情報セキュリティ対策に銀の弾丸はない

CTC教育サービスはコラム「情報セキュリティ対策に銀の弾丸はない 」を公開しました。

＃＃＃
こんにちは、デジタルサポート大喜多です。
前回までしばらくAWSのネットワークについてお話ししてきました。そして書くべき事はまだまだたくさんあるのですが、今回は昨今問題になっている情報セキュリティの話をしたいと思います。

　なぜ今情報セキュリティが話題になっているのか？注目度が極めて高いのは、やはり「標的型攻撃」「マイナンバー」というキーワードです。今回は前者にフォーカスしてお話を致します。

日本年金機構、標的型攻撃で年金情報流出
(リンク »)

作った人が明かすマイナンバー　プライバシーの勘所
(リンク »)

　法人向けICTサービスを提供している企業様とお話しする機会が多いのですが、やはりお客様からのご相談が非常に多くなったそうです。日々そのような企業様の活動をご支援しているのが私の日々の業務なのですが、以下の言葉を聞いて愕然としました。

「これを入れれば年金機構で起きたトラブルは防げます！というソリューションが欲しい」

先日も「攻撃を検知して通信を遮断する仕組みを」という話をされた政府関係者の方がいらっしゃいましたが
残念ながら、情報セキュリティ対策とは、そのような単純な問題ではありません。

　IPA(情報処理推進機構)では、多くの情報セキュリティに関するドキュメントを作成・配布しています。本当に数多くのドキュメントがあるのですが、今回は比較的とっつきやすい

IPA対策のしおりシリーズ
(リンク »)

について触れてみたいと思います。
標的型攻撃メールについてはこちらの資料に解説があります。
非常に分かりやすく書かれており、一読をおすすめします。

標的型攻撃メール<危険回避>対策のしおり（第1版）
(リンク »)

　読んでいただければわかると思いますが、対策はひとつではないのです。
主な対策としては「従業員教育」「システムによる対策(URLフィルタ/アンチウイルスソフト等)」「ソフトウェアの脆弱性対策(バージョンアップ)」「問題が発生したときの組織としての対策」が挙げられると思います。このことから分かるとおり、「何かを入れれば完全に防げる」というものではなく、情報システムに対しての複合的な対策、そして何よりも「組織と所属員の正しい理解」が最も重要だと考えます。

この続きは以下をご覧ください
(リンク »)