情報セキュリティの整備の進め方

最終更新: 2019年11月1日

情報セキュリティの整備を複雑に考えてしまうと、スムーズに進めることが出来ません。
また逆に、きちんと考えずに取り組んでも無駄や対策漏れが生じます。

研究所がお勧めしているセキュリティ整備の進め方は、

・最初に「何を守るねばならないか」把握する
・守るべき情報に「どのようなリスクがあるか」把握する
・把握されたリスクに対して「対策」を実施する
・「社内教育」によりミスから生じる漏洩を防ぐ
・上記でカバーできないリスクを「保険」でカバーする

というものです。
情報セキュリティ整備の進め方

リスクアセスメント

リスクの無いところに対策を行ってもコストの無駄です。
逆にリスクのあるところに対策ができていなければ情報漏洩等、深刻な被害を引き起こします。
リスクアセスメントは、情報セキュリティ整備の出発点として、何をする・しないを明確にします。

リスクアセスメント

 

無料でできるセキュリティ対策

リスクアセスメントで明らかになったリスクには対策が必要です。
サイバー攻撃に対しては、複数の対策を組み合わせることで防御力が高まります。(多層防御)
しかし、高額なセキュリティ製品を組み合わせると、予算がいくらあっても足りません。
無償のオープンソース製品などを利用し、限られた予算で実現可能な実効性の高い対策をご紹介いたします。

防御方法一覧

 

社内教育

セキュリティ対策だけでは情報漏洩は防げません。
情報漏洩事故の実に8割は「紛失、誤送信」(従業者のミス)によるものです。
それを防げれば、情報漏洩事故を大いに減らすことが出来ます。
情報セキュリティに関する社内教育は最も費用対効果が高い対策と言えます。

情報セキュリティ教育

 

事故への備え

どんなにセキュリティ対策や社内教育を強化しても事故を100%完全に防ぐことは出来ません。
CSIRT(Computer Security Incident Response Team:事故対応チーム)を整備して、起きてしまった事故への対応力を高めることも必要です。

CSIRT整備

また、CSIRTの対応(Response)で必要となるフォレンジック解析をご説明します。

フォレンジック解析

 

その他の対策方法

セキュリティ対策と社内教育を十分に行っても、残念ながら情報セキュリティ事故は防げません。
CSIRTによる対応では事故の原因を究明し再発防止はできても、損害自体は回復できません。

発生してしまった被害/損害に対して、それを補償する保険をご紹介いたします。

サイバーセキュリティ保険