セキュリティ対策の進め方とポイント
今回は、セキュリティ対策の進め方とそのポイントを紹介します。まずは、セキュリティ対策の方針を決め、体制を整えるとともに、必要なサービスや装置を配備し、PDCAを回していくことが必要となります。IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン※」を参考に、中小企業のセキュリティ対策の進め方を解説します。
※出典:中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構より
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
目次
情報セキュリティに関する組織全体の対応方針を定める
まずは、セキュリティの現状がどのような状況かを、セキュリティ状況のチェックシートなどで把握することをおすすめします。これを確認し、計画を立案していくのですが、その前に必要なのが、会社としての意思表示です。漠然と進めてしまうと社員はその意義を理解できず、モチベーションも上がりません。
どの情報をどのように守るかなど、自社の情報セキュリティ対策の基本方針を定め、それを周知することが必要となります。なんらかの形で社員には負担がかかることになりますから、事前に方向性を示すことがPDCAを回しやすくするポイントとなります。
情報セキュリティ対策のための予算や活用するサービスなどを決定する
次に、プランの段階に入ります。チェックシートなどで必要な対策を整理して、優先順位を付けて、計画していきます。ここで求められるのが情報セキュリティ対策を実施するために必要となる予算です。
複数のセキュリティ対策をすべて行っていくのが困難であれば、順に無理のない範囲での予算計画が必要となります。
限られた予算の場合、UTM機能をクラウドで利用することで、初期費用を抑えるといった方法もあります。クラウドサービスにすることで、導入の際の大きな支出がなく、ある程度平準化された予算でセキュリティ対策を継続できます。
また、この段階で信頼できる外部のサービス提供事業者を確保していくこともおすすめします。インシデントが発生した場合、被害拡大の防止策も含めて、セキュリティ技術・ノウハウを有した事業者が必要になるからです。プランの段階で、サービスの購入も含め、頼りになる相談相手を見つけておきましょう。
必要なセキュリティ対策を実行する
続いて、プランから実行の段階に入ります。構築した体制によって、導入したサービスの運用を実施します。また、エラーやインシデントが発生した場合は、その対処を行います。
本業に集中したい企業では、この運用に人手を回せないかもしれません。ここでも、外部のサービス提供事業者へのアウトソーシングが考えられます。NTTスマートコネクトでは、セキュリティ運用のアウトソーシングサービスも提供しており、UTMで取得するログを監視し、セキュリティの維持を支援できます。セキュリティ攻撃を受けた痕跡を発見して、対処することもできますし、セキュリティ強化の提案も可能です。
並行して、必要に応じて社員教育を進めていきます。また、意図的に怪しいメールを社員に送信し、その対応を確認して、社員のセキュリティ意識を高めていきます。
分析・評価・改善しセキュリティレベルを強化する
インシデントや予兆をつかんだ段階で、セキュリティレベルの強化を検討します。四半期に一度、または半期に一度等、定期的に検討します。セキュリティ運用をアウトソーシングしている場合は、月々のレポートを確認し会議等によって分析・評価をしていきます。
さらに、IPAの「中小企業の情報セキュリティ対策ガイドライン」では、情報セキュリティに関する最新動向を収集するよう推奨しています。セキュリティ脅威は急速に進化していくため、定期的な情報収集をしなければなりません。
しかし、これは多くの企業にとって定期的にすべての情報を収集するのは困難で、IPAも「情報セキュリティに関する最新動向を発信している公的機関などを把握しておき、常時参照」するよう促しています。NTTスマートコネクトではNTTグループ各社と連携して最新の脅威情報に対応したサービス提供をしていますので、安心して任せることができます。
ポイントまとめ
クラウド型UTMとセキュリティ運用アウトソーシングも利用しましょう
まずは、自社のセキュリティの状況を把握し、セキュリティ対策に向けて組織としての対応方針を定め、具体的なPDCAを回していきます。ここで、運用、インシデント対処、分析・評価・改善に向けて、クラウド型UTMやセキュリティのアウトソーシングなどを活用することもおすすめです。