・複雑化しており、従来の境界防御だけでは限界があるため、ゼロトラストの考え方に基づいた多層防御の構築が不可欠となっています。
ゼロトラストとは「すべてを信頼しない」という前提のもと、社内外を問わず全アクセスを検証・認証する考え方です。多層防御では、複数のセキュリティ対策を組み合わせることで、1つの防御が突破されても他の防御で攻撃を阻止できるような仕組みを構築します。
主要なセキュリティシステムには、以下があります。
これらのシステムを組み合わせると、企業は包括的なセキュリティ体制の構築をめざせます。
定期的なデータバックアップ
企業が情報セキュリティを確保するために、定期的なデータバックアップは欠かせない対策です。ランサムウェア攻撃(感染したパソコンやスマートフォンのデータを暗号化して使用不能にし、その解除と引き換えに身代金を要求するマルウェア)やシステム障害、操作ミスなどによるデータ損失リスクに備えるため、バックアップ戦略を立てておきましょう。
IPAで推奨されているのは、以下の「3-2-1ルール」です。
- 3:データのコピーを3つ保持
- 2:2種類の異なるメディアでバックアップを保管
- 1:バックアップの1つは物理的に離れた場所で保存
具体的な実施方法として、外部記憶装置にバックアップを保管し、取得するとき以外は物理的に接続を切ることが望ましいとされています。さらに、地政学的リスクや災害対策を考慮し、地理的に離れた異なる場所での保管や分散保管をするのがおすすめです。
平時からバックアップデータの復旧訓練を実施し、実際の障害発生時に迅速な復旧が可能な体制を整えておくことも重要なポイントです。
従業員教育の徹底
社内で意図せず情報モラルに反する行為をする人や、故意に不正行為をする人がいる可能性もあるため、従業員教育も企業のセキュリティ対策として重要です。
例えば、社員個人でできる対策には、以下が挙げられます。
- 適切なパスワードの設定・管理
- 許可されたデバイス以外は業務に使用禁止
- 安易なソフトウェアインストールの禁止
- フィッシングメールへの注意
- Webサイト閲覧上の注意
- 個人情報のデバイスへの保存を禁止
組織としては、これらの基本的な対策の周知の他、以下のような教育と受講者への意識付けが重要です。
| 重要ポイント | 内容 |
|---|---|
| 当事者意識 | 他人事とは考えずに受講する |
| 規則理解 | 就業規則・社内運用規則を理解する |
| 自己防衛 | 事故を起こさないことは自身を守ることにもなる |
| 緊急対応 | 緊急時の報告先・報告方法を把握する |
また、人の入れ替わり(新入社員、中途社員、派遣、出向など)やイベント(長期休暇、社会情勢など)を考慮した継続的な教育体制の構築も必要です。
3. 企業の情報セキュリティ対策でかかる費用について
企業のセキュリティ対策には、導入や運用においてさまざまな費用が発生します。近年では、補助金制度も用意されており、コスト削減のために活用するのもよいでしょう。
費用の目安や補助金制度について把握しておくと、自社の規模や業種に適した情報セキュリティ対策の検討に役立てられます。
費用の目安
企業の情報セキュリティ対策にかかる費用は、企業規模や導入するソリューションによって大きく異なります。
IPAの「2024年度中小企業における情報セキュリティ対策に関する実態調査 報告書」によると、直近過去3期の情報セキュリティ対策投資額について、最も多いものが100万円未満で20.4%(856件)であり、100万円以上を投資している企業は約9%でした。
引用:IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査 報告書p.55」
活用できる補助金制度
企業のセキュリティ対策を導入する際、「IT導入補助金」の「セキュリティ対策推進枠」を活用すると、導入費用の負担を軽減できます。
補助対象となるのは、IPAが公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているサービスのうち、ICT導入支援事業者が提供し、かつ事務局に登録されたサービスです。
2025年度における補助内容は、以下のとおりです。
| 補助金制度名 | IT導入補助金 |
|---|---|
| 対象枠 | セキュリティ対策推進枠 |
