　数多くの従業員や外部関係者に特権アクセス権限を与えると、データ流出のリスクが高まる。「必要な人」に「必要なアクセス権限」を与えることを軸にした厳しいアクセス制限によって、安全性を高めることができる。そのためにはアクセス権限のポリシーを策定し、常時監視することが大切だ。アクセス管理ツールを使えば、アクセス管理作業の効率化を図れる。

3．脆弱性の特定と修正

　脆弱（ぜいじゃく）性を評価することで、データ流出につながりかねないセキュリティの弱点を突き止め、優先順位を付けて対策を講じられるようになる。特に重要なのは、高リスクの脆弱性に対してパッチ（修正プログラム）を定期的に適用することだ。攻撃者はパッチ未適用の脆弱性をよく悪用している。

4．ネットワークにおける防御

　基本的なセキュリティ対策として欠かせないのは、ネットワークにおける防御だ。ネットワークにおける防御はファイアウォール、侵入検知システム（IDS）や侵入防止システム（IPS）、アクセス制御ツールなどで構成される。ネットワークにおける防御を適切に実施することで、不正アクセスのリスクを大きく減らすことができる。

5．エンドポイント保護

　マルウェア検知ツールをはじめ、PCやスマートフォンといったエンドポイントを守る対策は非常に重要だ。テレワークの普及により、さまざまなデバイスからシステムにアクセスすることが広がり、これまで以上にエンドポイントを管理してマルウェア感染を防ぐことが求められている。そのための手っ取り早い方法が、エンドポイントセキュリティツールの導入だ。

6．攻撃の横展開を阻止

　攻撃者がシステムに侵入した後、次にすることはシステム内で攻撃の範囲を広げるという横展開だ。システム領域をきめ細かく分離する「マイクロセグメンテーション」の手法を用いることで、攻撃の影響がシステム内部で広がることを防ぎ、データ流出の被害抑止が可能になる。

7．データの暗号化

　機密情報を守る上では、アクセスした人が読み取れないように暗号化することが大切だ。データが保存されている場所での暗号化だけではなく、データを転送したり移動させたりする際の暗号化も含まれる。

8．厳格なパスワードポリシー

　パスワードポリシーを策定し、従業員や外部関係者がアクセスする全てのシステムに対して実施する。強力なパスワードを設定する要件としては以下が挙げられる。

パスワードの最小文字数
大文字、小文字、数字、特殊文字の使用
ブロックが適用されるまでのパスワードの最大試行回数
定期的なパスワード変更の義務化
MFA（多要素認証）の実装
パスワード管理ツールの使用

9．システム監視

　脅威検知ツールを使った高度なシステム監視は、迅速に攻撃を発見してブロックするために不可欠だ。近年は人工知能（AI）技術を取り入れて脅威の検知や対処を自動化できるツールが登場している。ユーザーの行動を分析してパターン化し、異常に気付いたらアラートを発する機能を備えた製品もある。

10．セキュリティ監査

　セキュリティ監査を実施することで、自社のセキュリティ対策が業界標準であるかどうかや、ベンチマークと比較してどの水準にあるかについて公式見解を得られる。それによってセキュリティの問題を発見し、攻撃に悪用される前に修正することが可能だ。

11．セキュリティ研修

　機密情報を扱う関係者（従業員や外部関係者）に対し、セキュリティ意識を高める研修を実施することも重要だ。データ流出を巡り、最大の脆弱性は「人間」だとよく言われる。研修では、データ利用指針やパスワードポリシー、フィッシングといった攻撃による被害を防ぐための注意点などを、分かりやすく伝えることがポイントになる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

TechTargetジャパントップセキュリティ