サイバー攻撃を受けないようにするにはどうすればいいの?
情報セキュリティ対策は、一般的に4つの対策に区分されます。
人的対策 | 社員の教育・訓練 など |
---|---|
組織的対策 | 情報資産の分類、セキュリティポリシーの策定、情報セキュリティ事故発生時の対応マニュアルの作成 など |
物理的対策 |
不審者が入らないよう、入退室管理を徹底する など |
技術的対策 |
ウイルス対策ソフトの導入 など |
攻撃者によって、ネットワークやシステムのセキュリティが侵害されないように、複数層の防御を設置(多層防御)することが重要!
◇UTM
- 下記の各対策のすべて、または一部を1つにパッケージした機器
- インターネットの出入口に設置する
例:玄関のドアの前まで侵入されないよう、オートロック付きのマンションにする。
◇ウイルス対策(アンチウイルス)ソフト
- マルウェア(ウイルス)を防いだり、駆除する
- 既知のマルウェアのみを防ぐ
⇒未知のマルウェアを防ぐことはできない
◇ウェブフィルタリング
- マルウェア(ウイルス)に感染するような問題のあるサイトへのアクセスを止める
◇ファイヤーウォール(FW)
- 外部との情報の受け渡しを行うための出入り口(=ポート)にファイヤーウォールを設定することで制限し、外部からの侵入を防ぐ
◇IPS(Intrusion Prevention Detection)
- ファイヤーウォールでは防ぐことが出来ないDDoS攻撃等を防ぐ
- ネットワークに対する外部からの侵入のすべてを防ぐことはできない
例:怪しい人を呼び止める警備員に過ぎないので、見た目は怪しくない人(本当は窃盗団)までも止めることはできない。
◇WAF(Web Application Firewall)
- ブラウザで利用することのできるプログラム(WEBアプリケーション)の脆弱性を防ぐ機器・ソフト
- SQLインジェクション等の攻撃を防ぐ
サイバー攻撃に起因しない情報漏えいリスク
下記の事例のように、サイバー攻撃以外の要因による
情報漏えいリスクもあり、リスクは防ぎきれません!
メールの誤送信
メールの宛先を誤り、取引先企業とやりとりしていた情報が、他社に流出してしまった。
紛失・盗難
電車で移動中に置き引きにあい、顧客情報の入った鞄を紛失してしまった。
社内不正
従業員が、嫌がらせや販売を目的として顧客情報を持ち出し、情報を漏えいさせた。