「情報セキュリティを理解する」情報セキュリティの基礎知識を定義から対策までわかりやすく解説！

「情報は価値のある資産である」という認識が定着するとともに、情報セキュリティに関する事件や事故は増え続けています。また、近年は情報資産だけではなく、金銭そのものや、組織経営自体も被害の対象になっています。

情報セキュリティの概念は広く、社会生活をおくる一般市民の視点、組織で働く人の視点、情報システムを開発・運用する担当者の視点、経営者の視点などによって捉え方は様々ですが、本記事では、情報セキュリティの基礎知識として、一般的な考え方と対策について解説しています。

要素を簡潔にまとめていますので、新入社員等に向けた研修内容の検討にも活用できる内容となっています。

１．情報セキュリティとは

まずは情報セキュリティの定義や、考え方の基礎となる用語、意義等について解説します。

1-1. 情報セキュリティの定義

情報セキュリティに関する国際標準規格としてISO/IEC27000があります。それをもとにして作成された日本産業規格JIS Q 27000では、情報セキュリティの用語定義を「情報の機密性，完全性及び可用性を維持すること」としています。また、 注記として「 さらに，真正性，責任追跡性，否認防止，信頼性などの特性を維持することを含めることもある」と定義しています。
ここでいう「情報」とは、組織にとって守るべき価値をもつ情報及びそれを取り扱う情報システムである「情報資産」のことを指します。つまり、情報セキュリティとは、組織の情報資産を守り維持することであると言えます。
情報資産の具体的な例としては「顧客/住民情報」「従業員/職員情報」「営業情報」「技術情報」「財務情報」「経営情報」など、組織経営に必要な情報が挙げられます。加えて、ノウハウや著作権などの知的財産も情報資産の一部です。

1-2．情報セキュリティに対する脅威とリスク

情報セキュリティに対する脅威とは、情報資産への悪影響の原因となるもので、大きく「人為的脅威」「環境的脅威」「技術的脅威」に分けることができます。
「人為的脅威」には、悪意を持った意図的なものと業務における従業員のミスのような偶発的なものの両方を含みます。また、「環境的脅威」には自然災害や火災などが含まれます。そして、情報システムの脆弱性やコンピュータウィルス、悪意のあるプログラムなどが「技術的脅威」と呼ばれるものです。
それらの脅威が「金銭の損失」「顧客の喪失」「事業の停止」「従業員/職員への影響」等リスクの発生に繋がります。
例えば、「PCを電車に置き忘れたというような、従業員の単純なミスが原因で顧客情報が流出」し、それが悪用されることで、「会社が信用を失い、顧客が離れていくだけでなく、結果的に会社のブランド力が低下し、事業が停滞する」というような広範囲に影響が及ぶことも懸念されます。

1-3．情報セキュリティの意義

情報資産を守り維持すること、それは、事業を守り、従業員や職員を守ることに他なりません。また、インフラストラクチャの安定運用を担ったり、個人の情報や資産の安全を守るべき企業や公共の組織において、情報セキュリティを確保することは「社会的責任」だと言えますし、情報セキュリティを疎かにすることで起きた事象について、法的責任を問われることもあります。
情報資産を守り、社会的責任を果たすためにも、具体的な脅威の内容と状況を知り、それらへの対策を事前に講じることでリスクの低減を図る必要があるのです。

2．情報セキュリティの要素

では、JIS Q 27000に記載された情報セキュリティの各特性は何を意味しているのでしょうか。ここでは、もう少し詳しく、その意味を見ていきたいと思います。

具体的な情報資産を意識しながら各特性を捉えると、情報セキュリティをイメージしやすくなります。

• 機密性：情報へのアクセスは、情報の種別ごとに、しかるべき承認を受けた人だけが可能であることを意味する特性です。
• 完全性：情報が不適切な形や内容に変更され、破壊されることを防ぎ、正しく最新の情報になっているという特性です。
• 可用性：正当な目的で情報を必要とする人が、必要な時に信頼性の高い方法で情報にアクセスして利用できるようにするという特性です。

