企業をはじめとした組織には、重要な機密情報や顧客の情報を守る責任がありますが、中小企業の中には情報管理担当が不在、ということも珍しくありません。情報が資産となる今、自社ホームページの情報セキュリティ対策は必須といえるでしょう。
情報セキュリティ対策とは、ウイルス感染やシステムの不正アクセス、個人情報等の漏えい、災害などによる機器の障害を防ぐことです。
多様なリスクから企業の機密情報や顧客のデータをしっかりと守るためにも、実際にどんな対策があるのか、事例を踏まえて詳しくご説明します。
【ホームページのトラブル】4つのトラブル原因とセキュリティ対策
1.ウィルス感染対策には、対策ソフトと更新が鍵
企業サイトがウィルス感染する原因には、お問い合わせフォームに、顧客や営業を装ってメールを送り、偽装したホームページへ誘導する手口や、添付データを送りつけるケースもあるようです。
閲覧してしまうと、ホームページのシステムがウィルス感染して起動しなくなる恐れがあります。
対策としては、ファイアウォール*を始めとした始めとしたウィルス対策ソフトを全社員のパソコンに導入し、ウィルス検知用のデータを最新に保つことです。
導入することで、危険性のあるサイトにアクセスできなくなったり、検知した場合に通知されることで対策をします。
ただし、ウィルス対策ソフトは、これまで検知されたデータをもとに監視を行うため、新しいウィルスなどが発生した場合に対応がきかないことも考えられます。
そのためにも、次章で解説する対策と併せて行うことが重要です。
*ファイアウォールとは?
ホームページなど、複数の通信が行われる場において、通信を行うか拒否をするかを検知するシステム
2.不正侵入には、システムとパスワード管理の見直しを
不正侵入とは、利用する権限を与えられていないネットワークやコンピュータに侵入して、不正にネットワークやコンピュータを操作する行為のことを指します。引用元:国民のための情報セキュリティサイト)
過去には利用する権限を与えられていないコンピュータに侵入をして情報操作を行い、機密情報や顧客情報を抜き取られた事例もあります。
対策としては、ファイアウォールの二重化のほか、侵入検知システム(IDS)*1や侵入防止システム(IPS)*2の導入も有効です。
また、不正侵入の対策に欠かせないのがパスワードの設定です。
推測されにくい英数字を使うこと、サービスごとにパスワードを変える(使いまわさない)ことも念頭におきましょう。
一時期はパスワードの定期的な変更が推奨されていましたが、現在は内閣サイバーセキュリティセンター(NISC)でも、パスワードを定期的に変更する必要はないといわれています。(引用元 :インターネットの安全・安心ハンドブック)
再設定の通知が送られてきた場合、まずそれが本当にサービス側から送られてきたのかを提供元のウェブサイトで事実確認をすることをおすすめします。
サービス側を装ったパスワードリセットの通知は、フィッシング詐欺*3などの攻撃である可能性も高いからです。
*1 侵入検知システムとは?
外部から送信されるパケットをチェックして、不正アクセスと判断される通信が発見された場合に、管理者へ連絡する機能を持つシステム。
*2 侵入防止システムとは?
侵入検知システム機能に加えて、不正な通信を自動的に遮断する機能。
*3 フィッシング詐欺とは?
送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のこと
不正侵入・不正アクセスは、法律でも禁止されています。都度参照しましょう。
(参照:不正アクセス行為に関する法律)
3.人為的ミスによる情報漏洩には、ルール化を徹底する
情報漏えいは、不正侵入だけが原因ではありません。
- bccでメール送信するべきところを、一斉送信で送ってしまった
- 貸与されていたパソコンや携帯電話を紛失した
- パスワード入力しているところをショルダーハッキング*された
こういった人為的ミスから情報漏えいもまた、起こり得るのです。
対策としては、自社ページの編集権限や、情報の取り扱いの範囲を適切に設定すること、アクセスを定期的に記録することなどが考えられます。
そのほか、貸与物の扱いや使用環境、廃棄データに関しても取り決めを作り、組織内で共有しましょう。
近年は内部の不正、元社員による不正が発覚する事件も多発しています。
これらが発覚した場合の規約も文書化しておきましょう。
*ショルダーハッキングとは?
パスワード入力をしている所を後ろから近づいて覗き見る方法。
4. 自然災害による機器障害には、バックアップの取得と無停電電源装置を検討
停電や地震などの自然災害は頻度こそ高くないものの、備えをしておくべきです。
これらの電源トラブルに有効な装置として無停電電源装置があります。
内部の蓄電池(バッテリ)に蓄えられた電気により、コンピュータへ安定した電気を供給できるのです。無停電電源装置も検討の余地はありますが、まずは日頃の対策が重要です。
対策としては、定期的なバックアップを取得して適切な場所に管理することです。
よく利用するドキュメント*、電子メール、ホームページのURLのほかにも設定に関する情報などが対象になります。
*ドキュメントとは?
Word、Excel、メモ帳などのファイルを格納するフォルダのこと。
この記事のまとめ
4つの視点から、情報セキュリティの対策についてお伝えしました。
1.ウィルス感染にはファイアーウォールなどのセキュリティソフトが必須。
ソフトが起動中であっても、不審な通知や添付ファイルは開かない。最新のバージョンで機器を使用する。
2. 不正侵入による情報操作、漏えい対策には、侵入検知システム(IDS)や侵入防止システム(IPS)の導入が有効。パスワードはサービスごとに設定し、他人の目にふれない場所で管理する。
3.人為的なミスや不正による情報漏えいが発生した場合の対策も、規約に盛りこむ。
4.自然災害による機器障害には、無停電電源装置が有効。日頃から文書ファイルのバックアップをとることで、情報の喪失を防ぐ
このように、情報セキュリティといっても様々な対策があります。
自社ホームページのセキュリティをどの程度見直す必要があるのか?
これらは素人判断がしにくい所です。大切な情報資産を守るためにも、早めの対策をおすすめします。
