情報セキュリティとは?基本的な3要素や企業が行うべき具体的な6つの対策を解説!
情報セキュリティとは何か気になるけれど、その内容は?
情報セキュリティは、どのような仕組みで成り立っているのでしょうか。
今回は、情報セキュリティの基本的な要素を解説します。また、企業が行うべき具体的な6つの対策もまとめました。
これを読めば、情報セキュリティとは何かを知り、内容を理解できて、インシデントに有効な対策を取ることができます。
先に結論を言うと、情報セキュリティには7つの要素があり、しっかりと対策を取ればインシデントのリスクを抑えることが可能ですよ。
情報セキュリティとは?
情報セキュリティとは、企業が保有している機密情報や顧客の個人情報などの情報資産をサイバー攻撃や内部不正から安全に守る取り組みのことを指します。
情報資産には、企業のイメージやブランド、技術情報や業務のノウハウ、情報資産を保管する機器も含まれます。
また、情報セキュリティを脅かすサイバー攻撃などを「セキュリティインシデント」と呼び、対策が遅れている企業は被害に遭う可能性が高いため、迅速に対策を実施しなければなりません。
情報セキュリティは、「どのような時でも安全に情報を守る」ということであり、あらゆる脅威が取り巻く現代社会において、非常に重要な概念なのです。
情報セキュリティの3要素
情報セキュリティは、日本産業製品規格(JIS)において、「機密性(confidentialiyt)」「完全性(integrity)」「可用性(Availability)」の3つの要素で定義されています。基本の3要素は、アルファベットの頭文字をとって「CIA」とも呼ばれています。
では、情報セキュリティの3要素について、具体的に見ていきましょう。
機密性
機密性は、許可されたユーザーのみ情報にアクセスできる状態のことを指します。
機密性が保たれておらず、企業の機密情報が誰でもアクセスできる状態になっていると、扱う必要のない従業員が閲覧したり、誤って改ざんしたりする恐れがあります。
そして、情報漏洩や不正アクセスに繋がり、多大な被害に発展する可能性が考えられるのです。
アクセス権限の管理やパスワードの設定をして機密性を担保し、各種情報にアクセスできる役職を定めたりパスワードを設定したりしましょう。
完全性
完全性は、情報に誤りがなく完全である状態を保護して、維持することを指します。
メンテナンス不足により内容が古い状態なども、完全性が損なわれていると判断できます。
完全性を担保するためにはアクセス履歴や変更履歴を保存し、不正アクセスや情報の改ざんの形跡を調べられるようにしておく必要があります。
バックアップのマニュアルを策定したり、データの改ざんや破壊が発見された場合でも復元可能な状態にしたりして、情報の完全性を担保しましょう。
可用性
可用性は、アクセス権限を持つユーザーが必要な時にアクセス可能であることを指します。
定期的なバックアップや遠隔地へのデータの保管、情報のクラウド化が可用性に該当します。
また、機密性・完全性が保たれていても、システムの停止などで必要な情報にアクセスできない状態になると、可用性が損なわれていると判断できます。
そのため、定期的なバックアップや遠隔地へのデータの保管の他、情報のクラウド上への保存や予備のシステムや設備を準備する冗長化を実施し、可用性を担保しましょう。
情報セキュリティの追加された4要素
情報セキュリティの定義とされている3要素に加え、新要素として「真正性」「信頼性」「責任追跡性」「否認防止」などの特性を含める場合もあります。これらの要素について正しい知識を持った上で対策を施すことが重要です。
では、情報セキュリティの追加された4要素について、具体的に見ていきましょう。
真正性
真正性は、誰がその情報を作成したのかを作成者に権限を付与して証明できるようにした状態のことです。
悪意のある第三者がアカウント情報を盗んでシステムへアクセスできるといった状態は、真正性が損なわれていると判断できます。
情報にアクセスする人物が本人であると証明できない状態は、第三者が本人になりすまして不正アクセスしたり、情報の改ざんをしたりしてしまう可能性が考えられます。
デジタル署名や二段階認証の他、生体認証を含む多要素認証を行い真正性を担保しましょう。
信頼性
