こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
経済活動に必要不可欠となったICTインフラですが、比例してセキュリティ対策の重要性も高まっており、情報管理責任は企業経営における重要事項のひとつになっています。情報漏洩は企業イメージを大きく低下させ、さらに実害に至るリスクがあることは、皆さんもご存じのところです。この記事では、情報セキュリティ運用の重要性と運用内容について触れていきます。
目次
情報セキュリティ運用とは?
情報セキュリティとは何か?
簡単に言えば「企業がもつ情報を守るための運用」と考えて頂ければわかりやすいかと思います。かつてこれらの情報はすべて紙による物理的な管理でありファシリティ面で管理をしていました。しかし、昨今はICTを利用した電子データ化されているため、必然的に情報セキュリティ≒ICTセキュリティになってきていますが、情報を守ることが本来の目的に変わりはありません。
企業の機密を守る重要な業務
企業は製品の機密情報や社員の情報、さらには顧客の個人情報など多くの機密情報を持っています。企業経営に影響を及ぼすような重要情報もあり、これらの情報が漏洩すれば企業存続の危機に陥る内容も存在するため、情報セキュリティ運用は、企業経営において最も重要な運用業務のひとつです。
責任者は「役員レベル」
企業経営にかかわる運用だけに、当然情報セキュリティ運用の責任者は役員クラスとなります。かつてはCIO(最高情報責任者)がセキュリティ運用も含めた情報管理の責任者でしたが、最近では、CIOとは別にCISO(最高情報セキュリティ責任者)を選任する企業も増えてきています。理由として、かつてよりセキュリティ管理業務は重要、かつ運用すべき項目が増加していることや責任者としての役割が増加していることにあります。
- 企業は定期的な内部監査(J-SOX)が義務付けられている。
内部監査(J-SOX)には、ITやセキュリティに関する運用項目も含まれており日々正しく運用することが義務付けられます。CISOは、これらが正しく運用されるよう管理監督する義務があります。J-SOXに従わない場合、責任者に対し罰則が適応されるだけでなく、市場にこの情報が広がるため企業としての信用を失います。情報セキュリティ運用が出来ていない=信用できない会社となるわけです。
実際に情報漏洩などのセキュリティ事故が発生すれば、その企業だけでなく関係する取引先も影響を受ける可能性があります。そのため「リスクのある会社とは取引したくない」そう思われても仕方がありません。実際に情報漏洩事故により信用を失った結果、倒産した企業もあります。その位セキュリティ事故が企業に及ぼす影響は大きいのです。この内容からもCISOの責任がどのぐらい重いのか?イメージいただけるかと思います。
最近はセキュリティのプロも含めた体制作りをする企業も
情報セキュリティ運用は企業にとって非常に重要な業務と言えます。最近では、この業務内容も高度化、かつ高い技術レベルを必要とする内容になってきています。そのため、外部のITセキュリティ専門会社との連携やより高度な管理ができる体制を構築する企業も増えてきました。CSIRT(Comuputer Security Incident Response Team)やSOC(Security Operation Center)などが有名です。セキュリティ監視やインシデント発生時の分析、処置などのオペレーションを外部会社に委託することで高度化するサイバー犯罪から社内情報を守れるわけです。
情報セキュリティ運用の種類
情報セキュリティ運用の内容はどのようなものなのでしょうか?大きく4つの運用項目があります。この中には、セキュリティインシデントの監視や発生時の処置だけでなく、発生しないようにするための日々の対策も含まれます。
登録運用
社内では、情報に対するアクセス権などが割り当てられています。わかりやすいところで言えば、PCにログインする為のIDやサーバにアクセスするためのID、パスワードなどです。これらの的確に登録する運用が登録運用です。これ以外にFirewallやサーバのアクセス制御設定などがあります。
この運用は申請通り登録するだけでなく、定期的な棚卸しをして常に正しい状態を維持することも含まれます。すでに退職した従業員のIDなどが残っていればそれを悪用し不正アクセスされる可能性もあります。常に正しい状態を維持することは、セキュリティインシデントを防止することにつなげられる大事な運用項目です。
セキュリティ監視
Firewallやサーバのアクセスログを監視し、セキュリティインシデントが発生していないかを監視します。こうすることでインシデント発生を早期に発見、被害を最小限に抑えられるのです。最近ではこのオペレーションを外部に委託する企業が増えています。ITセキュリティ会社がSOCサービスなどを展開していますが、まさにこのセキュリティ監視を外部委託するためのサービスです。
インシデント対応
万が一セキュリティインシデントが発生した場合におけるオペレーションを行う運用です。この業務は多岐にわたっており、原因調査と通信遮断などの一次処置、関係省庁への報告、恒久対策と再発防止検討など多くの対応が必要となります。重要なのはこれら対応をいかに円滑に実施できるか?という点です。短時間で対応できればできるほど被害を最小限に抑えられるからです。多くの企業では、セキュリティインシデント発生時のオペレーションマニュアル準備や、定期的な運用訓練を行っています。
オペレーション運用
オペレーション運用とは、セキュリティインシデントが発生しないように日々改善・対策する運用のことです。具体的にはデータ管理ルールの策定、改定や各種マニュアル類の整備、さらには従業員に対するセキュリティ教育などです。例えば、出張でPCを持ち歩く際は手から離さないようにするといったルール作りや、社員への徹底などもこの運用に含まれます。さらにはPCをシンクライアント化するといった対策検討もこの運用の中で検討されるべき項目となります。オペレーション運用は社内従業員全員のセキュリティに対する意識を高め、ルールを浸透させることでインシデント発生のリスクを低減する重要な運用となります。
さいごに
高度化するセキュリティインシデントに対応する運用体制づくりを!
セキュリティ運用は今や企業運営の要ともいえる重要な運用項目の1つです。それゆえにIT担当者レベルでなく、企業全体でしっかり体制をつくることが重要です。この記事を参考に今一度セキュリティ運用の再チェックや見直しを検討されてみてはいかがでしょうか?
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
