セキュリティ管理とは？運用プロセスと実施方法を解説！

セキュリティ管理とは

セキュリティ管理の概要を見ていきましょう。

安全性を保つためのシステム運用・管理のこと

セキュリティ管理とは、ネットワーク上での安全性を確保するために行う、システム運用管理の１つです。具体的には、以下の管理が該当します。

ハードウェア管理

端末へのパスワード設定やバックアップなど

ソフトウェア管理

アクセス権限の設定など

ウイルス対策

セキュリティソフトの導入や定期的なスキャン

ネットワーク防御

ファイアウォールの設置、通信暗号化など

情報管理担当者は常にこれらの対策を行うとともに、情報システムを扱う従業員の監視・教育も必要です。社内で情報セキュリティポリシーが定められている場合は、それにしたがって対策を行います。

セキュリティの３要素を守る必要がある

適切なセキュリティ管理を行うには、以下の３要素を守らなければなりません。

• ■機密性（Confidantialy）
• ■完全性（Integrity）
• ■可用性（Availability）

これらは頭文字を取ってCIAと呼ばれます。セキュリティ管理で必要なのは、情報を守ることだけだけではありません。ビジネスでスムーズに情報を利用できるよう、保護と活用のバランスが大切です。では、それぞれ詳しく見ていきましょう。

機密性

機密性とは、適切な権限を持つ人物以外には情報にアクセスさせない状態のことです。パスワードやIPアドレスなどでユーザーを識別し、許可がないユーザーのアクセスを排除する仕組みが求められます。

機密性の確保は情報漏えい対策として欠かせません。第三者による不正アクセスに加え、従業員による不必要な情報の持ち出しも防止する必要があります。

完全性

完全性とは、情報を改ざんさせない状態のことです。これを確保する具体的な対策としては、情報の変更履歴の保存や操作制限が考えられます。

企業のデータを改ざんしようとするサイバー攻撃は少なくありません。特にWebサイトのデータを書き換えるケースが多いです。情報漏えいほどの被害がないため軽視されがちですが、企業の社会的信用を失墜させる大きなリスクと言えます。

可用性

可用性とは、アクセス権を持つ人物にスムーズに情報を利用させられる状態のことです。具体的には、バックアップやシステム二重化による災害・サイバー攻撃対策などを行います。

可用性は機密性と相反する性質を持ちます。たとえば、IPアドレスでユーザーを識別する場合、ユーザーは普段と違う端末からデータにアクセスできません。これでは、出張やテレワークにおけるデータの可用性に支障をきたすことがあるでしょう。

どちらか一方に偏ってはいけないため、うまくバランスを調節する必要があります。

セキュリティ管理のプロセス

セキュリティ管理は、以下の４段階で行われます。

【計画】

どのような対策を行うのか考えます。その際、現在のセキュリティ状況を把握し、保護すべき対象を明確にしましょう。各部門にヒアリングなどを行い、施すべき対策を洗い出します。

【実行】

計画に基づき、実際に対策を導入する段階です。各部門にセキュリティ担当者を選任するなどし、協力しながら進めましょう。

【確認】

実行した結果、発生した問題を整理します。想定したセキュリティ対策効果が認められるか、また社内で適切に対策の導入が進んでいるか確認しましょう。

【改善】

確認した問題の解決方法を考える段階です。対策方法の見直しや、それを社内に浸透させるために社員教育などが必要になるでしょう。

最後の【改善】で見出した問題点の解決方法は、【計画】段階に戻って具体的に検討します。上記の４プロセスを円滑に回し、徐々に効果を高めていきましょう。

セキュリティ管理を行う方法

セキュリティ管理を行う方法を見ていきましょう。

アクセス制御やログ管理などを行う

情報セキュリティ管理において、行うべき対策は多岐に渡ります。いくつかの例を見ていきましょう。

不正侵入対策

アクセス制御やファイアウォールの設置、ログ管理など

ウイルス対策

セキュリティソフトの導入、Web閲覧のフィルタリングなど

情報漏えい対策

通信の暗号化、機器の廃棄方法の管理など

災害対策

バックアップ、予備電源の確保など

同じ目的でも、ネットワーク層での対策や端末レベルでの対策、また人的セキュリティも必要になるでしょう。このように、多方面からセキュリティ対策を進める必要があります。

セキュリティ管理・統合運用管理ツールを導入する

セキュリティ管理システムとは、その名のとおりセキュリティ管理を行うためのITシステムです。ログ管理機能やウイルスチェック機能、デバイス制限機能などを備えています。セキュリティ管理システムがあれば、効率的で無駄のない対策が実現するでしょう。

ただし、ツールを導入して終わりではありません。導入後に適切に運用する体制を構築し、セキュリティ管理プロセスを上手く回すことが求められます。そのため、企業にあるシステムを一元管理することのできる統合運用管理ツールの導入も検討しましょう。

自社での対策が難しい場合はアウトソースする

セキュリティ管理は、自社で完結させるのが難しい場合があります。「ひとり情シス」という言葉があるように、社内のIT関連業務を担う人手が足りないケースが少なくありません。

そのような場合は、専門業者への委託を考えましょう。少ない人手で業務を行うには、限られた労力を本当に必要な部分に割り当てることが大切です。社外に任せても問題ない部分を洗い出し、アウトソースすることで円滑なセキュリティ管理が実現するでしょう。

ただし、すべての管理を業者に丸投げするのは望ましくありません。余計なコストやリスクが発生するおそれがあるためです。セキュリティ管理の全体像をよく把握したうえで、委託する業務を選定することが大切です。

セキュリティ管理を行い、システムの安全性を維持しよう

セキュリティ管理とは、安全性の確保を目的としてシステムを運用・管理することです。機密性・完全性・可用性の３要素を守る必要があります。計画・実行・確認・改善の４プロセスを回すことで実現します。セキュリティ管理を行う方法は以下のとおりです。

• ■アクセス制御やログ管理などの対策をとる
• ■セキュリティ管理システムで上記の対策を円滑化する
• ■専門業者に委託する

以上を踏まえ、適切なセキュリティ管理を目指しましょう。