セキュリティ対策は、総合対策へ

今までは、セキュリティ対策といえばウィルス対策にウィルス対策ソフトを入れたり、外部ネットワークからのアタックにファイアーウォールを入れたりしていました。しかし、今回の年金事務所のセキュリティ事故に見られるように、その機器のセキュリティ対策と共に運用も重要だということが改めて意識されました。

そのような中でIPAは、単独ではセキュリティ事故が起きるような状況でも複数の防御の仕組みを導入することでセキュリティ事故が起きる可能性が低くなると注意喚起を行いました。

情報処理推進機構(IPA)は6月2日、企業や組織の情報セキュリティ対策や運用管理における「多層防御」に取り組むよう注意喚起を行った。ウイルス感染の予防だけに注目するのではなく、感染してしまった場合でも被害を回避/低減できるそのほかの対策も併せて実施するよう呼びかけている。

IPAの注意喚起文書。「ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策を多層で行う必要があります」としている

多層防御(多段防御)とは、ネットワーク内の単一のポイント、単一の対策手段だけでシステムやデータを保護しようとするのではなく、複数のポイントで複数の対策を講じることで、全体としてリスクを低減させるという情報セキュリティの考え方だ。

発表された注意喚起文書では、「多層防御のポイント」として、「ウイルス感染リスクの低減」のほかに「重要業務を行う端末やネットワークの分離」「重要情報が保存されているサーバーでの制限」「事後対応の準備」が挙げられており、6月1日に公表された日本年金機構における約125万件の個人情報漏洩事件を想起させる内容となっている。

たとえば「重要業務を行う端末やネットワークの分離」の項では、具体的な対策として「一般の端末と重要業務システムとの分離」「部署など業務単位でのネットワークの分離」を挙げたうえで、IPAが過去に発行している参考資料(セキュリティガイド)へのリンクを紹介している。中小規模の企業や組織も含め、あらためて情報セキュリティと多層防御の状況をチェックするためにも有用だろう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA