中小・中堅企業における情報セキュリティ

中小・中堅企業における情報セキュリティ
対応が遅れる内部セキュリティへの具体的対策
企業の情報セキュリティへの関心は非常に高く、実際、多くの予算が投下されている。社会的にも情報セ
キュリティ対策が求められる時代である。一方で、故意・過失を問わず情報漏洩に関するニュースが後を
絶たない。
情報セキュリティと言えば、ISMS の認証基準である国際標準規格ISO27001 を思い浮かべる。この国際標
準規格のレベルで運用・維持することが望ましいが、中小企業の場合、費用や労力の面で容易ではない。
本レポートでは、中小・中堅企業を対象に、ISO27001 認証取得の際にも適用可能な情報セキュリティ対策
のうち、特に手薄となっている企業内部を中心に、重要なポイントと具体的対策について解説する。
ISO27001
2005 年 10 月に ISO 化さ
れ た ISMS ( Information
Security Management Sys
tem:情報セキュリティマ
ネジメントシステム)の国
際標準規格。(財)日本情
報処理開発協会が運営
する ISMS 適合評価制度
の認証基準でもある。
スパムメール
営利や攻撃を目的に、無
差別に大量配信される迷
惑メール。一度に大量配
信されるため、受信側の
メールサーバーは過負荷
状態となり、停止してしま
うこともある。
スパイウェア
PC 利用者の操作や情報
などを特定の場所に送信
するソフトウェア。悪質な
場合、パスワードやクレジ
ットカード番号等の情報を
搾取される。
ファイアウォール
社内のネットワークとその
外部との通信を制御し、
内部のネットワークの安
全を維持することを目的
と し た ソ フ トウ ェ アや機
器。通信を常に監視し、事
前に定められたルールに
従い、通信を制御する。
昨今、企業の情報セキュリティへの関心は非
外部からの
外部からの侵入
からの侵入・
侵入・攻撃には
攻撃には対応済
には対応済
常に高い。一方で、故意・過失を問わず情報漏
脅威は
脅威は内部からの
内部からの情報漏洩
からの情報漏洩、
情報漏洩、過失
洩事故に関するニュースが後を絶たない。漏洩
した情報の重要性次第では事業の継続が困難
になる場合もある。
企業の情報セキュリティ対策としては、
ISO27001 を認証取得し、維持・運営していくこと
が望ましい。しかし、費用や労力の面で決して
った調査結果*1 は次のとおり。
①ウィルス、スパムメール、スパイウェアな
どの対策を実施 … 84.5%
②ファイアウォール等による不正アクセス
の防止を実施 … 77.3%
容易ではない。ISO27001 では単なる技術的な
③社内でアクセス制限を設定 … 42.7%
セキュリティ対策だけでなく、組織全体の管理体
④持込 PC 等、未許可 PC の接続防止を実施
制の構築、監査、リスクマネジメントが求められ
るためである。
… 29.2%
以上のように、アンチウィルスソフトを導入して
ISO27001 取得を目標にするとしても、出来る
いない企業は殆どない。ウィルスやスパムメー
ところから早急に具体的なセキュリティ対策を行
ル等、外部からの侵入・攻撃に対しては、多くの
い、その上で、よりレベルの高いセキュリティへ
企業で既に対策を実施している。しかし、社内
と強化を図っていくことが望ましい。
のアクセス制限や持込 PC の接続制御等、内部
本レポートでは、中小・中堅企業を対象に、
の対策は手薄となっている。
情報セキュリティのポイントと、それに対する具
また、2007 年 10 月、セキュリティのソフトウェ
体的対策について解説した。適用範囲は、一般
ア専門会社*2 が、「セキュリティに関して、深刻な
的な中小・中堅企業の社内ネットワークと、それ
脅威と感じていることは何か?」に関する調査
に接続された機器の利用を前提とした。
結果として、次のような発表を行った。
なお、各対策は ISO27001 に包含されるもの
で、今後、認証を受ける際にも有効である。
JBT Report Vol.5 1
中小・中堅企業を対象に、民間調査会社が行
