情報セキュリティとは、情報の「機密性」「完全性」「可用性」を指します。これらを維持する対策として、情報の外部漏えいやウイルス感染などを防ぐためにウイルス対策ソフトをコンピューターに入れたり、常に最新のサービスが使えるようソフトウェアのアップデートを定期的に行ったりなどが挙げられ、こういった対策のことを「情報セキュリティ対策」と呼びます。今回は情報セキュリティ対策について詳しく掘り下げ、リスクマネジメントについてもご紹介します。

情報セキュリティの3大要素

情報セキュリティの3大要素となるのが「機密性」「完全性」「可用性」です。この3大要素を維持していくことが情報セキュリティ対策の基本となっています。

効果的な情報セキュリティ対策を行うには、情報漏えいの原因やウイルスの脅威について知っておく必要があります。以下の記事で詳しくご紹介していますので、是非ご覧ください。

情報漏えいの発生パターンと対策について詳しく知りたい方はこちら

情報を盗み出すソーシャルエンジニアリングについて詳しく知りたい方はこちら

マルウェアの脅威や対策について知りたい方はこちら

機密性

機密性を保つということは、権利を持った人だけが情報にアクセスしたり情報を使ったりできる状態にしておくということです。アクセス権の管理やパスワード利用をすることで機密性を保つことにより、情報漏えいを防ぐことができます。

完全性

完全性が確保された状態とは、情報が破損したり改ざんされたりせず、完全である状態のことを指します。完全性を維持することで意図されない情報の変更を防ぐことができます。

可用性

可用性が保たれた状態とは、情報が必要な時に取り出したり使ったりできる状態のことを指します。自然災害時の対策やバックアップが、可用性を維持するために必要です。

情報の流れ

情報には、ライフサイクルがあります。その過程は生成・利用・保存・廃棄の4つに分かれており、それぞれのステージで情報の3大要素が維持されている必要があります。

生成時には正確な情報を扱わなければなりませんし、利用時にはアクセスの権利や情報処理の権限を決定し制限することで情報が守られます。また、保存時には改ざんやデータの持ち出しが起こらないよう安全な場所に保存する必要があります。

廃棄時には、第三者からの介入を完全に封じられるような処理をしなければなりません。

情報セキュリティに対する脅威

情報セキュリティが侵されるリスクとしては、「技術的脅威」「人的脅威」「物理的脅威」の3つの可能性が考えられます。これにより情報セキュリティの3大要素の維持が難しくなってしまうと、インシデントが起こってしまうのです。例えばネットワークからの不正アクセスや情報漏えい、システムの停止などがインシデントに挙げられます。

これらの脅威に対処するには、企業内でサーバーのセキュリティ対策やクラウド型の対策を取り入れると効果的です。以下の記事で詳しくご紹介していますので、是非ご覧ください。

企業組織内でのサーバーのセキュリティ対策について知りたい方はこちら

クラウド型の対策について知りたい方はこちら

技術的脅威

技術的脅威とは、プログラムが介在する脅威のことです。ネットワーク上で行われるものも技術的脅威に含まれます。マルウェア、フィッシング詐欺、標的型メールなど方法は様々ですが、メールを偽装したりソフトウェアやプログラムの脆弱性を狙ったりというようなものが多く存在します。

人的脅威

人的脅威とは、操作ミスや内部からの情報漏えいするケースなど、人の操作によって引き起こされる脅威のことです。メールの誤送信や、内部関係者によるデータの抜き取りなどがこれに当たります。

人的脅威の被害をおさえるために、メールのセキュリティリスクについて知っておく必要があります。以下の記事で詳しくご紹介していますので、是非ご覧ください。

メールを使用する際の情報セキュリティ対策について知りたい方はこちら

物理的脅威

地震・洪水・天災などによる、物理的な破損の脅威です。天災時には、落下によるPCなどの機器の破損や浸水などが多く起こっています。経年による故障も物理的脅威に含まれます。

リスクアセスメント

会社を構成するにあたって、情報は「ヒト・モノ・カネ」に続く“第4の経営資源”ともいわれている大きな要素です。コンピューターに保存されているものや紙に記録されているものなど保有の形態は様々ですが、このような自社で保有している情報自体と、情報を収集・処理・保管するための装置を合わせて「情報資産」と呼びます。

