ページコンテンツ
IT統制の実現に欠かせない「セキュリティ対策」
内部統制の確立において、有効な手段がITの活用です。企業が業務を進めるにあたって、もはやITが不可欠となっている状況を踏まえ、IT統制を実現させ内部統制を確立する必要があります。
そこで、IT統制を実現させるためには、十分なセキュリティ統制が不可欠といえます。
例えば、IT統制を進めていく中、インターネットを介したEDIなどが普及し、ビジネスを支えていますが、それに伴い、ネットワークの不正使用を防止するセキュリティ対策が必要となるケースがあります。
また、IT統制を行うためには、企業全体(関連子会社)も含むアクセス管理やセキュリティ管理ありきで考えなくてはなりません。
このように、情報セキュリティがIT統制の“中核”となっていることを考慮すれば、ビジネス活動の「ITへの依存度が高い企業ほど、情報セキュリティの強化がビジネスの強化につながる」ことになります。
「巧妙化するサイバー攻撃…」近年IT統制を阻む外的要因
ここまでに、セキュリティ対策がIT統制の中核を担うことはお分かりいただけたかと思います。
しかし、近年マルウェアの脅威や巧妙化、シャドーITといったように企業をとりまく環境の変化を踏まえると、具体的になにをすればよいか分からない方も多いのではないでしょうか。
そこでまずは、どんな点においてセキュリティを強化すればIT統制が実現できるのか、必要となる項目を3つご紹介します。
便利だけど危険も多い「フリーソフトウェア」
「テキストエディタ」や「画像編集ソフト」、「言語入力補助ツール」など、誰でも自由にダウンロードし業務に活用することができるフリーソフトウェア。
皆さまの会社でも、社員各自がPCへ何らかのソフトウェアをインストールして利用していないでしょうか。
フリーソフトウェアを自由にインストールできる環境は、現場社員にとって便利な一方で、マルウェア感染などの脅威と隣り合せです。
しかし、会社側としてもすべてのソフトウェアのインストールを規制したり、いちいち承認手続きを挟んだりといった対策は避けたいものです。
もちろん、指導や社内研修といったかたちで危険なソフトウェアのダウンロードを100%コントロールすることも非現実的です。
そこで、脅威の侵入を防止・検知することだけに注力するのではなく、マルウェアの侵入を前提とした体制を整備することが有効です。すなわちIT統制には、信頼できないソフトウェアの起動を遮断する仕組みが必要となります。
マルウェアの温床「ダークウェブ」
近年、ダークウェブでは新しいマルウェアが次々と販売され、簡単に購入できる環境になっています。
サイバー犯罪の攻撃者は、マルウェアを作らなくても、簡単にダークウェブで買えてしまう状態なのです。
ダークウェブにはマルウェアが仕掛けられているサイトも多く、不用意にアクセスするだけでサイバー攻撃の危険にさらされる可能性があります。気付かないうちに個人情報を抜き取られ、ばらまかれてしまう可能性も考えられます。
それだけでなく、もし会社のPCで誰かがダークウェブ内の犯罪サイトに不用意に出入りしていると、警察による捜査対象になってしまう恐れもあるのです。
こうしたダークウェブの脅威は、自社とは縁遠い話のように聞こえるかもしれませんが、実はそうではありません。実際は、”TORブラウザ” に代表される、ダークウェブを閲覧できるブラウザは手軽に入手することができ、社員がダークウェブを閲覧していても気付くことはできません。
IT統制を実行するためには、ダークウェブの危険性に対してあらかじめ対策を講じておくことが大切です。
しかし、システム部門は、いつ・どこで・誰がダークウェブに閲覧したのかを管理することは困難を極めます。それを踏まえた対策として、マルウェアに侵入されても大丈夫なセキュリティ対策を実施する必要があります。
スパムメールなどの標的型攻撃
警視庁の資料によると、2017年に181件だった標的型メール攻撃が、2018年には700件まで増加したと発表されており、標的型攻撃の件数が大幅に増加しています。
今後も、特定企業の個人情報や機密情報を狙った攻撃が、急増することが予想されます。
特に懸念されているのが、オリンピック開催に伴うサイバー犯罪の増加です。2020年東京オリンピックでは攻撃能力がピークに達するのではないかともいわれています。
多様化するサイバー攻撃に対して、いま多くの企業で主流の「検知型セキュリティ」(※1)のみでは、すり抜けが生じてしまうため、新たな方法で対策を行う必要があります。
※1 検知型セキュリティ ・・・ 過去に検出されたマルウェアの情報をもとに、脅威を検知するタイプのセキュリティ。まだデータベースに登録が無い、新種のマルウェアなどの脅威は防ぐことができない。
IT統制を困難にする「複数拠点の壁」
