情報セキュリティリスクを最小限に抑えるための4つの対策

デジタル化が加速する現代社会において、情報資産は企業の生命線です。
しかし、その一方で、サイバー攻撃の手法は高度化の一途を辿り、情報セキュリティ対策の遅れは致命的な結果を招く可能性があります。

例えば、ランサムウェア攻撃によって業務システムが停止し、事業活動が長期間にわたり麻痺するケースも少なくありません。

このような事態を防ぐためには、国際規格ISO/IEC 27002が提唱する、組織全体のルール作りである組織的管理策、従業員の教育による人的管理策、物理的な環境を守る物理的管理策、そしてシステムによる防御である技術的管理策を実施する必要があります。

本記事ではこのような危機から会社を守るために、ISO/IEC 27001が示すこれらの4つの対策を分かりやすく解説します。

1.情報セキュリティ対策における重要な4つの管理策（ISO/IEC27002の考え方より）

情報セキュリティ対策の管理策には、組織全体のルール作りである組織的管理策、従業員の教育による人的管理策、物理的な環境を守る物理的管理策、そしてシステムによる防御である技術的管理策の4つのカテゴリがあります。

情報セキュリティに関する国際規格であるISO/IEC27002では、情報資産を様々な脅威から守り、情報セキュリティの3大要素である機密性、完全性、可用性を確保するために、多岐にわたる管理策が規定されています。

組織的管理策、人的管理策、物理的管理策、技術的管理策は、その中でも重要な4つの管理策として位置づけられています。

それぞれのカテゴリの概要と例を解説します。

2.組織的管理策：みんなで情報セキュリティに取り組むための「仕組み」づくり

ISO/IEC27002では、情報セキュリティ対策は一部の担当者や部門任せにするのではなく、組織全体の責任として取り組むべきであるという考え方を重視しており、
組織全体で、大切な情報を守る「ルール」と「役割分担」を決めることが重要です。

この組織的管理策は、情報セキュリティ対策の方向性を示す役割があります。
具体的な対策を実行するための土台となり、明確な方針を定め、責任体制を確立し、継続的な改善サイクルを回すことで、組織は変化する脅威に柔軟に対応し、情報セキュリティレベルを向上させることが可能になります。

⑴情報セキュリティのルールに関する策

組織が情報セキュリティ対策を効果的に実施し、維持していくためには、明確で包括的なルールを策定し、組織内のすべての関係者に理解させることが不可欠です。これらのルールは、情報資産の保護に関する組織の基本的な方針から、日々の業務における具体的な行動指針を示すものとなります。

■情報セキュリティポリシー

組織が目指すセキュリティの目標、それぞれの責任、そして具体的に実施すべき対策を明確にし、全従業員が理解できるように文書化します。

例：お客様の個人情報を最優先に保護するという基本方針、業務で使用する情報機器のセキュリティ対策を必ず守るという行動規範など

■情報資産の管理ルール

組織が持つ様々な情報をその重要度や機密性に応じてカテゴリ分けし、それぞれのカテゴリに合った適切な保管方法、利用範囲、アクセス権限、廃棄方法などを定めます。大切な情報を適切に管理し、無駄なリスクを減らすことが目的です。

例：機密性の高い情報へのアクセス権限を必要最小限に限定するルール、不要になった重要度の低い情報を安全に廃棄するルールなど

■アクセス制御ルール

情報システムやデータへのアクセス権限を、従業員の職務や業務に必要な範囲に限定するルールです。
これにより、許可されていない人物による不正なアクセスを防ぎ、情報の機密性を保ちます。

例：役職や部署に応じてシステムへのアクセスレベルを設定する、パスワードの複雑さや変更頻度に関するルールなど

■情報機器およびネットワークの利用ルール

組織が従業員に貸与したり、業務での利用を許可したりしているパソコンやスマートフォン、ネットワークの適切な利用方法を定めます。不適切な利用による情報漏洩やマルウェア感染のリスクを低減します。

例：業務用のパソコンを私的に利用することを制限する、許可されていない外部ネットワークへの接続を禁止するなど

■インシデント管理ルール

万が一、情報セキュリティに関する問題（情報漏洩、不正アクセス、ウイルス感染など）が発生した場合の報告経路、初期対応の手順、責任者などを明確にしておくルールです。迅速かつ適切な対応により、被害を最小限に抑えることが重要です。

例：不審なメールを受信した場合の報告先と報告方法、マルウェアに感染した疑いのあるパソコンの初期対応など

■外部委託管理ルール

外部の事業者に業務を委託する場合に、委託先にも適切なセキュリティ対策を求めるためのルールです。
委託先からの情報漏洩なども組織の責任となるため、契約や監査を通じて管理を徹底します。

