DXコラム

2024.04.11

情報セキュリティ対策、どこまでやるの?!

情報セキュリティは、現代のビジネスにおいて重要な要素となっています。特に、顧客情報を取り扱う保険代理店にとっては、情報漏洩は大きな経営リスクとなります。しかし、中小規模の保険代理店では、大きな費用を情報セキュリティに投じることは難しいかもしれません。そこで、この記事では、インフラ・管理・教育の3つの分野における最低限の情報セキュリティ対策と、可能であれば実施すべき追加対策をご案内します。

 

【インフラ分野】ファイアウォールとアンチウイルスソフトのタイムリーなアップデート

インフラ分野においては、ファイアウォールとアンチウイルスソフトの導入が最低限の対策になります。ファイアウォールは外部からのウィルス等の侵入を防ぐ仕組みであり、アンチウィルスソフトは、社内ネットワークにあるサーバやパソコンに侵入したウィルスの実行や拡散を防ぐ組みです。ほとんどの保険代理店で導入されていますが、これらは最新の状態にアップデートをしておかないと効果的に機能しません。ファイアウォールは基本的な制御プログラムとなるファームウェアがあり、製造元から定期的にアップデートされるため、タイムリーにインストールしていく必要があります。ファームウェアのアップデートを行わないと、バグが放置されたり、新しい脅威に対する機能が有効化しなかったりして、大きなリスクが発生します。ネットワーク工事会社などの外部委託先に依存しがちな分野ですので、対応状況を確認することを強くお勧めします。また、アンチウィルスソフトについても、ウィルス定義ファイルを定期的にアップデートする必要があります。自動更新機能をオフにしている場合は、自動更新に切り替えるか、更新状況を定期的に確認してユーザーに更新を促す体制を整えることが必要です。

 

追加対策として弊社で実施していることの一つとして、悪質なサイトへの接続を遮断する出口対策があります。弊社では次世代型ファイアウォールを導入し、ウィルス定義ファイルの自動更新や悪質なサイトへの通信を検知・遮断する機能を実装しています。次世代型ファイアウォールはランニング費用が高額ですが、かなり有効な対策と認識しています。その他には、アンチウィルスソフトに上乗せする形で、「エンドポイント検出応答ソリューション(EDR)」と呼ばれる仕組みを導入しており、パソコンだけでなく、ネットワークやクラウドにまたがるデータを分析して脅威を発見・分析・対処できる仕組みを構築しています。また、脱PPAPにむけたメール転送サービスの導入も推進中です。

 

【管理分野】パスワードポリシーの強化

多くの保険代理店では、保険会社が提供する保険代理店システム以外にも、数多くのクラウドサービスを利用しています。モバイルワークも進展し、外部からアクセスできるシステムも増えています。これらのシステムに設定するパスワードのルールはどのようになっていますでしょうか。かつては8桁の英大小文字+数字で設定すれば安全とされていましたが、現在ではそのようなパスワードは容易に解読されてしまいます。。
4年前の情報で恐縮ですが、Reddit社の発表した調査結果(※)によると英大小文字+数字からなる8桁のパスワードは1秒以内に解読可能です。したがって、英大文字+英小文字+数字であれば、少なくとも12桁のパスワードを設定する必要があります。弊社でも原則として、記号も含めて12桁以上のパスワードを設定しています。(※日本語訳されたものに加えて、複雑なパスワードを管理する良い方法を提案されている杏林大学 総合情報センターさんのサイトが参考になります。)
クラウドサービスの中にはパスワードの設定ルールを変更できないものがあるので導入前に確認が必要です。

 

追加対策としては、二段階・二要素認証SAML認証を実装すること、ログインできるアクセス元を制御できる”グローバルIPによるアクセス制限”を設定すること、外部からのアクセスには会社支給のデバイスからしかアクセスできないようにすることなど、システムや利用シーンに応じて様々な対策を講じています。

 

【教育分野】情報セキュリティ講座の受講

保険会社から受講を義務付けられている個人情報保護や情報セキュリティの講座がありますが、弊社ではそれに加えて伊藤忠グループが提供する各種情報セキュリティ講座も全社員で受講しています。受講後には独自に作成したセルフチェック型のアンケートを実施し、受講内容の定着を図っています。

 

追加の施策として、”標的型メール対応訓練”を実施しています。標的型メールとは、特定の個人や組織に対して行われる、悪意のあるリンクやファイルを含むメールを通じたサイバー攻撃です。標的型メールが厄介であるのは、社内関係者や取引先など身近な人になりすまして、また日常的にやり取りするような文面で送られてきて、悪意のあるメールかどうかの見分けがつきにくいことです。昨年度の対応訓練では、弊社社長を送信元としてメールを配信し、本来クリックしてはいけないURLを検知できるか、という内容で実施しました。メールには、よくよく見てみたら分かるよね、という疑わしい箇所をいくつか埋め込んでおくものです。毎年継続して実施することをお勧めします。

 

 


“お客さまの情報を守るために経営リスクとして認識して対応していきましょう”

 

以上、一助になれば幸いです。

 

(編集長・P太郎) 

 

⇒情報セキュリティにまつわるインフラ整備・教育訓練に関するご相談はこちらから

お問合せ先

事例やコラムに関するご照会、案件に関するご相談やお見積は以下のフォームからお問合せください。

保険代理店DX支援に関するお問合せ