以上の3つが中心となる特性で、英語の頭文字を使ってCIA (機密性Confidentiality、完全性Integrity、可用性Availability)と呼びます。

次の4つはCIAを補完するものです。

• 真正性：情報自体が正確で、情報発信元が正当であることを指します。つまり、偽造情報でなく、改ざんもされていないという意味です。
• 責任追跡性：追加、更新、削除というような情報の操作の履歴を維持し、（権限のある人が）その履歴を使って、操作内容を追跡できるようにすることをさします。
• 否認防止：情報の操作などの行動を、後になって否認できないようにすることです。
• 信頼性：情報システムによる操作や処理に欠陥や不具合が無く、意図したとおりの結果となることです。

3．情報セキュリティの10大脅威

実際に情報セキュリティの脅威としてどのようなものがあるのか、IPAの「情報セキュリティの10大脅威」を例に紹介します。IPAでは、毎年、前年度に発生した情報セキュリティ関連の事件・事故について「情報セキュリティの10大脅威」として解説書を作成しています。
この解説書には「個人向け脅威」と「組織向け脅威」に分けられて掲載されていますが、個人向けについては50音順で、組織向けについては社会的な影響の大きかった順にそれぞれ10項目ずつがリストアップされています。ただし、リストの下位にあるものは対応の優先順位が低いという訳ではありません。自分自身や所属する組織の状況を鑑みての対策を行うように、助言されています。
以下は「組織向け脅威」の順位表です。

社会的な影響が最も大きいとされる「ランサムウェアによる被害」は、近年、特に注目されています。ランサムウェアは組織内の情報資産を暗号化し利用できなくするコンピュータウィルスで、その復旧のために身代金を要求するものです。事業の停止に繋がるため、社会的な影響が大きなシステムやサービスがこの被害にあうと、インフラストラクチャの混乱、交通網の停止、サプライチェーン網全体の混乱などに繋がります。

また、「内部不正による情報漏洩等の被害」は従業員や退職した従業員が、組織の機密情報や個人情報を持ち出して売買したり、転職先で利用したりするもので、過去から上位にあるものです。これは、情報セキュリティに関しては性善説だけでの対応が危険であることを意味しています。

これらの脅威は、単独で発生するものもありますが、ひとつの悪意ある手口で、複合的に発生するものも多くあります。

さらに、この10大脅威以外にも「ソーシャル・エンジニアリング」などは古くからある脅威です。身元不明の不審者から会社に「急用が有るので、社長の連絡先を教えて欲しい」という電話のように、情報システムを利用しない脅威も依然として存在しています。

4．情報セキュリティ対策の基本的な考え方

では、これらの脅威による被害を未然に防ぐために、どんな対策を考えればいいのでしょうか。
具体的な対策は、組織の規模、業務の特性、情報システムの状況などによって異なりますが、基本的な対策としては「対策の計画→実施→レビュー→見直し」の「PDCAサイクル」を回すことだと言えます。
情報セキュリティ対策のPDCAサイクルについて、各フェーズで実施する内容を解説します。

P：対策の計画

情報セキュリティ対策を検討するには、まず、情報セキュリティについての現状を洗い出して整理し、対応の優先順位付けのための分析を行い、対応する対象を決める必要があります。手順は次の通りです。

1. 情報資産の洗い出し
   組織内にどんな情報資産があるかを棚卸してリストにします。情報資産の例としては「社員名簿、顧客リスト、設計図などがあります。また、それぞれの情報資産の属性として「保管場所」「保管形態」「利用者」「管理部署」「個人情報の有無」「求められる機密性/完全性/可用性」等も併せて調査し、リストに記載します。
   
