セキュリティインシデントの現状と多層防御 – T4Uのセキュリティ前編
※本記事は、T4U株式会社様によるゲスト投稿です。
セキュリティのイメージは 「あれも禁止、これも禁止といった、ビジネスの邪魔をする存在。阻害要因。」として認識されている場合が多いですね。 T4Uが提案するセキュリティソリューションでは、安全であるのはもちろん、ユーザーがパスワードの運用などの手間やルール遵守のために割く時間を、ビジネスのために使うことが出来て、ビジネスに集中できる環境を作ることが可能となります。
セキュリティインシデントの現状
ところで、情報漏洩がどのようになっているか、現状をご存知でしょうか?
下図は、2017年5月に日本ネットワークセキュリティ協会より発表された、2016年のセキュリティインシデントと、インシデントが発生した原因のグラフです。 びっくりするくらい漏洩人数が多いですね。
IPAが多層防御を提案した背景にあるとされている、日本年金機構の125万件にも及んだ個人情報の漏えい事件をはるかに上回る、1,510万人の情報漏洩の人数が報告されています。
右の円グラフでは、情報漏洩に対する原因の種類が報告されていますが、人為的なミスや、不正アクセス、ウィルス、システムのバグなど、多岐にわたっており、情報漏洩の原因の特定ができないことが現状です。
こうした背景から、一箇所だけ防御するのではなくて複数の防御が必要ではないの?ということで「多層防御」というセキュリティ対策が脚光を浴びるようになりました。
多層防御
「多層防御」とは、IPA(情報処理推進機構)が推奨するセキュリティの対策の方法となります。 2015年6月にIPAが推奨するセキュリティの対策として発表されました。 IPAによればセキュリティの防御として4つのポイントが挙げられています。 この4点を守ればいいよねということです。
1. ウイルス感染リスクの低減
2. 重要業務を行う端末やネットワークの分離
3. 重要情報が保存されているサーバーでの制限
4. 事後対応の準備
出典:情報処理推進機構 【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を
次の図を御覧いただきましたら、わかりやすいのではないかと思います。
企業が守るべき資産は「データ」です。 そのデータを守るために多層防御での対策が有効となります。 多層防御の4つのポイントにIT技術で対応できる対策として、ポイントとなるのは次の3点となります。
・認証対策:
許可されたユーザーのみがデータにアクセスできる事を確実にします。
・デバイス対策:
許可されたデバイスのみがシステムにアクセスできる事を確実にします。
・データ対策:
守られた環境において、監視、管理を徹底します。
T4Uが提供するソリューション 「VIPシステム」 は以下のように対応します。
 認証対策・ユーザーの認証 ・デバイスの認証 | 
| 静脈認証機器 |
| デバイス対策 ・デバイスのOS管理 ・アプリケーションのパッチ対応管理 |
| シンクライアント端末 |
| データ対策 ・守られたサーバー内でのデータ保管、暗号化 ・システムの監視 |
| ログ管理システム リアルタイム監視 |
※VIPの詳細な製品説明はこちら (外部リンク) ⇒ VIP Vein Identification Platformとは
・静脈認証で確実な本人の特定。
・シンクライアント端末で情報漏洩の防止。
・細かなアクセス制御オプション。
・自動暗号化ソフトと連携。
・完全なログの記録。
※後編は、10月19日(木) 公開予定です。
本記事の著者
| T4U株式会社 企画室 |