信頼性は、システムが求める基準を満たしている状態のことです。
例えば、システムの故障やトラブルが少ないものは信頼性が高いと判断できます。
一方で、意図していない処理によりデータに変更が加えられるとそのデータは完全性を失い、情報としての信頼性は著しく低下します。また、誤動作の多いシステムやログの所持・保管などができていないものも信頼性が低く、正確に情報を判断できません。
そのため、システムのテストを徹底する、誤操作を防ぐシステム設計にするなどの対策を行い、信頼性を担保しましょう。
責任追跡性
責任追跡性は、誰かが情報に手を加えた場合に、誰が何に対してどのような作業をしたのかを追跡できる状態のことです。
主にアクセスログが責任追跡性に該当し、責任の所在を明確にするために重要とされています。
そのため、社内システムを誰がどのように操作したのかを確認できるログや、企業が保有しているデータやシステムへのアクセス履歴を確認できるアクセスログなどを取得しなければなりません。
ファイルへのアクセスログや端末操作ログの他、デジタル署名などの対策を行い、責任追跡性を担保しましょう。
否認防止
否認防止は、企業が保有している情報が第三者によって書き換えられた場合に、その第三者が後から否認できないように証明することを指します。
行為を指摘した際、証拠がなければ言い逃れることが可能なため、事実確認が困難になるケースも珍しくはありません。
責任追跡性と同様に、アクセスログや端末操作ログを取得し、情報を確実に保存しておくことで対策を取ることができます。
また、情報を作成した際に電子署名を付与しておくことで否認防止に繋がり、真正性と信頼性も担保されます。
情報セキュリティにおけるリスク
情報セキュリティにおけるリスクには、大きく分類すると「脅威」と「脆弱性」の2種類があります。
脅威とは情報セキュリティリスクが発生する原因のことで、脆弱性とは脅威の原因となり得る事柄のことを言います。
これらのリスクはさらに細分化され、それぞれどのような原因によって情報セキュリティリスクにさらされるのかが異なるのです。
情報セキュリティが安全に保たれなかった時、どのような脅威にさらされるのかを把握し、企業における具体的な情報セキュリティリスクを理解しておきましょう。
情報セキュリティにおける脅威
情報セキュリティにおける脅威とは、情報の盗難や不正利用などをはじめとするリスクを発生させる要因のことです。結果的に企業が保有する情報資産に対して害を及ぼす可能性があります。
では、情報セキュリティにおける脅威について、具体的に見ていきましょう。
意図的脅威
意図的脅威とは、悪意のある第三者によってもたらされる行為のことです。
盗聴や盗難、情報の改ざんや不正利用、不正アクセスやウイルス感染、なりすましなどが該当します。また、従業員や元従業員が機密情報を持ち出して、他人に売買したり、悪用したりする内部不正も意図的脅威に含まれます。
意図的脅威が発生することで、個人・機密情報の漏洩や、漏洩した情報の不正利用などの大規模な被害に発展する可能性が高いです。
そのため、企業だけでなく個人も意図的脅威に対する対策をきちんと講じなければなりません。
偶発的脅威
偶発的脅威とは、意図せずに引き起こしてしまう人為的ミス、すなわちヒューマンエラーのことです。
従業員が外部に持ち出したパソコンや記憶媒体が盗難に遭う、顧客の個人情報が保存されているUSBメモリを紛失してしまうなどが該当します。また、会話から情報が漏洩してしまうことも偶発的脅威に含まれます。
偶発的脅威が発生することで、企業の機密情報や個人情報が外部へ流出してしまうことに繋がってしまいます。
そのようなヒューマンエラーを防ぐためには社内のルール作りが重要なため、徹底して対策を実施しましょう。
環境的脅威
環境的脅威とは、自然災害や火災などの環境が原因となるセキュリティリスクのことです。
地震や火事、台風や落雷などが該当します。また、自然災害によってシステムが停止したり、情報が機能しなくなったりして結果として業務を停止させてしまうことも環境的脅威に含まれます。
発生頻度は高くないですが、発生した場合にはサーバーなどのソフトウェアや電気、建物自体が使用できなくなる可能性があります。
遠隔地へのバックアップデータの保存や営業所へのサーバーの保管などをして日頃から対策を講じておきましょう。