IT統制は、支社やグループ企業、各店舗や事業所などすべての拠点を対象に実現しなくては意味がありません。該当する拠点が、販売会社機能など経営上重要な役割を担っている場合は、リアルタイムな情報連携と本社統制が欠かせないため、緊密な連携をとることが必要です。
しかし、複数拠点をまとめてのIT統制を行う場合、特に課題となるのが以下3つのポイントです。
1. 各所でIT基盤が異なるので、新たな問題が浮上する。
IT基盤が異なることで、経営報告サイクルの長期化、情報が分断されることによる業務コラボレーションの制約、IT維持管理コストの上昇などの問題が浮上する。
2. ITシステムが異なるため、同一の情報セキュリティ対策が適用できない
本社がとりくむ情報セキュリティ対策の仕組みや運用方法をそのまま子会社・支社に導入することが理想だが、本社と同様のITシステムを導入していないため困難を極める。
3. セキュリティ対策の共通化を実現するために、多大なコストが掛かる
本社が管理したいセキュリティ対策方法を、ITシステムを連携させて適用することになった場合、そのインターフェース・維持管理に多大なコストが必要となるため、各子会社側もITシステムのセキュリティ対応と業務運用の変更を迫られることとなり、運用コストが膨大になる。
複数拠点にまたがるかたちでIT統制を実現するためには、これらの要因について充分認識したうえで、子会社、支社、支店ごとの情報セキュリティ状況を加味したIT統制が必要となります。
近年のセキュリティ課題を解決するには
こうした「フリーソフトウェア」「ダークウェブ」「標的型攻撃」といったセキュリティ項目に対策ができ、未知のマルウェアにも感染せず、複数拠点をまたいだセキュリティ対策を低運用コストで実現できるソリューションとして、従来の”検知型エンドポイントセキュリティ”に”OSプロテクト型セキュリティ”を掛け合わせた体制を作ることをおすすめします。
マルウェアによる攻撃を防ぐ。「新世代防御型」セキュリティ対策
AppGuard製品ページ:https://www.daiko-xtech.co.jp/daiko-plus/security-appguard/
「検知型」では防ぎきれない脅威を見越した体制
従来の「検知型」のセキュリティ対策製品は、過去の脅威情報を元にマルウェア、またはマルウェアらしきものを探し出して駆除を行ってきました。しかし、この方法では未知のマルウェアが出現した際にすり抜けが生じてしまい、感染を完全に防ぐことはできません。
これに対して、「OSプロテクト型」はそもそもマルウェアを探し出すことはしません。
OSに対して不正な行為があると、その動き遮断するという、防御に特化したシンプルな考え方の製品です。OSに想定されていない動作をすべてブロックするので、定義ファイルを元にした製品のようにすり抜けが生じるということはありません。
マルウェアの侵入を防ぐ「検知型」と、侵入されても壊させない「OSプロテクト型」の2つを掛け合わせることで、「検知型」をすり抜けてしまった未知の脅威にも対策を施すことができ、セキュリティがより強固になります。
この体制なら、PC使用者によってインストールが許可された「フリーソフトウェア」や、「ダークウェブへのアクセス」によって侵入された新しいマルウェア、ますます多様化が進む「標的型攻撃」などからも、コンピュータや大切な情報を守ることができます。
ソフトウェアのインストールを事前に遮断
「OSプロテクト型」セキュリティは、デジタル署名のない実行ファイルなど、信頼できないソフトウェアの起動そのものを遮断することもできるため、IT統制をすすめる上でとても有効です。
また、OSプロテクト型のセキュリティを導入すると、悪意のないソフトウェアであっても、一旦インストールがガードされる場合があります。
インストールを続行するためには、個別に承認設定を行う必要があるので、誤ってソフトウェアをダウンロードしてしまったり、気づかないうちに不正なプログラムをインストールしてしまったりといった、ヒューマンエラーを抑止することが可能です。人に依存することのないセキュリティ体制を構築でき、さらに現場のセキュリティに対する意識の向上効果も期待できます。
システム部門が認識しているアプリケーションのみを動かせる環境を構築
複数拠点をまとめたIT統制が必要な場合でも、このOSプロテクト型の仕組みであれば、システム部門が認識しているアプリケーションのみを動かせる環境を構築できるので、従業員にポリシーを守らせ、ルールに則ってITサービスを利用させることが可能です。
IT統制を実現するために有効な、「OSプロテクト型」セキュリティにご興味がある方は、以下で詳しく解説していますので、ぜひご覧ください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
