サイバー攻撃を受けないようにするにはどうすればいいの?

情報セキュリティ対策は、一般的に4つの対策に区分されます。

人的対策 社員の教育・訓練 など
組織的対策 情報資産の分類、セキュリティポリシーの策定、情報セキュリティ事故発生時の対応マニュアルの作成 など
ネットを通じない、
物理的対策
不審者が入らないよう、入退室管理を徹底する など
ネットを通じた、
技術的対策
ウィルス対策ソフトの導入 など

攻撃者によって、ネットワークやシステムのセキュリティが侵害されないように、複数層の防御を設置(多重防御)することが重要!

◇ウィルス対策(アンチウィルス)ソフト
  • マルウェアを防いだり、駆除する
  • 既知のマルウェアのみを防ぐ

⇒未知のマルウェアを防ぐことはできない

◇ウェブフィルタリング
  • マルウェアを設置していたり、マルウェアに感染するような、問題のあるサイトへのアクセスを止める
◇ファイヤーウォール(FW)
  • 外部との情報の受け渡しを行うための出入り口(=ポート)をファイヤーウォールを設定することで制限し、外部からの侵入を防ぐ
◇IPS(Intrusion Prevention Detection)
  • ファイヤーウォールでは防ぐことが出来ない、DDos攻撃等を防ぐ
  • ネットワークに対する外部からの侵入のすべてを防ぐことはできない
    例:怪しい人を呼び止める警備員に過ぎないので、見た目は怪しくない人(本当は窃盗団)までも止めることはできない。
◇WAF(Web Application Firewall)
  • ブラウザで利用することのできるプログラム(WEBアプリケーション)の脆弱性を防ぐ機器・ソフト
  • SQLインジェクション等の攻撃を防ぐ

サイバー攻撃に起因しない、情報漏えいリスク

下記の事例のように、サイバー攻撃以外の要因による
情報漏えいリスクもあり、リスクは防ぎきれません!

メールの誤送信

メールの宛先を誤り、取引先企業とやりとりしていた情報が、他社に流出してしまった。

紛失・盗難

電車で移動中に置き引きにあい、顧客情報の入った鞄を紛失してしまった。

社内不正

従業員が、嫌がらせや販売を目的として顧客情報を持ち出し、情報を漏えいさせた。