例：クラウドサービスを提供する事業者を選定する際のセキュリティ評価基準、委託契約にセキュリティに関する条項を盛り込むなど

⑵情報セキュリティの役割に関する策の例

情報セキュリティ対策を組織全体で効果的に実行し、維持していくためには、「誰が、何に対して、どのような責任を持つのか」を明確にすることが不可欠です。

役割分担が曖昧な場合、対策が抜け落ちたり、問題発生時の対応が遅れたりする可能性があります。責任の所在を明確にすることで、組織全体のセキュリティ意識を高め、迅速かつ適切な意思決定を可能にします。

■情報セキュリティ責任者（CISO/最高情報セキュリティ責任者）の任命

組織全体の情報セキュリティ戦略を策定し、推進、監督する責任者を置きます。
この責任者が、組織の情報セキュリティに関するあらゆる活動を統括します。

例：CISOが組織全体の情報セキュリティポリシーの策定と実施を統括する

■情報セキュリティ委員会の設置

情報セキュリティに関する重要な意思決定を行うための委員会を設けます。
各部門の責任者や担当者が集まり、組織全体のセキュリティ状況を共有し、対策を検討します。

例：各部門長と情報セキュリティ担当者が参加する委員会で、セキュリティインシデントの報告や対策の進捗状況を確認する

■部門ごとの情報セキュリティ担当者の配置

各部門において、その部門が扱う情報資産の管理や、セキュリティルールの遵守状況の監督などを担当する役割を定めます。組織全体のセキュリティ対策を各部門に浸透させる役割を担います。

例：人事部門が従業員の個人情報の適切な管理方法を指導・監督する担当者を配置する

■役職に応じた責任の明確化

組織内のすべての役職において、情報セキュリティに関する責任範囲を定義します。
経営層は必要な資源を提供し、従業員はルールを遵守する責任を負います。

例：経営層が情報セキュリティ対策に必要な予算や人員を確保する責任、一般従業員が定められたパスワードポリシーを守る責任など

■報告体制の確立

情報セキュリティに関する問題点、脆弱性、インシデントなどが発生した場合に、適切な経路で責任者に報告される仕組みを作ります。早期発見と迅速な対応を可能にするための体制を整えることが大切です。

例：従業員が不審なメールを発見した場合の報告ラインを定める

3.人的管理策：情報を使う「人」の意識を高めてミスを防ぐための対策

情報セキュリティ対策は、どんなに優れたシステムを導入しても、「人」の意識や行動が伴わなければ、その効果は半減してしまいます。
組織で働くすべての人が、情報資産の価値を理解し、日々の業務の中で適切な取り扱いを心がけることこそが、情報漏洩やセキュリティ事故を防ぐ上で最も重要な要素の一つと言えるでしょう。

人的管理策は、従業員一人ひとりのセキュリティ意識を高め、意図しないミスや不正な行動を未然に防ぐための取り組みです。組織全体で継続的に意識向上を図ることで、強固なセキュリティを確立し、情報資産をしっかりと守るための基盤を築き上げます。

⑴情報セキュリティの意識向上に関する策の例

組織全体で情報セキュリティに対する意識を高め、各従業員が日々の業務において適切な行動をとれるようにするための対策です。

■情報セキュリティに関する教育の実施

従業員に対して、情報セキュリティに関する教育や組織のルールを周知しましょう。
定期的にオリエンテーションなどを実施することで意識を向上させます。

例：新入社員研修で、組織の情報セキュリティポリシー、情報機器の取り扱いルール、情報漏洩のリスクなどを説明するオリエンテーションを実施する。

■パスワードポリシーの策定と遵守の徹底

強固なパスワードを設定し、適切に管理・運用することは、不正アクセスを防ぐために必要なことです。
組織全体でパスワードに関するルールを明確にし、その遵守を徹底することが重要です。

例：パスワードの文字数、複雑さ（大文字、英数字、記号の組み合わせ）、変更頻度などをルール化し周知する。

■情報セキュリティに関する違反の制裁規定の明確化

情報セキュリティに関するルールを定めたとしても、それが守られなければ意味がありません。
ルール違反が発生した場合の対応を明確にし、制裁規定を設けることで、ルールの遵守を促します。

例：情報漏洩、不正アクセス、許可されていないソフトウェアの利用など、違反行為の種類とそれに対する処分内容（減給、降格、懲戒解雇など）を明確に定める。

■退職者のアカウントを速やかに削除し、情報資産を回収する

従業員が退職した場合、その従業員が所持していた情報資産へのアクセス権を放置すると、不正アクセスや情報漏洩につながります。
退職者に付与しているアカウントや権限等を速やかに削除しましょう。

例：退職手続きの最終段階で、関連するすべてのアカウント（メール、システム、ネットワークなど）を即座に無効化する手順を定める。

4. 物理的管理策：情報がある「場所」や「モノ」を守るための対策

情報資産は、インターネットを通じた攻撃だけでなく、私たちの身の回りにある様々な危険にも影響を受けます。

例えば、大切なサーバーがある部屋に許可されていない人が入ったり、会社の重要な書類がどこかへ行ってしまったり、地震や火事でデータが消えてしまうといった事態も考えられます。こうした危険は、会社の事業がストップしたり、大きな損害につながったりする可能性があります。