| 補助率 | 小規模事業者:2/3以内、中小企業:1/2以内 |
| 補助額 | 5万~150万円 |
参照:独立行政法人中小企業基盤整備機構「IT導入補助金2025 セキュリティ対策推進枠」
申請の際は、対象となるサービスがサービスリストに掲載されているか事前に確認することが重要です。
4. IPAが公表する企業セキュリティ対策の事例
IPAの「令和2年度中小企業サイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け隊事業)」に参加した企業のうち2社の事例を紹介します。
実際の企業におけるセキュリティ対策の導入事例から、自社での活用イメージにつなげましょう。
事例1
とある企業では、EDRの導入と標的型攻撃メール訓練、社内ルールの周知、簡易セキュリティ診断を行っています。
その結果、EDRではアラートが発生したものの、インシデントには至りませんでした。アラートの原因は、サポート切れしたソフトウェアであり、社内での削除を徹底しています。
また、標的型攻撃メールに関するクリック率は約4%と、低めの数値でした。クリックしてしまった社員は総務に対応を確認するなど、開いた後でも社内ルールに則り適切に対応できていました。
簡易セキュリティ診断でのスコアは高めであり、診断結果を踏まえ、セキュリティの対応方針などについて検討を行ったそうです。
事例2
別の企業では、EDRの導入、標的型攻撃メール訓練、Web診断を行っています。
EDRでは、以下の結果が出ました。
標的型攻撃メール訓練では開封検知が1件であり、Web診断は特に問題ありませんでした。
これらの結果から、セキュリティ対策を実施したこちらの企業は、従来のアンチウイルスソフトと比較し、EDRが高性能だと実感できたとのことです。
当初は、アラートの際の表示内容が専門的で高性能な製品は運用が困難であると感じたものの、サイバーセキュリティお助け隊サービスの提供事業者にその運用も任せられるということを知り、安心できたそうです。
5. 企業のセキュリティ対策に関してよくある質問
セキュリティ対策において、多くの企業が抱える共通の疑問に対して回答します。疑問の解消にお役立てください。
企業ができるセキュリティ対策の例は?
企業が行えるセキュリティ対策の例は、以下のとおりです。
- アクセス権限の適切な管理
- 強固なパスワードの設定
- 多要素認証の導入
- ソフトウェアの定期アップデート
- ウイルス対策ソフトとセキュリティシステムの導入
- 定期的なデータバックアップ
- 従業員教育の徹底
基本的な対策を体系的に整理すると、セキュリティ体制の構築に役立ちます。
セキュリティ対策にかかる費用は中小企業でいくらですか?
IPAの「2024年度中小企業における情報セキュリティ対策に関する実態調査 報告書」によると、直近過去3期の情報セキュリティ対策投資額で100万円未満と答えた企業が一番多く、20.4%(856件)でした。一方、100万円以上をセキュリティ対策に投資している企業は約9%です。
セキュリティ対策にかかる具体的な費用は、企業の規模、セキュリティレベル、導入する対策によって大きく変動します。
近年では、補助金制度も用意されているため、活用できる条件を確認してみるとよいでしょう。
6. まとめ
企業の基本的なセキュリティ対策として、アクセス権限の適切な管理、強固なパスワードの設定、多要素認証の導入などが挙げられます。また、ウイルス対策ソフトやセキュリティシステムの導入も重要です。
費用はかかるものの、サイバー攻撃による被害は年々深刻化しており、企業の情報セキュリティ対策は、もはや必須になっています。
補助金制度もあるため、活用しながら導入を図るとよいでしょう。
- 掲載している情報は、記事執筆時点のものです
- 各会社名、各製品名およびサービス名などは、各社の商標または登録商標です
「企業のセキュリティ体制について、お気軽にご相談ください」
巧妙化しているサイバー攻撃に、不安を抱えていませんか?
- オフィス状況に最適な対策を導入したい
- インシデント発生時、専門部署にサポートしてほしい
- ICT環境の整備をまとめてお任せしたい
多層防御を実現するツール・デバイスで、不測の事態を未然に予防。万が一の場合にも、NTT西日本の専門部署が迅速にサポートいたします。
- 本サービスはセキュリティに対する全ての脅威への対応を保証するものではありません。