情報セキュリティにおける脆弱性
情報セキュリティにおける脆弱性とは、脅威の発生を誘引するようなセキュリティ上の欠陥のことです。ソフトウェアやハードウェアの保守不足、不十分なパスワード管理などが考えられます。
では、情報セキュリティにおける脆弱性について、具体的に見ていきましょう。
ソフトウェアの脆弱性
ソフトウェアの脆弱性とは、OSやソフトウェアなどの設計上のミスや欠陥のことです。
セキュリティホールとも呼ばれますが、これらの脆弱性を突いて不正アクセスされたり、サイバー攻撃の被害を受けたりする可能性があります。
その他にも、マルウェアが含まれたメールの添付ファイルの開封や怪しいウェブサイトの閲覧により、パソコンが使用できなくなったり、別のパソコンへ感染を広げたりするなどの影響を及ぼすリスクがあります。
OSやソフトウェアのアップデートを怠らず、常に最新の状態に保つことを意識しましょう。
管理文書・体制の不備
管理文書や体制の不備とは、重要なデータを管理する体制が整っておらず、誰でも情報を持ち出せる状況のことです。
管理体制が整っていないと企業の機密情報や個人情報が悪意ある第三者に持ち出され、情報漏洩に繋がる可能性があります。
例えば、バックアップを保管するファイルの管理者が退職しているにも関わらず、管理者変更が行われていないなどが考えられます。
重要なデータの管理が適切にできていないと、漏洩するリスクが高まるため、管理文書や体制の不備による脆弱性は対策を施してなくしておきましょう。
災害やトラブルに弱い立地
災害やトラブルに弱い立地とは、災害に遭いやすい位置にデータセンターやサーバがある場合に、故障や停止などでシステムが稼働できなくなる可能性があることです。
そのため、地震などの災害リスクがある立地に情報を保管していると、災害に弱い立地と判断されてしまいます。
また、海外においては企業オフィスの所在地が不審者に侵入されやすい環境であったり、デモに巻き込まれる可能性がある地域にあったりする場合、トラブルに巻き込まれて稼働できなくなる可能性があり、トラブルに弱い立地として脆弱性があると判断できます。
情報セキュリティが必要な理由
情報セキュリティが必要な理由は、主に以下の2つです。
・信用が失われる可能性がある
・多額の損失を受ける可能性がある
情報セキュリティが必要な理由は、脅威や脆弱性が企業に不利益を与えるためです。では、それぞれの理由について詳しく解説します。
信用が失われる可能性がある
情報セキュリティが必要な理由1つ目は、企業に対する信用が失われる可能性があることです。
なぜなら、情報セキュリティのリスクが生じることによって、企業のイメージダウンに繋がり、信用してもらえなくなる可能性があるからです。
例えば、「情報セキュリティ対策が行えない企業だ」「顧客や取引先の個人情報を守れない企業だ」といった負のイメージを与えかねません。
情報セキュリティを怠りリスクが生じると、自社に対する信用が失われる可能性があるため、企業にとって情報セキュリティは必要なのです。
多額の損失を受ける可能性がある
情報セキュリティが必要な理由2つ目は、多額の損失を受ける可能性があることです。
なぜなら、情報漏洩や業務を行う上で重要なシステムの改ざんなどの情報セキュリティのリスクが生じると、様々な支払いや損失が発生する可能性があるからです。
例えば、顧客や取引先に対する情報漏洩の損害賠償の支払いや、システムの回復・改善費用などが考えられます。
情報セキュリティのリスクが生じると、様々な支払いの必要があったり、機械的損失が発生してしまったりするため、企業にとって情報セキュリティは必要と言えるでしょう。
企業が行うべき具体的な6つの対策
企業が行うべき具体的な対策には、主に以下の6つがあります。
・ウイルス対策ソフトを導入する
・ソフトウェアを最新の状態に更新する
・定期的にデータのバックアップを取得する
・パスワード管理を徹底する
・アクセス履歴を可視化して管理する
・情報を取り扱う際のマニュアルを策定する
企業は、インシデントから重要な情報資産を守るために有効な対策を実施しなければなりません。では、それぞれの対策について詳しく解説します。
ソフトウェアを最新の状態に更新する
