セキュリティ事故が発生すると、企業は信用を失うだけでなく、法的な責任を負う可能性もあります。
万が一にも社内ネットワークでセキュリティトラブルが起こらないよう、リスクを把握し、それぞれに適した対策を講じましょう。
この記事では、社内ネットワークのセキュリティリスクについて解説するとともに、具体的な対策方法を紹介しています。
参考記事:社内ネットワークの基礎知識まとめ|仕組みや構築方法を解説
目次
社内ネットワークで起こりうるセキュリティリスクには、ヒューマンエラーや内部不正、シャドーITに起因するトラブルなどが挙げられます。
これらのリスクがあることを把握していないと、適切なセキュリティ対策が実施できません。
以下、それぞれのリスクについて理解を深めておきましょう。
インターネットの接続環境を構築するための社外ネットワークに対し、社内ネットワークは個々のパソコンや複合機などの間で構成されるのが特徴です。
そのため、社内ネットワークにおけるセキュリティリスクは、外部からの攻撃よりも内部の問題によって高まります。
従業員による内部不正もその一つで、機密情報の不正持ち出しや内部データの書き換えなどが代表例として挙げられます。
退職後や在職中の従業員によって引き起こされるこれらの事故は、故意にしろ意図していないにしろ、セキュリティ対策が十分ではなかった結果と言わざるを得ません。
万が一、持ち出された機密情報が流出すれば、信用問題や損害賠償などの大きなトラブルに発展する可能性があるため注意が必要です。
従業員側に悪意がなくても、過失によってセキュリティトラブルへと発展するケースもあります。
たとえば、メールの誤送信によって取引先の機密情報が外部に流出したり、外部記憶媒体を紛失して悪意のある第三者に重要なデータが渡ったりといったケースが挙げられるでしょう。
また、自社の従業員ではなく、取引先のヒューマンエラーによって自社の機密情報が漏えいするリスクも考えられます。
自社内でのみ発生するヒューマンエラーに対して、取引先で起こる問題はコントロールが困難なため、適切な予防策を講じる必要があります。
シャドーITとは、企業の管理部門の許可を得ず、従業員が独断で使用するIT機器やデバイスにインストールしたソフトウェアを指します。
従業員が、禁止されているにもかかわらず怪しいWebサイトにアクセスしたり、意図せず悪意のあるソフトウェアをインストールしたりするケースは少なくありません。
その結果、当該デバイスからのマルウェア感染や、社内ネットワークがサイバー攻撃のターゲットになる等のリスクが高まってしまいます。
また、私物のUSBやタブレットによるサイバーウイルスの持ち込みも発生しうるため、従業員の使用するデバイスにはルールを設ける必要があるでしょう。
\はじめに実践すべき対策を解説!/
社内ネットワークのセキュリティを強化するための主な対策としては、以下のようなものが挙げられます。
自社内ネットワークの現状を把握し、セキュリティの弱い部分をしっかりカバーできるよう強化対策を行いましょう。
社内ネットワークのセキュリティトラブルは、組織内部での不正や過失などが主な原因になるため、従業員のリテラシー教育が不可欠です。
世代や普段の利用頻度によって、インターネットやリスクに対する理解には大きな個人差があります。
そのため、従業員によってリテラシーに差が生まれないよう、一部に対してだけでなく、全体のレベルの底上げを目標にして教育を実施する必要があるでしょう。
従業員向けのリテラシー教育には、定期的に教育の時間を設けたり、教育ツールを使ったりといった方法が考えられます。
ただし、どのような手法を講じるとしても、まずはセキュリティポリシーを策定することが肝要です。
情報セキュリティポリシーには、基本方針と対策基準、実施手順の3点を盛り込む必要があります。とくに基本方針は、情報セキュリティの基礎になるため、セキュリティ対策の必要性や共通理念、違反への対応などを記しておきましょう。
USBメモリやSDカードをはじめとする外部記憶媒体は、端末に保存したデータを手軽に別の端末へと移行できて便利ですが、さまざまなリスクも持ち合わせています。
たとえば、外部からLAN内にウイルスデータを持ち込む要因となったり、従業員が社内から個人情報を持ち出したりといったリスクが挙げられます。
そのため、社内ネットワークにおけるセキュリティリスクを軽減する方法として、これらの外部記憶媒体の利用を制限するのも一案でしょう。
制限を実施する際は、USBポートを塞いで外部記録装置の使用を禁止できる、USBポートロックのような機器が活用できます。