インシデントを防ぐためにはまず情報資産を洗い出し、情報資産に存在し得るリスクを調査します。そしてリスクの発生頻度や影響などについても分析し、適切な対応を決定する作業をしなければなりません。この一連の作業をリスクアセスメントといいます。

リスクアセスメントが完了したら、そのリスクが許容範囲内であるかそうでないかの判断を行います。許容範囲内であれば、リスクの受容という選択を取ることもありますが、それ以外のものには実際に対応をしていきます。

リスクを排除したり最低限に抑えたりする作業をリスクマネジメントと呼びます。リスクマネジメントには「リスク回避」「リスク低減」「リスク移転」の3種があります。

リスクを回避したり軽減したりするために、業務上日常的に使用するファイル共有ソフトや無線LAN、デバイスの情報セキュリティについて知っておくとより効果的です。以下の記事で詳しくご紹介していますので、是非ご覧ください。

ファイル共有ソフトの危険性と対策について知りたい方はこちら

企業組織内で使われる無線LAN使用で起こりうる情報セキュリティ問題と、その対策について知りたい方はこちら

企業で使用されるノートPC、スマホ、タブレットの情報セキュリティについて知りたい方はこちら

リスク回避

リスクを回避したり、排除したりすることです。データの漏えいや抜き出しが起きる可能性をシャットアウトするために、データベースを外部ネットワークに繋げないようにするなどの対応があります。また、個人情報の扱いを慎重に行ったり、リスクを感じるサービスからはすぐに撤退するなど、日頃からの注意が必要です。

リスク低減

リスクの起きる可能性やその規模を限りなく抑えることです。例えば情報の可用性が損なわれないようバックアップを取っておいたり、システムを二重化したりする対策があります。

リスク移転

リスクを第三者に委託することです。ウイルスに対策する会社と契約し、保険に加入することで背負っているリスクを移転することができます。

情報セキュリティマネジメントシステム

実際に法人や組織で情報セキュリティをどのように維持していくかという対策を、情報セキュリティマネジメントシステム、略して「ISMS」と呼びます。具体的には、前述した「機密性」「完全性」「可用性」の情報セキュリティの3大要素を維持することを指します。ISMSにはISO27001という国際規格があり、ISMS認証機関よりこの国際規格の認証を受けることで、顧客などに「十分に情報セキュリティ対策を行っている」ということを証明することができます。

情報セキュリティに関する認証制度

情報セキュリティに関連した承認制度には、ISMS認証やプライバシーマークがあります。これらを取得することで、社内的にも情報セキュリティの構築に注力する機会にもなりますし、社外にも優良性をアピールすることができます。

社内の状況に合ったISMSを構築するにはコンサルティング事業者などの手を借りなければならないケースもあり、認証を受けるために時間や費用を要することもあります。しかし、必ずしも認証を受けなければならないわけではないため、規模の小さな法人や事務所の場合は、ISMS認証やプライバシーマーク取得をしなくてもいいでしょう。認証を受けなくとも、ISMSに沿って自主的に情報セキュリティを構築していくことが重要です。

ISMS認証

情報セキュリティに関して適切に運用ができているかを評価する、ISMS適合性評価制度のことです。JIPDEC日本情報経済社会推進協会が審査をし、認定されると名刺やホームページなどにロゴマークを載せることができます。現在登録されている法人・組織の数は約4500社です。

プライバシーマーク

個人情報の取り扱いが適切な法人・組織に認定されるものです。こちらもJIPDEC日本情報経済社会推進協会が審査をし、認定されると名刺やホームページなどにロゴマークを載せることができます。現在登録されている法人・組織の数は約14000社と非常に多くなっています。

まとめ

情報セキュリティの3大要素である「機密性」「完全性」「可用性」を維持するためには、情報セキュリティに対する脅威の可能性を知り、重大なインシデントを防ぐようなリスクマネジメントをする必要があります。そして適切なリスクマネジメントをするには、その全段階であるリスクアセスメントの研磨が不可欠です。

日頃から情報セキュリティに関する知識を深めておくためにも、ISMS認証やプライバシーマークの取得は有効であるといえます。