SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

セキュリティのデジタルリテラシーを高めよう

「Rely on tool, not people」日本企業が再考すべきセキュリティの在り方を指南

【第4回】セキュリティのコストは、2番目に考えよう

 前回は、今やるべきユーザー端末側(エンドポイント)のセキュリティ対策について解説しました。本連載の最終回では、データベースやサーバーのセキュリティ対策をはじめ、組織としてのセキュリティ対策への取り組み方、投資コストの捉え方という視点で解説します。

全データを暗号化する必要はあるのか

 いきなりですが、ハッカーが狙いたいものとは何でしょうか。当然ながら、多くのハッカーが狙いたいものは「企業のデータ」です。そのため、データが格納されているデータベースは、真っ先に攻撃の標的となるシステムの1つです。このとき、有効となるセキュリティ対策こそが「暗号化」です。

 よく見受けられるセキュリティホールとして、“データベース内の特定カラムのみ暗号化”しているケースが挙げられます。たとえば、盗まれたときの被害が大きなクレジッドカード番号のみを暗号化しているという企業も多いのではないでしょうか。しかしながら、氏名、住所、電話番号、生年月日なども盗まれ、公開されてしまうと被害が発生します。つまり、クレジッドカード番号以外を暗号化せずに平文で格納していることがリスクとなるのです。

 そのため、全てのデータベースを暗号化することをおすすめします。もちろん、認証を通したアクセスであれば、暗号化したままでもデータを利用することも可能ですので、業務に支障をきたしません。

 一方で、サーバー側については、端末側のセキュリティ対策と同様に“実行可能なアプリケーションのアラウドリスト”を設定することがおすすめです。アラウドリストを設定しておくことで、許可されていないプログラムは実行できないため、アプリケーションをトリガーとした攻撃は難しくなります。また、異常を迅速に検知できるように、サーバーのプロセス内で生成されるスレッドを監視する「スレッド監視」といったツールも有効です。

 なお、ルーターやIoTデバイスなどには、ベンダー独自のOSが入っている場合が多いことをご存知でしょうか。そのためリスクは高くなく、あまり意識しなくてもよいでしょう。むしろ、これらの端末に転送されるデータが適切に暗号化されているかどうかが重要なのです

次のページ
会社の規模やニーズにあわせてセキュリティソリューションを選ぶ

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
セキュリティのデジタルリテラシーを高めよう連載記事一覧

もっと読む

この記事の著者

ジェリー・レイ(Jerry Ray)(ジェリー・レイ)

SecureAge Technology 最高執行責任者(COO) 兼 SecureAge 株式会社 社長   1991年、コーネル大学でオペレーションズリサーチ工学の学位を取得。 その後、十数年にわたり日本やシンガポールを拠点に、米国系エンタープライズ・ソフトウェア企業や複数の...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15057 2021/10/19 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング