「端末やNWの分離」「事後対応の準備」など、年金機構の情報漏洩事件を想起させる内容
IPA「ウイルス感染することを想定して」多層防御を呼びかけ
2015年06月03日 13時30分更新
情報処理推進機構(IPA)は6月2日、企業や組織の情報セキュリティ対策や運用管理における「多層防御」に取り組むよう注意喚起を行った。ウイルス感染の予防だけに注目するのではなく、感染してしまった場合でも被害を回避/低減できるそのほかの対策も併せて実施するよう呼びかけている。
IPAの注意喚起文書。「ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策を多層で行う必要があります」としている
多層防御(多段防御)とは、ネットワーク内の単一のポイント、単一の対策手段だけでシステムやデータを保護しようとするのではなく、複数のポイントで複数の対策を講じることで、全体としてリスクを低減させるという情報セキュリティの考え方だ。
発表された注意喚起文書では、「多層防御のポイント」として、「ウイルス感染リスクの低減」のほかに「重要業務を行う端末やネットワークの分離」「重要情報が保存されているサーバーでの制限」「事後対応の準備」が挙げられており、6月1日に公表された日本年金機構における約125万件の個人情報漏洩事件を想起させる内容となっている。
たとえば「重要業務を行う端末やネットワークの分離」の項では、具体的な対策として「一般の端末と重要業務システムとの分離」「部署など業務単位でのネットワークの分離」を挙げたうえで、IPAが過去に発行している参考資料(セキュリティガイド)へのリンクを紹介している。中小規模の企業や組織も含め、あらためて情報セキュリティと多層防御の状況をチェックするためにも有用だろう。