2. 脅威の識別と対策の現状把握
   それぞれの情報資産に影響する可能性のある脅威を洗い出します。それとともに、その脅威の発生頻度を予測し、現在の対策状況も調査します。
   
3. リスク分析、対応の優先順位付け、対策の検討
   情報資産台帳と整理された脅威のリストを利用して、リスク分析を行います。すべての情報資産を完璧に保護できればいいのですが、予算の関係や要員の関係でそれができない場合も多く、リスク分析の結果から優先順位決め、それに基づき対策を検討することになります。

上記の手順の実行ついては、IPAが提供する「リスク分析シート」を利用すると便利です。

D：対策の実施

決められた優先順位で、それぞれの情報資産に対する脅威への対策を検討し、実施します。具体的な対策は各組織の状況や情報システム環境によって様々ですが、主な対策は以下のように分類することができます。

• 物理的対策　情報資産の保管場所や情報システム関連機器の設置場所へのアクセス管理
  ・入退室管理
  ・モバイルデバイスの持ち込み制限　等
  
• 技術的対策　ソフトウェア、ハードウェア、ネットワーク等の情報システム関連設備の脆弱性対策
  ・アクセス制御及び認証のためのパスワード管理、アクセス権管理
  ・ネットワークやサーバ等のIT基盤運用管理
  ・データの暗号化
  ・セキュリティソフトの導入　等
  
• 組織的/人的対策　情報セキュリティに対する組織的な対応
  ・情報セキュリティ対応組織の整備
  ・情報セキュリティ規定やIT機器利用規定の策定
  ・秘密保持義務の明文化、機密保持契約の締結
  ・情報セキュリティに関する教育の実施　等

なお、これら以外にも、情報セキュリティ対策状況の監査や、情報セキュリティに関する問題が発生した時の対応プロセスの策定、サプライチェーンや業務委託といった事業協力会社との情報セキュリティについての定義等を含める場合があります。

C：対策のレビュー

対策の効果は定期的に確認しなければなりません。対策を施したままで確認がなされない場合、気づかないうちに問題が発生している可能性があります。
なお、情報資産台帳のチェック、更新、および、リスク分析も定期的に行い、対応の優先順位を検討する必要があります。

A：対策の見直し

対策のレビューによって判明した不足部分への対応や強化すべき対策、修正すべき対策を検討して実施します。その際には、プロセスや体制の変更等についても検討する必要があります。

5．まとめ

この記事でお話ししたように、情報セキュリティ対策は、システム、人、プロセスの全てにわたる広範なものとなります。つまり、管理部門だけで完結することは困難です。
情報システムの機能要件とセキュリティ要件はしばしばトレードオフの関係になります。
利便性を追求するためにセキュリティが犠牲になることもありますし、その逆にセキュリティを厳しく考えるあまり、ユーザビリティが低下することもあります。それによりしばしば管理部門とユーザーである従業員/職員は情報セキュリティを巡る対立関係に陥ります。
しかし、組織の目的は、得た利益をもとにして業務を継続すること、顧客、従業員/職員を守り、組織の資産を守ることであることを念頭に、経営層のセキュリティの意識はもちろんのこと、従業員/職員も「情報システムは常に脅威にさらされている」という意識を持ち協力して対策に取り組むことが必要です。
また、管理部門においては、情報と情報システムそのものを守りながら、情報セキュリティの啓蒙者の姿が求められます。

GPtechでは、情報セキュリティ対策を含む組織内のガバナンス体制整備についての支援も行っています。自組織内だけでの情報セキュリティ確保に困難を感じられている方は、是非お気軽にご相談ください。

この記事の編集者

下里 朋子

自治体で情報政策分野を9年間担当した後、IT調達ナビの運営会社である（株）グローバル・パートナーズ・テクノロジーに中途入社。ITコンサルティング業務に従事しつつ、IT調達ナビでシステム発注に役立つ記事を展開するメディア運営業務にも携わる。

この記事をシェアする

Twitter

Facebook

LinkedIn