情報セキュリティとは|基本の3要素と4つの追加要素・企業が行うべき対策
情報セキュリティ対策は、企業が所有している情報資産を守るために重要であり、優先度の高い業務だといえます。正しい情報セキュリティ対策を行うためには、情報セキュリティの基本を理解し、企業の実態に適したセキュリティ方法を取り入れることが必要です。
本記事では、情報セキュリティの基本から重要性・必要な対策について解説していきます。企業としてどのような対策をおこなうべきか、ぜひ参考にしてください。
目次
[ 開く ]
[ 閉じる ]
情報セキュリティとは
情報セキュリティ対策とは、企業が所有している情報資産を情報漏えいや紛失・ウイルス感染などから守るために行う対策のことです。トラブルが生じた後の被害を最小限に抑えるための対策も、情報セキュリティ対策となります。
セキュリティに関するトラブルを「セキュリティインシデント」と呼び、標的型攻撃やランサムウェア・Web改ざん・機器障害・内部不正などが挙げられます。これらに対して企業が取り組むことで自社の情報を守れるだけではなく、顧客や取引先を保護することにもつながるのです。
情報セキュリティの7要素
情報セキュリティは以下の7つの要素が定義されています。
情報セキュリティの要素
| 基本の3要素 | 機密性 |
|---|---|
| 完全性 | |
| 可用性 | |
| 追加された4要素 | 真正性 |
| 信頼性 | |
| 責任追跡性 | |
| 否認防止 |
基本の3要素
情報セキュリティが保持されている状態の基本として、日本産業製品企画(JIS)において、以下3つの内容が定義されています。
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
基本の3要素はアルファベットの頭文字をとってCIAとも呼ばれています。それぞれ詳しく見ていきましょう。
機密性
機密性は、権利を持った人だけが特定の情報にアクセスできる、または利用できる状態にすることを指します。保持していない場合は情報漏洩や不正アクセスにつながり、甚大な被害を発生させる可能性があります。具体的にはアクセス権を管理したり、パスワードを設定したりすることで機密性の担保できている状態です。各種情報にアクセスできる役職を定めたり、パスワードを設定したりしましょう。
完全性
情報が破損・改ざんされていない状態が保たれていることを完全性と言います。情報が改ざんされていてもすぐに発見できるため、基本要素として完全性が求められているのです。
アクセス履歴・変更履歴の保存やバックアップのルールを定めることで、情報の完全性を担保できます。
可用性
情報をいつでも使えるような状態にしておくことを可用性と言います。定期的なバックアップや遠隔地でのバックアップデータ保管、情報のクラウド化が可溶性に該当します。守られていない場合はシステム停止に追い込まれ、業務をはじめとしたあらゆる企業活動がストップしてしまう原因となるでしょう。
4つの追加要素
情報セキュリティの定義とされている3要素に加え、JIS Q 27000:2014では新要素として真正性・責任追跡性・否認防止・信頼性などの特性を含める場合もあると記述されました。
これらの情報セキュリティについて正しい知識を持ったうえで、対策をおこなうことが重要です。また、機器などに対策を施すだけでなく、セキュリティリスクに関する社員教育など組織全体のマネジメントも、情報セキュリティ対策には不可欠です。それぞれ詳しく見てみましょう。
真正性
情報セキュリティのおける真正性とは、誰がその情報を作成したのかを、作成者に権限を付与して証明できるようにした状態です。紙媒体であれば企業の角印などが証明となりますが、PDFのようなものでも真正性を証明できる署名方法を行うことで真正性を担保できます。
信頼性
信頼性とは、システムが求める基準を満たしている状態を指します。ログの所持・保管などができていないものは信頼性が低いと判断され、一方で故障やトラブルが少ないものは信頼性が高いと言われます。
責任追跡性
誰かが情報に手を加えた場合に、誰が何に対してどんな作業をしたのかを残すことを責任追跡性と言います。主にアクセスログがそれに該当し、責任の所在を明確にするために重要とされています。
否認防止
第三者によって情報が書き換えられた際に、変更した人物に「やってない」と言わせないための措置を否認防止と言います。情報を作成した際に電子署名を付与しておくことで、否認防止につながります。
情報セキュリティに関するリスク
情報セキュリティに関するリスクには、大きく分けると「脅威」と「脆弱性」の2種類があります。これらのリスクは、さらに以下のように細分化できます。
情報セキュリティのリスク
| 情報セキュリティにおける脆弱性 | ソフトウェアの脆弱性 |
|---|---|
| 管理文書・体制の不備 | |
| 災害やトラブルに弱い立地 |
情報セキュリティにおける脅威
情報セキュリティにおける「脅威」とは、情報の窃取や不正利用をはじめとするリスクを発生させる要因のことです。驚異の中には、それぞれ「意図的脅威」「偶発的脅威」「環境的脅威」の3つがあります。それぞれ詳しく見ていきましょう。
意図的脅威
意図的行為は、盗聴や盗難、情報改ざんや不正アクセスなどの第三者による悪意ある行為です。ウイルス感染も意図的脅威に該当します。また、元従業員による機密データ持ち出しもこれに該当します。意図的脅威が発生することで、個人情報や機密情報が漏えい・流出したり、漏れ出た情報から不正利用につながったりする可能性があるため対策しなければなりません。
偶発的脅威
偶発的脅威とは、ひと言で言えばヒューマンエラーで引き起こされる脅威のことです。会話中に機密情報を漏らしてしまったり、社内ルールを破って情報が入った記憶媒体やパソコンを持ち出したりした結果脅威にさらされる状態を指します。ヒューマンエラーであるため完全に防止することは難しいのですが、社内のルールと遵守を徹底することで牽制になるでしょう。
環境的脅威
自然災害や火災を原因とするセキュリティリスクのことを環境的脅威と言います。発生頻度自体は少ないものの、特に電気の停止でシステムや情報が機能しなくなり、結果として業務を停止させてしまうものです。対策は難しいですが、遠隔地にあるサーバーに情報のバックアップを保存しておく方法があります。支店や営業所がある場合はそれらのサーバーに保管しておくとよいかもしれません。
情報セキュリティにおける脆弱性
情報セキュリティにおける「脆弱性」とは、先に解説した脅威を引き起こす欠陥のことです。ソフトウェアの保守が不足している、通信回線にパスワードや保護が設定されていないなどが原因とされています。この脆弱性は、ソフトウェアの脆弱性と管理文書・体制の不備、災害やトラブルに弱い立地の3点です。詳しく解説します。
ソフトウェアの脆弱性
ソフトウェアの脆弱性とは、OSやソフトウェアなどの設計上存在するミスや血管のことを指します。セキュリティホールとも呼ばれますが、これらの脆弱性を突いて情報が抜き取られたり、不正アクセスされたりすることです。最悪の場合、パソコンやシステムが使えなくなるなどのトラブルに巻き込まれる可能性があります。
管理文書・体制の不備
管理文書・体制の不備とは、重要なデータや情報を管理する体制が整っておらず、誰でも情報を持ち出せる状況を指します。紙での文書も同様で、組織や運用の問題です。管理体制を整えておけば、これらの不備は起きなくなる可能性があります。文書の管理体制をきちんと整備しておくことが重要です。
災害やトラブルに弱い立地
災害やトラブルでデータセンターやサーバーが稼働しやすくなりやすい立地にある状態も脆弱性と判断されます。地震や洪水などのリスクがある立地に情報を保管している場所があると、災害に弱いと判断されるでしょう。また、海外では不審者に侵入されやすい立地であったり、デモや暴動が発生すると考えられたりする場合も脆弱性があると判断されます。
企業が行うべき情報セキュリティ対策
企業や組織がセキュリティ対策に取り組む重要性は、大切な情報資産を守ることで「顧客からの信頼を失わない」「企業存続に関するリスクを引き起こさない」という部分だと言えるでしょう。ITやスマートフォンなどの普及に伴い、インターネットを介して情報をやりとりする機会が格段に増えました。それと同時に顧客情報などを狙う悪質な手口も増加し、実際に顧客情報が流出して社会的な信頼性が失われるといった事件も、度々起こっています。
企業の信頼を失えば顧客が離れていきやすくなるのは必然であり、一度ついたイメージから信頼を回復することは容易ではありません。損害補償問題にまで発展し、企業としてコスト的な負担の可能性も考えられます。
企業が取り組むべきセキュリティ対策は次の通りです。
- ウイルス対策のソフトを導入する
- セキュリティ性が高いシステムを利用する
- ソフトウェアを最新の状態に更新する
- 従業員のパスワード管理を徹底する
- アクセス履歴を可視化して管理する
- 適宜バックアップをとるように指示する
- 無停電電源装置(UPS)を設置する
企業の持っている情報は重要な資産です。流出することで外部に技術が盗まれるなどが考えられます。このような経営リスクを減らして実害を防ぎ、企業を無事に存続させていくためにも、情報セキュリティ対策は重要です。
ウイルス対策のソフトを導入する
OSやソフトウェアには脆弱性がつきものであるため、それらを補完するためにウイルス対策ソフトを導入するとよいでしょう。修正パッチやアップデートをしても、100%安全な状態でOSやソフトウェアを利用することは不可能です。少しでも安全性を高めるためにはウイルス対策ソフトを導入することが有効です。
なお、ウイルス対策ソフトも最新の状態を維持するようにしてください。最新のウイルスに対して有効な機能が追加されることもあります。
セキュリティ性が高いシステムを利用する
セキュリティ性が高いシステムを導入するのもひとつの方法です。巷には多くのソフトウェアが存在しており、セキュリティ性の高さを売りにしているシステムも存在しています。セキュリティ性が高いものを選択することで、情報セキュリティを高めることができます。
ただし、セキュリティ性は高いだけで100%守れるわけではありません。あくまでもほかのシステムよりもセキュリティ性が高いと考え、その他の対策を怠らないようにしましょう。
ソフトウェアを最新の状態に更新する
情報セキュリティを高めるためには、OSやソフトウェアを最新の状態にしておくのも有効です。最新のアップデートや修正パッチを適用すると、従来のバージョンよりもセキュリティ性が向上します。macOSの場合は最新バージョンにアップデートすることで、ウイルスを駆除できるため必ずアップデートしておきましょう。
従業員のパスワード管理を徹底する
従業員に対してパスワードの使い方について教育しておきましょう。「使いまわさない」「月に一度は変更する」などの社内ルールを設けるほか、個人のデバイスからはログインしないなどのルールを徹底するとよりセキュリティ性が高くなります。わかりやすいパスワードにしたり、同じものを長期間使ったりしないようにしてください。
アクセス履歴を可視化して管理する
誰が情報にアクセスしたのかの履歴が見えるようにしておきましょう。不正アクセスや情報改ざんをされても、アクセスログが残っていれば犯人の追跡ができるようになるためです。ほかには編集した人物が分かるように電子署名機能を導入するなども有効です。
適宜バックアップをとるように指示する
バックアップを適宜残しておくことで、災害や事故で情報にアクセスできなくなっても代替データにアクセスできるようになります。遠隔地に支店などがある場合は、そちらにバックアップを残しておくと良いでしょう。災害に備える意味と、攻撃を受けてもすぐに復旧できる意味でバックアップを残すことがおすすめです。
無停電電源装置(UPS)を設置する
無停電電源装置(UPS)を導入し、停電や災害で電気の供給が止まるのを防ぐのも情報セキュリティには有効です。UPSとは何らかの状況で電源が止まってしまった場合、一定時間電源を供給し続けてデータを保護する装置のことです。情報の保護のほか、生産に関わる業者でも採用されています。
まとめ
情報セキュリティは年々その重要性を高めています。安全性を高めるには、同じITのシステムだけではなく社内のルールなどのオンラインとは関係のない箇所でも求められることがあります。災害をはじめとする予期せぬトラブルも含め、情報セキュリティに対して全社で意識を高めておくことが重要です。
文責:GMOインターネットグループ株式会社