①内部者による妨害やデータ盗難 …39.8%
②従業員の過失 … 39.8%
*1 ノークリサーチ社による 2006 年度調査
*2 ウェブルート・ソフトウェア社
ワーム
自己増殖を繰り返しなが
ら破壊活動を行うプログ
ラム。電子メールなどを介
して爆発的な速度で拡が
る。コンピュータウイルス
の一種とする場合もある
が、他のプログラムに寄
生しない点や単独で活動
する点が異なる。
③ウィルス/ワーム … 31.0%
[1] 社内ネットワーク
社内ネットワーク環境全般
ネットワーク環境全般
④スパイウェア … 25.2%
サーバーを安全な場所に設置する
⑤スパム … 23.6%
DMZ
DeMilitarized Zone(非武
装地帯)の略。インターネ
ットに接続されたネットワ
ークにおいて、ファイアウ
ォールを介して、外部ネッ
トワーク及び内部ネットワ
ー ク か ら 隔離 さ れ た 区
域。外部公開用サーバー
の設置等に利用される。
業務システムが稼動する DB サーバーや、全
両社の調査結果から、企業内部の情報セキ
社の共有ファイルサーバー等、通常、社内には
ュリティ対策に対しては、十分に対応できていな
幾つかのサーバーが存在する。だが、その設
いという実態が分かる。ついては、以降、企業内
置方法については比較的軽視され易い。剥き
部のセキュリティ対策を中心に話を進める。
出しの状態で設置されたサーバーを目にする。
不注意で水が掛かってしまった場合、サーバー
セキュリティの
セキュリティのポイント、
ポイント、具体的対策
一般的な中小・中堅企業の社内ネットワーク
構成図を図1に示す。図中、赤で囲んだカテゴ
MAC アドレス
Media Access Control add
ress の略。LAN カード等、
ネットワーク機器に付与さ
れるハードウェア固有の
世界で唯一の番号。
本体及びデータ破損に繋がりかねない。悪意
による破壊や盗難という事態も起こり得る。鍵の
掛かるサーバーラックへの設置が必須である。
リ毎に、内部セキュリティ上重要と思われるポイ
また、オフィススペースや予算に余裕があれ
ントと、想定される脅威、具体的対策について
ば、サーバールームを構築することが望まし
以下に解説する。
い。IC カードや指紋等の生体認証設備を設置
なお、ネットワーク構成上のセキュリティ対策
し、入退出の記録を行うことで、入室者の制限
として、ファイアウォールと、外部公開を前提に
や、事故発生時の追跡調査が行える。
サーバー等を設置する区域(DMZ)が、外部か
ネットワーク接続を監視・制限する
らの攻撃に対する防御として設けられている。
個人の持込 PC 等、ウィルスチェックが完全で
ない PC が社内ネットワークに接続された場合、
社内にウィルスが蔓延する危険がある。また、ウ
図 1 標準的な
標準的な社内ネットワーク
社内ネットワーク構成図
ネットワーク構成図と
構成図と内部セキュリティ
内部セキュリティ対策
セキュリティ対策の
対策のポイント
ィルスによる情報漏洩の可能性もある。企業に
インターネット
社外
おいては、自社ネットワークに接続できる PC や
機器を監視・制限する機構が求められる。
ファイアウォール
社内
社内ネットワーク環境
MAC アドレスによる接続制御が可能なスイ
DMZ(非武装地帯)
スに基づいて、同ハブに接続を許可する機器を
・・・
Eメール利用
Mailサーバー
Web利用
登録・管理する方法が最も簡単である。しかし、
公開用 RASサーバー
Webサーバー
接続機器の追加・変更が頻繁な場合には、その
社内共用サーバー
スイッチ
作業が煩雑になる。数十万円程度のコストとな
るが、専用のソフトウェアの導入をお奨めする。
・・・
認証サーバー DBサーバー
ッチングハブを導入している場合、MAC アドレ
ファイルサーバー
[2] 社内共用サーバー
社内共用サーバー
バックアップを確実に行う
据置型PC
社外持ち出し用
ノート型PC
JBT Report Vol.5 2
ノート型PC
据置型PC
据置型PC
据置型PC
各人用PC
バックアップというと、今更…、と感じるかも知
れない。しかし実態は、「出来ているつもりで出
