情報セキュリティ啓発
社員や利用者に対して、情報セキュリティの重要性を理解させる取り組み。
ポスター掲示、ニュースレター、動画など多様な手段で行われる。
日常的な注意喚起を通じてリスク意識を高める。
例:毎月の社内メールで最新のセキュリティ脅威を紹介する。
情報セキュリティ訓練
実際の攻撃を想定した演習やシナリオを通じて、対応力を養う訓練。
標的型メール訓練、インシデント対応訓練などがある。
事前に対応手順を把握することが目的。
例:フィッシングメールに社員が気づけるかどうかを試す模擬訓練。
監視
システムやネットワークを常時チェックし、不審な動作や異常を検知すること。
監視ツールやログ分析によって実施される。
インシデントの早期発見と対応につながる。
例:サーバのアクセスログを自動分析して異常をアラート通知する。
内部不正防止ガイドライン
従業員など内部関係者による不正行為を防ぐための指針。
アクセス権管理、ログ監視、監査体制の整備などを推奨する。
経済産業省が公表している。
例:退職者のアカウントを即時無効化するルールを定める。
アクセス権
特定のユーザーがどの情報や機能にアクセスできるかを決める権利。
最小権限の原則に基づいて設定することが推奨される。
変更履歴の管理も重要。
例:経理担当者のみが財務システムにアクセスできるよう制限する。
コールバック
アクセス要求があった際に、別の経路で再確認を行うセキュリティ対策。
電話や別回線で正当性を検証する。
なりすましや誤送信を防止する目的がある。
例:振込依頼のメールを受けた後、電話で内容を確認する。
アクセス制御
許可されたユーザーやデバイスだけが特定の情報にアクセスできるようにする仕組み。
認証・承認・ログ記録が基本要素。
物理・論理の両面での対策がある。
例:ICカードとパスワードの両方でログインを許可する。
ファイアウォール
外部ネットワークからの不正アクセスを防ぐための境界セキュリティ装置。
通過する通信をフィルタリングする。
パケットの内容やポート番号などをチェックして制御する。
例:不正なポート番号の通信を遮断する企業用ルーター。
WAF(Web Application Firewall)
Webアプリケーションへの不正アクセスを防ぐためのセキュリティ装置。
SQLインジェクションやクロスサイトスクリプティングなどを検知・遮断する。
Webサイトを保護するために導入される。
例:ショッピングサイトにWAFを導入して改ざんを防止する。
IDS(侵入検知システム:Intrusion Detection System)
ネットワークや端末の不審な動きを検知し、管理者に通知するシステム。
シグネチャ型とアノマリ型がある。
リアルタイム監視が可能。
例:サーバに対して短時間に大量アクセスがあったことを検知する。
IPS(侵入防止システム:Intrusion Prevention System)
IDSと同様に不正アクセスを検知し、さらに自動で遮断するシステム。
攻撃を未然に防ぐ機能を持つ。
ファイアウォールと連携して使われることが多い。
例:攻撃者のIPアドレスを即座にブロックする。
EDR(Endpoint Detection and Response)
PCやスマートフォンなどの端末における脅威を検知・分析・対応するシステム。
ランサムウェアやファイルレス攻撃などの高度な脅威に対応する。
中央管理で監視・制御が可能。
例:社員のPCに感染が疑われた場合、遠隔で隔離する。
DLP(Data Loss Prevention)
機密情報の漏えいを防ぐための技術や仕組み。
USB制限、メール添付チェック、画面コピー防止などがある。
企業の情報資産を守る目的で導入される。
例:顧客情報が含まれたファイルをメール添付すると警告が出る。
SIEM(Security Information and Event Management)
複数のセキュリティ機器のログを一元管理・分析するシステム。
異常なパターンをリアルタイムで検知できる。
SOCでの監視に使われることが多い。
例:複数の端末から同時にログイン試行がある場合に通知。
検疫ネットワーク
不審な端末を一時的に通常のネットワークから隔離する仕組み。
ウイルス対策ソフト未導入やポリシー違反を検出すると自動で隔離される。
企業内ネットワークの安全性を保つための技術。
例:社外持ち込みのノートPCがネット接続時に検疫を受ける。
DMZ(非武装地帯:DeMilitarized Zone)
外部と内部ネットワークの間に設置された中間領域。
Webサーバやメールサーバを設置して、外部アクセスを許容しつつ内部は保護する。
ファイアウォールと併用されることが多い。
例:外部公開するWebサーバをDMZに配置する。
SSL/TLS(Secure Sockets Layer/Transport Layer Security)
通信内容を暗号化して、盗聴や改ざんを防ぐプロトコル。
HTTPSで使われ、サーバとクライアント間の安全な通信を実現する。
TLSはSSLの後継規格。
例:ネットショッピングのログイン画面でSSL/TLSが使われる。
VPN(Virtual Private Network)
インターネットを通じて仮想的な専用回線を構築する技術。
遠隔地から安全に社内ネットワークに接続できる。
暗号化によって通信の秘匿性を保つ。
例:テレワーク時にVPNで社内ファイルサーバにアクセスする。
MDM(Mobile Device Management)
スマートフォンやタブレットなどの端末を一元管理する仕組み。
紛失時の遠隔ロックやアプリ制限、利用状況の監視ができる。
企業のモバイルセキュリティを強化する。
例:業務用スマートフォンに業務外アプリのインストールを禁止する。
電子透かし
デジタルデータに識別情報を埋め込み、コピーや改ざんを検知する技術。
画像や音声に目に見えない透かしを入れる。
著作権管理やデータ追跡に活用される。
例:写真に企業名を電子透かしとして埋め込んでおく。
デジタルフォレンジックス
デジタル機器から証拠を抽出・解析し、不正の事実を明らかにする手法。
ログ、ファイル、通信記録などを法的証拠として活用する。
インシデント対応や訴訟対策に重要。
例:退職者のPCから営業秘密持ち出しの証拠を発見する。
ペネトレーションテスト
実際に模擬的な攻撃を仕掛け、システムの脆弱性を調べる試験。
ホワイトハッカーが担当することが多い。
定期的に実施することで実効性の高い対策につながる。
例:社内システムに対して疑似的な侵入を試みて問題点を洗い出す。
ブロックチェーン
取引情報を改ざんできない形で連続的に記録する分散型台帳技術。
暗号化と分散管理で高い信頼性を実現する。
仮想通貨や契約管理などに応用される。
例:デジタル証明書の真正性をブロックチェーンで保証する。
耐タンパ性
改ざんや不正アクセスに対して物理的・論理的に強い特性。
ハードウェアやソフトウェアに組み込まれることが多い。
セキュリティチップやデジタル署名に使われる。
例:ICカードが外部から読み取られないように設計されている。
セキュアブート
起動時に正規のソフトウェアのみを読み込むことで、不正なプログラムの実行を防ぐ仕組み。
改ざんされたOSやドライバをブロックする。
ハードウェアと連携して実行される。
例:PCがウイルス入りのUSBから起動されないよう保護する。
TPM(Trusted Platform Module)
暗号鍵の管理やシステムの改ざん検出を行うためのセキュリティチップ。
マザーボードに搭載されており、暗号化の根幹を支える。
BitLockerなどで利用される。
例:PCのHDDを暗号化し、別のPCでは読み取れなくする。
マルウェア定義ファイル
ウイルス対策ソフトがマルウェアを識別するために使うパターンファイル。
新しいウイルスが出現するたびに更新される。
定期的なアップデートが必須。
例:古い定義ファイルでは新型ランサムウェアを検知できない。
3-2-1 ルール
データのバックアップに関する基本的な指針。
3つのコピーを、2つの異なる媒体に、1つは遠隔地に保管する。
災害や事故への備えとして推奨される。
例:1つは外付けHDD、もう1つはクラウドに保存する。
WORM(Write Once Read Many)機能
一度記録したデータを変更・削除できないようにする記憶装置の機能。
改ざん防止のための法的要件にも対応。
金融・医療などの分野で活用される。
例:証券取引記録をWORM対応メディアに保存して証拠保全する。
イミュータブルバックアップ
書き換えや削除ができない状態で保存されたバックアップデータ。
ランサムウェアや内部不正からのデータ保護に有効。
一定期間データを変更不能に設定することで、改ざんのリスクを排除する。
例:毎日取得されるバックアップが7日間書き換え不可として保存される。
フィルタリング
不適切なWebサイトやコンテンツへのアクセスを制限する機能。
URLやキーワード、カテゴリなどをもとに判別する。
企業や学校で情報漏えいや不正閲覧の防止に使われる。
例:業務時間中にSNSや動画サイトへのアクセスをブロックする。
ペアレンタルコントロール
保護者が子どもの端末利用を制限・管理する機能。
閲覧制限、利用時間の制限、アプリインストール制御などができる。
安心して子どもにデジタル機器を使わせるための対策。
例:夜10時以降はスマホのゲームアプリが起動できないように設定する。
セキュリティパッチ
ソフトウェアの脆弱性を修正するための更新プログラム。
放置すると不正アクセスやウイルス感染の原因になる。
定期的なアップデートと自動適用の設定が推奨される。
例:Windows Updateで配信される月例の修正プログラム。
監視カメラ
施設内外の状況を記録し、不審者や不正行為を監視するカメラ。
映像は録画して証拠として活用できる。
犯罪抑止や情報漏えい対策として有効。
例:サーバールームの入り口に監視カメラを設置する。
施錠管理
鍵やロックを使って重要な設備や情報資産への物理的アクセスを制限すること。
鍵の管理方法や履歴の記録も含まれる。
電子錠や入退室履歴との連携もある。
例:書類保管棚を個別に施錠し、責任者のみが開錠できるようにする。
入退室管理
建物や部屋への入退室を記録・制限するための仕組み。
ICカードや顔認証などの手段が用いられる。
不正侵入の防止やトラブル時の追跡が目的。
例:サーバールームへの入退室をICカードで管理し、ログを保存する。
アンチパスバック
同じIDカードでの二重入室や不正な通行を防止する機能。
一度入室した人が再入室する前に退室しなければならないルール。
カードの貸し借りなどの不正行為を抑止する。
例:退室処理をせずに別の人が同じカードで入室しようとしても認証されない。
インターロック
2つ以上のドアを連動させて、同時に開かないようにする仕組み。
一方のドアが閉まらないともう一方が開かない設計。
重要施設への二重チェックとして使用される。
例:サーバールームの前室と本室のドアが同時に開かないよう制御する。
クリアデスク・クリアスクリーン
机の上や画面上に機密情報を放置せず、整理整頓・画面ロックを徹底するルール。
業務終了時や離席時の情報漏えいを防ぐ。
ISMSにおける物理的セキュリティの一環。
例:退席時にはPCの画面をロックし、机上の書類をキャビネットに保管する。
セキュリティケーブル
ノートPCなどの端末を盗難から守るために固定するケーブル。
机や什器にロックして持ち去りを防止する。
展示会やオフィスで広く使われている。
例:打ち合わせスペースのノートPCを机にワイヤーで固定する。
遠隔バックアップ
遠く離れた場所にあるサーバやクラウドにデータを保存する仕組み。
災害・火災・盗難などのリスク分散が目的。
自動化されていることが多い。
例:北海道の本社データを毎晩関西のデータセンターに送信する。