外部記憶媒体の利用を許可する場合でも、利用範囲や利用できる場所などのルールを設けることが大切です。
UTM(Unified Threat Management)とは、コンピューターネットワークを包括的に保護する管理手法です。
ファイアウォールやWebフィルタリング、アンチスパム、アンチウイルスといったセキュリティ機能が一つの製品に集約されています。
LANケーブルでモデムやルーターと接続し、UTM機器(UTMアプライアンス)を介して社内ネットワークを構築します。
インターネットの出入り口に設置されるため、社外からの攻撃だけでなく、社内からの情報流出や有害サイトへのアクセス防止が可能です。
さまざまなセキュリティ機器を取り入れる場合にはコストがかかりますが、UTMであれば、一台で社内ネットワークのセキュリティレベル向上を可能にします。
参考記事:UTM(統合脅威管理)とは?概要や主な機能、導入事例を解説
Webフィルタリングとは、Webサイトへのアクセスを制御するための技術や機能のことです。
アダルトサイトや違法薬物、ギャンブル、犯罪行為など、特定のカテゴリに属するWebサイトへのアクセスを遮断できるため、シャドーIT対策としても効果を発揮します。
Webフィルタリングには複数の種類があるため、それぞれの特徴を把握しておきましょう。
Webフィルタリングの種類 | 特徴 |
ブラックリスト方式 | ・不適切なサイトをリスト化しアクセスをブロックする ・幅広いサイトを自動でブロックできるため管理が容易 ・リストに載る前の有害サイトにはアクセスできる可能性がある |
ホワイトリスト方式 | ・許可されたサイトへのみアクセスを可能にする ・安全なサイトへのみアクセスが可能でセキュリティが高い ・許可されたサイト以外にアクセスできないため、柔軟性が低く手間がかかる |
カテゴリフィルタリング方式 | ・サイトをカテゴリ別に分類し、特定カテゴリへのアクセスを制限する ・特定のカテゴリ全体をまとめて制限できるため設定が効率的 ・カテゴリ分類の誤りや曖昧なサイトがフィルタをすり抜ける可能性がある |
レイティング方式 | ・サイトの評価に基づき、年齢や内容に応じてアクセスを制限する ・コンテンツの年齢制限や内容に応じて柔軟にフィルタリングできる ・レイティングが不正確な場合や評価が適切でない場合に、誤ったフィルタリングが起こる可能性がある |
VPNを活用すれば、社外からでも安全に社内ネットワークにアクセスすることが可能です。
共有データも社内から持ち出すことなく閲覧できるため、情報漏えいや紛失のリスクを軽減できます。
また、物理的な専用線を引く場合に比べ、大幅にコストを抑えられるのも大きなメリットです。
VPNにはさまざまな種類やプランがあるため、自社の要件に合わせて選び分けることが大切です。
インターネットVPNであれば安価に利用できますが、安定した通信環境を重視する場合は、多少コストが増えてもIP-VPNや広域イーサネットを選ぶ方がよいでしょう。
参考記事:VPNを社内ネットワークに活用するには?活用方法や注意点を解説
IT資産管理とは、企業や団体が保有する次のようなIT資産の状況を把握し、適正な状態に維持・管理することです。
適切にIT資産管理を行うことで、資産ごとの稼働状況やユーザーの利用状態、ログなどを一目で把握でき、セキュリティトラブルの早期発見や原因究明が可能になります。
また、ユーザーごとの設定履歴やアクセス履歴なども確認できるため、セキュリティだけでなくコンプライアンスの強化にもつながるでしょう。
参考記事:IT資産管理とは?目的や活用できるツールの種類、導入時の選び方を解説
社内ネットワークにおけるセキュリティリスクは、人的ミスや情報への不正アクセスなど、内部で起こる問題によって高まります。
そのため企業は、従業員に向けたリテラシー教育の実施やセキュリティツールの導入など、適切な対策を講じなければなりません。
セキュリティツールには、UTMやVPNの活用を検討し、さまざまな方向からセキュリティレベルを強化していきましょう。
FLESPEEQ UTM【クラウド型】では、仮想UTMとインターネット接続をセットでご提供するため、安全にインターネットをご利用いただけます。FLESPEEQ VPNと組み合わせることで、セキュアな拠点間通信とインターネット通信を実現できます。
また、FLESPEEQ Web Accessは、セキュアなリモートアクセスを求める場合におすすめです。手厚い運用サービスで、情シス担当者様不在でも安心して導入していただけます。
日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。