スイッチングハブ
ネットワークの中継機器
であるハブの一種。通常
のハブは、受信したデー
タをすべての端末に対し
て送信し、データの取捨
選択は各端末側が行う。
これに対しスイッチングハ
ブは、データを解析して宛
先を検出し、送り先の端
末にのみデータを送信す
る。このため、ネットワー
ク全体の負荷が軽減し、
セキュリティが向上する。
機器接続の制御を行える
機種もある。
来ていない」ことが意外と多い。専用ソフトウェア
ユーザーID・パスワードやグループ、アクセス権
の設定により、自動バックアップを採用している
等をサーバー上で一元的にコントロールできる
ケースが殆どであると思われるが、この場合、正
Windows ドメイン構成による管理が望ましい。
常終了の確認が必須である。バックアップテー
パスワードの定期的な変更管理や、ファイル/
プの劣化等が原因で失敗することがあるため
フォルダ毎のアクセス権の管理等が容易となり、
だ。テープは消耗品であり、DAT の場合、50 回
セキュリティ強化に繋がる。Windows サーバー
程度の書き換えが寿命の目安となる。当然、失
の標準的な機能で実現可能である。
敗したバックアップから復元することはできな
外部記録媒体へのデータコピーを制限する
い。重要なデータの消失により、最悪、業務の
継続が困難になる場合もある。
DAT
Digital Audio Tape の略。
もともと、音楽の録音・再
生用に 開発さ れ た も の
で、これをコンピュータの
記憶装置として応用した。
DDS-4、DAT72 の 2 つの
規格が一般的で、記憶容
量 は そ れ ぞ れ 20GB 、
36GB である。圧縮機能を
利用することで、約 2 倍の
記憶容量となる。
Windows ドメイン
Windows Server における
ネットワークの管理単位。
ドメイン毎にユーザーを
登録し、ユーザーとユー
ザーに割り当てたアカウ
ント(システムの特定の領
域を利用できる権利)を集
中管理する。ドメインに登
録したクライアントPCは、
アカウントに基づいてネッ
トワークに接続し、プリン
タやファイルサーバー等
を利用する。
バックアップに関しては、テープの定期的な
交換と正常終了の確認が絶対条件である。
アクセスを制限し、アクセス履歴を記録する
USB メモリ、FD、外付け HDD 等の外部記録
媒体を用いてデータを社外へ持ち出し、その結
果、情報漏洩事故に繋がるケースが最も多い。
事前の予防的制限が必要である。
ただ、全 PC 一律に外部記録媒体へのコピー
社内共用サーバーからの情報漏洩対策とし
制限を行うのは業務上難しい場合がある。現実
て、アクセスの制限、及びアクセス履歴の記録
的には、担当業務内容に応じて、PC 毎にコピ
が非常に効果的である。アクセスの制限により、
ー制限等を行うことが導入の近道となる。
データの参照・更新の範囲を各人毎に管理でき
使用ソフトウェアを制限する
る。情報漏洩が発生した場合でも、発生源を絞
り込める。
アクセスの制限は OS の標準機能で対応可能
ファイル交換ソフト[Winny]等による情報漏洩
事件が後を絶たない。使用可能なソフトウェアを
制限することにより、故意・過失を問わず、この
である。ユーザーもしくはグループ単位で、ファ
ような事故を未然に防止できる。
イル/フォルダ毎に参照・更新等のアクセスが
PC 操作ログを記録する
制限できる。
PC の操作ログを記録・管理することで、情報
アクセス履歴の記録では、追跡調査が行え、
漏洩等の事故が発生した場合、確度の高い追
原因箇所の特定が容易となり、強い抑止力に繋
跡調査が行える。漏洩した情報に対し、故意・
がる。しかし、アクセス履歴の記録は OS の標準
過失を問わず、誰が何時、どのような操作を行
的な機能では情報が不足する。専用製品の導
ったか追跡でき、強い抑止力に繋がる。
入が必須である。
なお、上記のコピー制限、ソフトウェア制限、
PC 操作ログの記録については、Windows の標
[3] PC(
PC(社内常設)
社内常設)
準的な機能で実現することは難しい。いずれも