企業が行うべき具体的な対策1つ目は、ソフトウェアを最新の状態に更新することです。
なぜなら、アップデートを怠り脆弱性を放置しておくと、脆弱性を悪用したウイルス感染や不正アクセスの被害に遭う可能性が高まるからです。
また、アップデートや修正パッチを適用すれば、従来のバージョンよりもセキュリティ性が向上します。
そのため、定期的にOSやソフトウェアのバージョンを確認して常に最新の状態に保ち、ウイルス感染や不正アクセスなどからネットワークを保護しましょう。
ウイルス対策ソフトを導入する
企業が行うべき具体的な対策2つ目は、ウイルス対策ソフトを導入することです。
なぜなら、ウイルス感染が原因の情報漏洩を防げるからです。
ウイルス対策ソフトによって搭載されている機能は異なりますが、基本的にはウイルスの侵入を検知・検出・駆除してくれる機能が備わっています。
OSやソフトウェアは日々新しい脆弱性が発見されており、アップデートだけでは完全になくすことはできません。少しでも安全性を高めるためにウイルス対策ソフトを導入し、最新の状態を保つようにしましょう。
定期的にデータのバックアップを取得する
企業が行うべき具体的な対策3つ目は、定期的にデータのバックアップを取得することです。
なぜなら、災害や事故によって情報にアクセスできなくなったとしても、バックアップからデータの復元ができるからです。
また、バックアップデータも同時に破損してしまうことがないよう、複数の場所での保存やクラウドサービスを活用するのもおすすめです。
災害や事故に備える意味とインシデントを受けてもすぐに復旧できるという意味で、定期的にデータのバックアップを取得すると良いでしょう。
パスワード管理を徹底する
企業が行うべき具体的な対策4つ目は、パスワード管理を徹底することです。
なぜなら、推測されやすいパスワードを使用していると解析される可能性が高く、不正アクセスなどのリスクも高まるからです。
また、複数のサービスで同じパスワードを使い回していると、1つのサービスでの流出をきっかけに他のサービスでも不正アクセスされる可能性があります。
そのため、数字や英文字、記号を含む10桁以上のパスワードに設定するなどして強固にし、従業員に対してもパスワードの設定方法について教育しておきましょう。
アクセス履歴を可視化して管理する
企業が行うべき具体的な対策5つ目は、アクセス履歴を可視化して管理することです。
なぜなら、不正アクセスやデータの改ざんが行われたとしても、アクセスログが残っていれば追跡できるからです。
また、不正アクセスやデータの改ざんを行った人物が誰か分かるように電子署名機能を導入すると、より効果的です。
誰がどのようにアクセスしたのかを追跡できるように、アクセス履歴を可視化して管理するようにしましょう。
情報を取り扱う際のマニュアルを策定する
企業が行うべき具体的な対策6つ目は、情報を取り扱う際のマニュアルを策定することです。
なぜなら、一連のプロセスをマニュアル化し従業員が徹底することで、情報セキュリティをより強固にできるからです。
例えば、送信元が怪しいメールが届いた際の対応の仕方や電話で顧客情報を聞かれた際の受けごたえなどを細かくマニュアル化し、従業員に徹底して周知させることで、ヒューマンエラーによる情報漏洩を防ぐことに繋がります。
顧客情報や社内データを適切に取り扱うことで、業務の効率化や品質向上が期待できるでしょう。
まとめ
今回は、情報セキュリティの要素や企業が行うべき具体的な対策について解説しました。
企業は保有している情報資産をインシデントから守るために、日々対策を講じなければなりません。どのような時でも安全に情報資産を守ることを意識し、情報セキュリティを実施していただきたいです。
企業全体で情報セキュリティ対策を実施することで、セキュリティインシデントから情報漏洩を防ぐことができます。インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。
NEW
-
サイバー攻撃とは?代表的な種類や事例、具体的な6つの対策を解説!
2024/12/04 -
ランサムウェアの6つの感染経路とは?感染を防ぐ対策と感染時の対処法を解説!
2024/12/04 -
サプライチェーン攻撃とは?攻撃の手口や効果的な7つの対策を解説!
2024/12/04