「脆弱性があるとどんなことが起こるの？」

「インストールするにあたり制限すべきポイントって何？」

このような疑問をお持ちの方はいらっしゃいませんか？

実は、ソフトウェアの導入を管理するためのルールを明確にすることが求められており、インストール制限におけるポイントをいくつか押さえることで、リスクを低減することができます。
ソフトウェア導入に関する明確なルールを設け、インストールを制限することは、組織全体の安全性と効率性を高める上で非常に重要になっていきます。

ここでは、ソフトウェア管理とインストール制限についてポイントを押さえながら紹介していきます。

本コラムを読み終えることで、ISMS(ISO27001)におけるソフトウェア管理とインストール制限に関するリスクを低減することができるようになることでしょう。

1.ISMSにおける「ソフトウェア管理」とは

ソフトウェア管理には、ライセンスのコンプライアンス遵守、セキュリティリスクの低減、コスト最適化が不可欠です。未更新のまま放置すると下記のような多くのデメリットが存在します。

（1）システムが不安定になり不具合が増える

システムの更新はただ新しい情報が追加されるだけではありません。
システムの更新には、システムの安定性を高めるためのバグ修正や不具合の解消も含まれています。
そのため、更新を放置してしまうことでPCの動作が遅くなったり、アプリケーションに予期せぬエラーを発生させてしまうことがあります。

（2）セキュリティリスクが増える

ソフトウェアの更新プログラムには、定期的に発見されるセキュリティ上の脆弱性を修正するパッチが含まれています。更新をしないことで脆弱性が放置されてしまい、外部からの不正な攻撃がされてしまう可能性が増大します。

その結果、ウイルスやマルウェアへの感染、個人情報や機密データの漏洩、不正侵入によるシステム乗っ取りなどの被害を受ける危険性が格段に高まります。

（3）新機能が利用できない

上記の(1)でも説明したように、更新の目的は新しい情報が追加されるだけではなく、システムの安定性を高めるためのバグ修正や不具合の解消も含まれています。

また、古いバージョンのまま放置すると、最新のアプリがインストールできなかったり、既存のサービスにログインできなかったりすることでしょう。これらのことから、デバイスやデータを安全かつ快適に使い続けるためには、ソフトウェアの更新は非常に重要になっていきます。

2.ISMSにおける「インストール制限」とは

ISMSにおける「インストール制限」とは、情報セキュリティリスクを低減するため、組織内の情報資産を守る目的で、許可されていないソフトウェアのインストールを禁止または管理するセキュリティ対策のことです。

導入前の許可制を設け、許可されたもののみインストール可能にし、セキュリティアップデートを徹底することで下記の情報資産を守ることができます。

• 機密性
• 完全性
• 可用性

これらの情報資産を守ることで、どのようなメリットがあるのかを説明していきます。

（1）機密性

・情報漏洩・不正アクセス対策

許可されていない方が機密情報に不正アクセスしてしまうことを防ぎ、情報が漏洩してしまうリスクを軽減します。

・法的責任・損害賠償の回避

個人情報保護法違反による罰則や損害賠償請求のリスクを減らします。

（2）完全性

・意思決定の質の向上

正確なデータに基づいた意思決定が可能になり、ビジネスの精度を高めます。

・アクセス制限の適用

アクセス制限をかければ、不特定多数のアクセスによる改ざんやデータの破損を防ぎ、完全性を維持できます。

（3）可用性

・システムの冗長化や定期保守により、安定稼働を維持する

サーバーやネットワーク機器が故障しても業務が停止しないよう、予備のシステムを準備したり、定期的なメンテナンスを行ったりして、必要な時にいつでもシステムを利用できる状態を保ちます。

・データのバックアップを取得し、迅速な復旧体制を整える

災害やシステム障害、またはランサムウェアなどのサイバー攻撃によってデータが使えなくなる事態に備え、定期的にバックアップを取得し、万が一の際にも迅速にデータを復元して業務を再開できるようにします。

これらの情報資産をいつでも使える状態に守ることは、単なる防御策ではなく、事業継続性を担保し、企業の成長を支え、持続的な競争力を高めることができることでしょう。

3.インストール制限のポイント

ここではソフトウェアを導入する上で、インストールの制限をすべきポイントをご紹介します。

（1）無許可のソフトウェアのインストールを禁止する

ソフトウェアのセキュリティについて理解するためには、脆弱性とは何かを認識しておく必要があります。
脆弱性を理解せず、そのまま放置してしまうことでサイバー攻撃を受けてしまう原因にもなります。

そのため、許可されていないソフトウェアのインストールを全面的に禁止する必要があります。ソフトウェアを導入する際は、上司やシステム管理者等の許可を取りましょう。

（2）インストール元とアプリの制限

アプリをインストールする際は、公式や信頼できる供給元からインストールをするように心がけましょう。
安全性が確認された供給元からインストールせず、フリーソフトや提供元不明のアプリをインストールすることでサイバー攻撃や不正プログラムによる影響を受ける可能性があります。

そのため、アプリのインストールの際には、インストール元が本当に安全なのかを確認してから行うようにしましょう。

（3）セキュリティ対策の徹底

下記のようなセキュリティ対策をする必要があります。

①ウイルス対策

アプリをインストールする前には必ずウイルスチェックをするようにしましょう。
インストール後もウイルス対策ソフトウェアを常に最新の状態に保ち、定期的にウイルス検査を実施します。
インストールする前のウイルスチェックの方法として、最も基本的な方法は下記の方法になります。

・信頼できる公式ストアを利用する
Google Play ストアや Apple の App Store など、信頼できる公式マーケットプレイスからのみアプリをダウンロードしてください。これらのストアでは、アプリの公開前に一定のセキュリティチェックが行われています。

・提供元を確認する
アプリの詳細画面で、提供元が信頼できる企業や開発者であることを確認します。知名度の高いアプリであれば、公式サイトとアプリストアの開発者名が一致しているか確認しましょう。

・レビューと評価を確認する
他のユーザーのレビューを読み、不審な点がないか、マルウェアに関する報告がないかを確認します。
これらの方法からインストールする前にウイルスチェックを行うようにしましょう。

4.まとめ

いかがでしたか？

今回はISMS(ISO27001)におけるソフトウェア管理とインストール制限についてご紹介しました。

ソフトウェア管理とは、OSやアプリケーションを安全に保ち、ライセンスを遵守し、情報漏洩リスクを低減する包括的なプロセスのことです。
インストール制限とは、情報セキュリティリスクを低減するため、組織内の情報資産を守る目的で、許可されていないソフトウェアのインストールを禁止または管理するセキュリティ対策のことです。

導入前の許可制を設け、許可されたもののみインストール可能にし、セキュリティアップデートを徹底することで情報資産の機密性・完全性・可用性を維持することができます。
また、脆弱性が何かを認識し、インストールの制限をすべきポイントを押さえることで

適切なセキュリティ対策をすることができるようになることでしょう。