ユーザーID・パスワード認証による使用制限
専用ソフトウェアの導入が必要となる。
ユーザーID・パスワードによる認証及びネット
ワークの使用制限は、今時、どの企業でも行っ
[4] PC(
PC(社外用)
社外用)
ている。方法としては、PC 毎にユーザーID・パ
HDD を暗号化する
スワードを登録することで対応できる。しかし、
JBT Report Vol.5 3
PC を社外へ持ち出す場合、社内利用に比
Web メール
IE(インターネットエクスプ
ローラー)等の Web ブラウ
ザを通じて利用する、E メ
ールサービス。Web ブラ
ウザが利用できる環境が
あれば、どこからでも使
用できる。
この Web メールは、Web
サイトから提供される各
種の情報と混在して送信
されてくるため、メールの
みを分離して記録するこ
とが困難である。更に、通
常、暗号化されているた
め、送受信を記録するこ
とができない。
ZIP 形式
ファイルのデータ圧縮や
複数ファイルを1つに結
合できる、ファイル形式の
名称。ファイルを圧縮・結
合する際、パスワードを
付与すると、ファイルは暗
号化される。
べ、盗難や紛失といった事故の割合が非常に
る。重要な文書は Word や Excel 等でパスワード
高くなる。実際、機密情報を HDD に保存したノ
を付けて保存する、もしくはパスワード付きの
ート PC の盗難事件が幾つも発生している。そも
ZIP 形式に圧縮する等、暗号化したファイルとし
そも、機密情報を社外に持ち出さないことが望
て送信するのが現実的な方法である。
ましいが、業務上必要な場合は専用ソフトによる
HDD 保存データの暗号化が必須である。
[6] Web 利用
生体認証を行う
Web サイト、Web メールへのアクセスを制限する
生体認証機構が搭載された PC であれば、社
Web サイト利用履歴を記録する
外において、他人に利用される危険が極めて
Web サイトは、良質な情報を提供している善
低い。最近では、比較的低価格なノート PC に
良なサイトばかりではない。ウィルスやスパイウ
指紋認証機構が標準で搭載されている。業務
ェア等をばら撒き、HDD の破壊や、情報を搾取
で利用するノート PC であれば、これら製品をお
する悪質な Web サイトも存在する。場合によっ
奨めする。なお、このノート PC をネットワークに
ては、企業の情報漏洩事件にも繋がる。故意・
接続して社内でも利用する場合、前述した「PC
過失を問わず、そのようなサイトへの接続は未
(社内常設)」と同様の対策も当然必要である。
然に防ぐことが望ましい。
対応策として、アクセス制御、利用履歴の記
URL
Uniform Resource Locator
の略。インターネット上に
存在する情報資源(文書
や画像など)の場所を指し
示す記述方式、もしくは住
所。情報の種類やサーバ
ー名、ポート番号、フォル
ダ名、ファイル名などで構
成される。
[5] E メール利用
メール利用
録がある。アクセス制御は、セキュリティベンダ
E メール利用を記録する
ーが提供する、アダルト、思想、宗教、差別等の
E メールは、指定したアドレスに文書や添付
カテゴリ毎に分類された URL データベースを用
ファイルを送信できる利便性を持つ半面、容易
いて行う。業務上不要と判断される Web サイトの
に情報が社外へ流出する危険もある。対策とし
カテゴリへの接続を遮断する。利用履歴の記録
て、E メール送受信を全て記録として保存・管理
は、事故発生時に追跡調査が可能となるため、
し、事故発生時に追跡調査が可能となる仕組み
抑止力として効果が期待できる。
の構築が不可欠である。これについては、各セ
また、Web メールについては前述のように、メ
キュリティベンダーより様々な専用ソフトウェアが
ールの送受信内容を記録することが困難である
提供されている 。但し、Web を利用した E メー
ため、Web メールサービスを提供している Web
ル(Web メール)には対応できないので、後述
サイトへのアクセスを制限する必要がある。
(注)
する Web サイトへのアクセス制限が必要となる。
