JAPHICマーク取得企業は、非取得企業と比べて堅固な情報セキュリティ体制を維持する必要があります。
それは、顧客や取引先からの信頼性が高いことや、今後もマークの更新をしていかなければいけないことが理由です。
ここからは、そんなJAPHICマーク取得企業が採り入れたい、情報セキュリティの仕組みについて解説します。
アノマリー
アノマリーとは、日本語で“異常”を意味する言葉で、はじめに定義した平常値の範囲からはずれた通信を異常とし、不正アクセスを検知する方法です。
アノマリーを検知することをアノマリー検知といいます。
具体的には、通常時の通信パターン(プロトコル、通信先、トラフィック量等)とは異なる挙動が検知された場合にアラートを発し、JAPHICマーク取得企業における不正アクセスの予防や被害を低減する仕組みです。
エンドポイント対策
エンドポイントとは、英語で“終点”、“端点”などを意味する言葉で、IT用語では通信ネットワークに接続された端末や機器のことを指します。
例えば、ユーザーが操作するコンピュータやタブレット端末、スマートフォン、サーバ、プリンターなどがエンドポイントに当たります。
JAPHICマーク取得企業におけるクラウド活用の増加、IoT機器の普及、働く場所の変化などから、エンドポイントとなる端末の種類やアクセスする場所は増加しています。
近年では、多種多様なエンドポイントに対応する情報セキュリティ対策が求められています。
マルバタイジング対策
マルバタイズメントは、マルウェア(Malware)と広告(Advertisement)を合わせた用語で、マルウェア感染などを引き起こす悪意のある広告を意味します。
また、マルバタイズメントを用いることを、マルバタイジングといいます。
タイポスクワッティングを用いた偽ドメインを立ち上げ、Google検索等の広告に表示させることでユーザーを欺き、マルウェアなどをインストールさせる手法が多用されています。
これまでに、フリーソフトのBlenderやCCleaner、VLC、GIMP、7-Zip、Notepad++などを装った偽サイトによる被害が発生しています。
また、日本を含むアジア地域においては、LINEやTelegramなどの偽装ダウンロードサイトも確認されています。
JAPHICマーク取得企業は、自社とその顧客を保護するために、これらへの適切な対策を取らなければいけません。
パスワードレス
パスワードレスあるいはパスワードレス認証とは、ユーザーがパスワードを入力することなく、システムやアプリにログインできる認証方法を指します。
パスワードに代わる手段としては、生体認証やハードウェアトークンなどが用いられます。
パスワードに対しては、ブルートフォースなどさまざまな攻撃方法があり、脆弱性を抱えています。
そのため、海外の大手企業などでは、多要素認証を活用したパスワードレス機能を提供するところも増えています。
次世代ファイアウォール
次世代ファイアウォールとは、従来のファイアウォールの機能を拡張したセキュリティ製品です。
一般的な次世代ファイアウォールは、ディープパケットインスペクションを用いた高度なファイアウォール機能に加えて、IPS/IDS、暗号化通信の可視化、アンチウイルス機能などさまざまな付加機能を搭載しています。
従来のファイアウォールは、IPアドレスとポート番号を見てアクセス可否を判断するものでしたが、次世代ファイアウォールはアプリケーションごとにアクセスの許可・不許可を制御する機能を備えることで、きめ細かなセキュリティ対策を行えるようになっています。
まとめ
ここまで、JAPHICマーク取得企業が採り入れたい、情報セキュリティの仕組みについて解説しましたが、いかがでしたでしょうか?
今回解説した仕組みは、JAPHICマーク取得企業やそのステークホルダーにとっての安全を確保する仕組みですが、当然すべて導入しなければいけないわけではありません。
必要性や社内外のニーズ、コストなど、さまざまな点を考慮した上で、最善の策を採り入れましょう。