物理的管理策は、このような現実世界に潜む様々なリスクから情報資産を守り、安全に事業を続けられる環境を作るためにとても重要です。
物理的なセキュリティ対策をしっかり行うことで、情報への不正な侵入を防ぎ、会社のシステムが安定して動くように保ち、もし何か起こってしまっても会社がすぐに立ち直れるような備えをすることができます。

⑴物理的なアクセス管理策の例

情報資産が存在する場所への不正な侵入を防ぎ、許可された人のみがアクセスできるようにするための対策です。

■オフィスやサーバー室など重要エリアへの入退室管理を厳格に行う

許可された人のみがアクセスできるように制限します。

例：ICカードや生体認証を用いた入退室管理システムを導入する。

■重要エリアへのアクセス権限を最小限にする

業務に必要な人のみにアクセスを許可します。

例：サーバー室へのアクセス権限を持つ担当者を限定する。

⑵情報資産の保護に関する策の例

情報資産そのものや、それを保管する環境を物理的な脅威から守るための対策です。

■盗難防止対策を講じる

パソコンや記録媒体などの情報機器の盗難を防止するための対策を講じます。

例：PCにワイヤーロックを設置する。

■耐震・免震対策、消火設備の設置

地震や火災などの自然災害や事故から情報資産を守るための対策を講じます。

例：サーバーラックを床や壁に固定するなどの耐震・免震対策を実施する。

■重要書類や記録媒体の保管場所を限定し、施錠管理を行う

不正な閲覧や持ち出しを防ぎます。

例：機密性の高い書類は鍵のかかる書庫に保管する。

5. 技術的管理策：「システム」の力で情報を守るための対策

会社で使用しているパソコンやインターネットの仕組みは、大切な情報を保管したり、やり取りしたりするために、とても重要な役割を果たしています。しかし、これらのシステムは、外部からの不正なアクセスや、プログラムによる攻撃など、様々な危険に晒されています。

そこで重要になるのが、技術的な管理策です。これは、「システム」そのものに備わった防御機能や、後から導入するセキュリティ対策のことです。不正なアクセスを防いだり、情報が盗まれたりするのを食い止めたりする役割があります。これらの対策を行うことで、大切な情報を安全に守り、安心してシステムを利用できる環境を整えることができます。

⑴アクセス制御に関する策の例

許可された人のみが情報システムやデータにアクセスできるようにするための対策です。

■アクセス制御リスト（ACL）を設定し、適切に管理する

ユーザーやシステムごとにアクセスできる範囲を限定します。

例：ファイルサーバーの特定のフォルダへのアクセス権限を、特定の部署のメンバーのみに付与する。

■多要素認証（MFA）を導入する

パスワードに加えて、別の認証要素（生体認証、ワンタイムパスワードなど）を要求することで、不正ログインのリスクを低減します。

⑵システムの脆弱性対策の例

情報システムに存在するセキュリティ上の弱点（脆弱性）を悪用した攻撃を防ぐための対策です。

■OSやソフトウェアのセキュリティパッチを速やかに適用する

ソフトウェアの製造元や開発元が公開する修正プログラムを適用することで、既知の脆弱性を解消し、攻撃のリスクを低減します。

■脆弱性診断を定期的に実施する

専門的なツールやサービスを利用して、情報システムに潜在するセキュリティ上の弱点を探し出し、対策を講じます。

■不要なソフトウェアやサービスの削除

業務に必要のないソフトウェアやサービスは、セキュリティ上のリスクを高める可能性があるため、削除または停止します。

⑶システムの不正利用対策の例

許可されていない方法でシステムが利用されることを防ぐための対策です。

■不正なソフトウェアのインストール制限

組織が許可していないソフトウェアや悪意のあるソフトウェアが従業員の端末にインストールされるのを防ぎます。

■不適切なウェブサイトへのアクセス制限

業務に関係のない危険なウェブサイトへのアクセスを制限し、マルウェア感染や情報漏洩のリスクを低減します。

■情報持ち出しの制限

許可されていない方法での情報持ち出しを防ぐための技術的な対策を導入します。

例：USBポートの制御、ファイル共有機能の制限。

⑷システムの監視と検知に関する策

情報システムに対する不正なアクセスや攻撃を早期に発見し、対応するための対策です。

■ログの記録と監視

システムへのアクセス状況や操作履歴などのログを記録し、定期的に監視・分析することで、不審な活動を早期に発見します。

■侵入検知・防御システム（IDS/IPS）の導入

ネットワークやシステムへの不正な侵入や攻撃を自動的に検知し、防御する仕組みを導入します。

まとめ

情報セキュリティ対策は、組織の信頼性を維持し、事業を継続していく上で極めて重要な基盤です。
ISO/IEC 27001が示す、組織的、人的、物理的、技術的な4つの管理策をバランス良く実施し、継続的に改善を図ることは、高度化するセキュリティの脅威に対抗し、重要な情報資産を安全に保つための不可欠な取り組みと言えます。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する