【お問合せ先】
E メールで暗号化したファイルを送る
(株)日本ブレインウエアトラスト
日本ブレインウエアトラスト(
ブレインウエアトラスト(略称:JBT)
略称:JBT)
重要な文書をメールで送信する場合等、送信
経路となるインターネット上での盗聴対策とし
て、メールの暗号化が考えられる。
しかし、メール本文を暗号化できる専用ソフト
ウェアは存在するが、送受信を行う双方に事前
に暗号化キーを登録する等、運用が煩雑であ
JBT Report Vol.5 4
〒101-0047
東京都千代田区内神田 2-15-9 内神田 282 ビル
Tel
:03-5295-0571
Fax
:03-5295-0860
E-mail:consult@jbt.co.jp
[ホームページ]
ホームページ]
http://www.jbt.co.jp/
[営業推進グループ
営業推進グループ]
グループ]
担当 :石崎、朝日
(注) 社内サーバーではなく、外部のサーバーを借受けるホスティング等を利用している場合、オプションとして送受信を記録するサービスが用
意されている。それを活用するのも一つの方法である。
JBTがお
JBTがお奨
がお奨めするセキュリティソリューションメニュー
めするセキュリティソリューションメニュー
~ 最低限必要な"レベルA"から、推奨レベルB、より望ましいレベルCまで ~
Level A
メニュー
品番
セキュリティ対策として、最低限必要なレベルの項目を、コストパフォーマンス重視で選定した場合の製品です。
既存環境へ既に導入済みの項目については、個別に省くことが可能です。また、各項目をLevel BもしくはLevel Cの製品を用いて、個別にアップグレードすることも可能です。
セキュリティ対処項目
対応製品
1
・ファイルアクセス権制御
・使用者認証(論理認証)
・外部デバイス追加禁止制御
・外部デバイスへのデータコピー禁止制御
Microsoft Windows OSを使用した
ActiveDirectory環境
2
・ファイルアクセス履歴の保存
ファイルサーバーアクセスログ集中管理:
日本システムディベロップメント FileServerAudit
3
・持ち出し用(ノート)PC暗号化
クライアントPCドライブ暗号化:
日立ソフト 秘文AE
4
・共用サーバーデータバックアップ
サーバーバックアップ:
Symantec BackupExec
※
※
アンチウィルスソフトウェア:
トレンドマイクロ ウィルスバスター
・アンチウィルスソフトウェアの導入有無
・アンチウィルスソフトウェアの集中管理
アンチウィルスソフトウェア:
McAfee VirusScanEnterprise
McAfee ePolicyOrchestrator
※
備考
200万円~480万円
本製品は、
MOTEX LanScope Cat6への置き
換えが可能です(対処項目増)
費用は共用ファイルサーバー1台の場合。
240万円
20万円
135万円~235万円
小~中規模ユーザー向け製品
管理クライアント台数
10台~30台程度
中~大規模ユーザー向け製品
管理クライアント台数30台超~
50万円
300万円
6
・メール利用制限
・社内ネットワーク間アクセス制御
・社内-外、ゲートウェイFireWall専用機の有無
・WEB利用履歴の社内保存(通信記録)
・ユーザー別WEB利用制限
FireWall専用機:
SonicWall PRO 2040
190万円
7
・サーバーのラック格納 (サーバールームへの設置)
サーバーラックシステム
(置き型、ラックマウント型)
50万円
8
・メール利用履歴の社内保存(送受信の通信記録)
メールログを提供するプロバイダへの乗換を実施。
対応製品を用いずに対応を行います。
Level A のうち、
のうち、新たに導入
たに導入を
導入を図る必要がある
必要があるセキュリティ
があるセキュリティ対策
セキュリティ対策の
対策の費用 310万円
310万円 ~ 500万円
500万円
上記のうち、一般的に導入が済んでいるセキュリティ対策に ※印 を付してあります。
「1..ActiveDirectory環境」「4.サーバーバックアップ」「5.アンチウィルス環境」の合計385万円~1,015万円
一般的に導入が済んでいるセキュリティ対策を除き、追加で新たに導入が必要なセキュリティ対策の概算総額 310万円~500万円
「2.ファイルアクセス履歴の保存」「3.持ち出し用NotePCの暗号化」「6.FireWall」「7.ラック格納」の合計500万円
「6.FireWall」については既に導入済みの場合も多く、この場合の製品総額は310万円になります。
費用差はサーバー筐体のハードウェア構成の違い。
*本製品は、クライアントPCからUSBメモリ等へのファイ
ル持ち出し記録は取得できません
費用は持ち出しPC台数10台の場合。
費用差はバックアップを保存するハードウェアの違い。
費用はクライアント20台の場合。
~
5
導入費用
-
費用はクライアント50台の場合。
費用は一般的な置き型用、ラックマウント型用ラック1台
の場合。
Level B
メニュー
品番
セキュリティ対策としてLevel Aで対応するものに加え、可能な限り対処されていることが望ましいセキュリティ対処項目について、これを補う製品となります。
Level Aで対応する個別の製品を、以下の製品を用いてアップグレードすることも可能です。
セキュリティ対処項目
対応製品
1
・MSセキュリティパッチ管理
Microsoft Wndows OSの追加機能:
WSUS
2
・ファイルアクセス履歴の保存(PC操作記録)
・使用者操作監視/特定操作禁止制御
・外部デバイス追加禁止制御
・外部デバイスへのデータコピー禁止制御
・使用ソフトウェア制限
・不正ネットワークデバイス検出/遮断/検疫
・WEB利用履歴の社内保存(PC操作記録)
・メール利用履歴の社内保存(PC操作記録)
クライアントPC総合管理ソフトウェア:
MOTEX LanScope Cat6
3
・WEB利用履歴の社内保存
・WEBカテゴリ別の利用制御
4
・メール利用履歴の社内保存(送受信の通信記録)
・送信メール一括保存(メール本文を含めた記録)
Level C
メニュー
品番
導入費用
60万円~170万円
本製品は、
Level AのFileServerAuditとの置き
換えが可能です。
備考
費用差はサーバー筐体の新規購入を含む場合と含まな
い場合の違い。
465万円
費用は管理クライアント数50台の場合。
プロキシ型WEBフィルタソフトウェア:
アルプスシステムインテグレーション InterSafe
210万円
費用はクライアントPC50台分(2年間)の場合。
メール一括保存アプライアンス:
コネクタス メールタンク
150万円
セキュリティ対策としてLevel AもしくはLevel Bで対応するものに加え、対処されていることがなお望ましいセキュリティ対処項目について、これを補う製品です。
Level A、Level Bで対応する個別の製品を、以下の製品を用いてアップグレードすることも可能です。
セキュリティ対処項目
対応製品
導入費用
備考
1
・ファイル/ディスク暗号化(共用サーバー)
・社内常設PCディスク暗号化
サーバー、クライアント統合暗号化ソフトウェア:
日立ソフト 秘文AE
340万円
費用は共用サーバー1台、管理クライアントPC数50台の
場合。
2
・クライアントPC使用者認証(物理認証)
ELECOM:
指紋認証装置
100万円
費用は管理クライアントPC数50台の場合。
3
・メール暗号化
4
・送信メール監査(送信先・テキストフィルタ)
・受信メール監査(スパム・ウィルス)
5
・PC本体の移動禁止措置
セキュリティワイヤー
*JBT提供外製品のため、商品のご紹介まで
7.5万円
クライアントPC数50台の場合の参考費用。
6
・サーバールーム入退室管理
入退室管理システム:
専門警備会社による入退室管理システム
*JBT提供外製品のため、商品のご紹介まで
100万円
ICカード型、1部屋のみ入退室管理を行う場合の参考費
用。
暗号化対象範囲、暗号化メールの送受信先数等に応じて異なります。
送受信メール監査レベル、既存環境(ご契約プロバイダ等)に応じて異なります。