情報システム部門が考えるセキュリティ対策の基礎知識

スポンサーリンク

情報セキュリティの3要素

セキュリティは、安全、防護、保障などの意味を持つ英単語ですが、IT分野においては、対象となる情報(データ)やシステム、ネットワークなどの保護を通じて外部からの攻撃、改竄(かいざん)などの危険を排除すること全般を指します。

情報セキュリティとは、一般的には情報の機密性、完全性、可用性を確保することと定義されています。
この機密性(confidentiality)完全性(integrity)可用性(availability)の3つを情報セキュリティの3要素と呼び、それぞれの頭文字からセキュリティのCIAと呼ばれることもあります。

セキュリティにおける機密性

情報の機密性とは、ある情報へのアクセスを認められた人だけが、その情報にアクセスできる状態を確保することを指します。
この状態を保つことにより、情報が漏洩しない状態であることが求められます。

情報漏洩の事故としてニュースになる、他人になりすまして不正に情報を取得する行為(ハッキング)や、派遣社員などが業務でアクセスした顧客情報を不正にダウンロードするといった行為は機密性が不十分であることから発生します。
また悪意がなかったとしてもメールの送信先を間違えることで、本来は知らせなくていい方に、知らされるべきでない情報が伝わってしまうことも広い意味では、機密性が満たされない行為になります。

セキュリティにおける完全性

情報の完全性とは、情報が破壊、改ざん又は消去されていない状態つまり常に正しい状態であることを保証することを指します。
データの更新や削除が正しい運用ルールのもと実施されることや、システム間のデータの整合性が確保されるといったことが求められる状態になります。

例えば顧客の住所の変更依頼を受け付けた場合には、全てのシステムにおける住所情報が同時に修正されるための仕組みを準備しておくといった対応が求められることになります。

セキュリティにおける可用性

情報の可用性とは、必要時に使いたい情報に中断することなくアクセスできる状態を確保することを指します。
業務に使うデータやファイルが個人のPC内にのみ存在した場合には、もしPCが壊れてしまったら使いたいときに使いたい情報にアクセスできないことになるため可用性が満たされていないということになります

データのバックアップの取得や万が一のためのバックアップデータの復旧方法などを手順化したりという対応が求められます。

なぜセキュリティ対策が必要なのか

昨今の企業において、情報システムを使って業務を行うことはもはや当たり前のこととなっています。ウィルスソフトをパソコンにインストールするといった対策だけでは十分ではないことは、セキュリティに関する事故のニュースなどを多少でも見聞きしていれば容易に理解や想像ができることと思います。

万が一セキュリティに関する事故を起こした場合には、自社の業務遂行への影響の範囲にとどまればまだ良いですが、事故によって他社の業務へも影響を及ぼしてしまうこともありえます。その場合には、直接的な損失に対する損害賠償責任が発生したり、社会的な信用問題にまで発展し事業継続の危機に直結することももはや発生しうる問題であると認識するべきです。そして経営層自らが参画しての適切な管理レベルの維持が必要になっています。

また、管理においても1人の従業員がルールを守らなかった結果、ウィルスに感染し社内ネットワークがダウンするなどして業務システムが使用不可になるなどの被害が会社全体に及ぶこともあり、少しの管理におけるほころびであっても全体に及ぼす影響が想定以上に大きくなることも対策を考える上でのセキュリティ事故の特長として認識しておく必要があります。

具体的なセキュリティ対策

セキュリティ対策として取り組むべき内容にはどういったものがあるでしょうか
事故を起こさないための予防策としてのルール作りと、情報機器の紛失やウィルスに感染したといった重大事故につながる前のインシデント(事象)の発生時対応の手順化など事前・事後両面からの活動が必要になります。

従業員ひとりひとりが同じ行動ができるように分かりやすく明確に対応を定義すること、教育や啓蒙活動を繰り返し行うことでセキュリティに対する理解や意識を高く保つことを目指して始めましょう。

文書によってルール化すべき事項の具体例

・ウィルスソフトの運用 : 定義ファイルを常に最新化に保つためのルール作り(必ずシャットダウンして帰宅するなど)フルスキャンの定期実施など
・アプリケーションの管理 : 利用禁止アプリ(ファイル共有アプリなど)やクラウドサービスに関するルール・手続きの定義、ライセンスの管理など
・パスワード設定 : パスワードの有効期間の設定や記号など使用すべき文字の定義、退職者のID管理や定期的な棚卸など
・クリアデスク : 
機密文書を机上に放置しない。パスワードを書いた紙や付箋を貼り付けない
・文書管理・バックアップ : 
共有すべきドキュメントの共有ファイルサーバーなどでの管理場所やファイルの命名規約、文書規定などによる版管理の方法や承認手続き、保管期間など
・メール : 
メールアドレスの配布手続き、共有アドレスやメーリングリストの管理、添付ファイルの暗号化、宛先指定ミスの予防策、同報先の指定ルールなど
・情報機器の持出
 : PCの持出ルールや紛失に備えてデータの暗号化など

発生時対応としての手順化の範囲

・セキュリティ管理体制の定義 : 問題発生時の連絡報告経路や相談先の定義。
・ウィルス感染時の初動 : ネットワークケーブルを抜くなど被害拡大を防止するための疑わしい動作に対する対応。スパムメール・フィッシングに対する対応。
・情報機器紛失時 : PCや携帯電話を紛失した際の連絡先や遠隔ロックなど
 

情報セキュリティに関連する法規

不正アクセス禁止法

アクセス権限のないコンピューターネットワークへの侵入や、不正にパスワードを取得することなどを禁止する法律です。
ある情報に、本来アクセスすべきでない人がアクセスすることは不正アクセス罪として禁じており、なりすまし行為が相当します。他人のパスワードを取得すること(不正取得罪)、他人に教えることや保管することも禁止されています

個人情報保護法

個人情報を保有している事業者が、その情報を漏洩させないよう、適切に取り扱うことを義務付けた法律です。

コメント