サイト内の現在位置

情報セキュリティとは?
最新情報から基本的な概念、対策方針まで解説

情報セキュリティとは?最新情報から基本的な概念、対策方針まで解説

以前はパソコンと専用回線の利用が必須だったインターネットですが、現在はスマートフォンやタブレットなどの端末からも気軽に接続が可能となりました。ビジネスにおいてもインターネット活用の場は拡大を続けており、情報の取り扱いにも十分な注意を払う必要性が増しています。
この記事では、情報の取り扱いにあたって取り組みの必要な「情報セキュリティ」の概要や具体的に採るべき対策、講じるべきリスクアセスメントなどを紹介します。

お問い合わせはこちら

目次

情報セキュリティとは

情報セキュリティとは、いつでもコンピュータを安心して使ったりインターネットを安全に利用したりできるよう、重要情報の漏えいやウイルスなどへの感染、またサービスの停止を回避するため適切な対策をとることを指します。

情報セキュリティという言葉の一般的な定義は、取り扱う情報についての「機密性」「完全性」「可用性」の3点が確保できていることとされています。これらの3つについては、後ほど詳しく説明します。

セキュリティに対する3つの脅威

技術的脅威

情報セキュリティをおびやかす要素は3つあるとされ、そのうちの1つが「技術的脅威」です。
これは、不正なプログラムやソフトウェアなどによりもたらされる脅威を指しています。コンピュータや内部データの破壊や改ざんを試みるコンピュータウイルスなどのマルウェアや標的型攻撃など、技術的に生み出された脅威です。URLをクリックすると偽サイトへ移動するフィッシング詐欺も、この技術的脅威に該当します。

以下に代表的な技術的脅威の種類と、脅威の概要を紹介します。

  • 標的型攻撃
    特定の相手を標的に、取引先や知人などを装って詐欺メールなどを送り付ける
  • コンピュータウイルス
    メール添付などの形で不正なファイルを送り、受取人がファイルを展開するとコンピュータや内部データの破壊・改ざんを行う
  • フィッシング詐欺
    既存の企業や団体を騙る偽のサイトへ誘導し、個人情報を入力させるなどの手段で情報を盗み出す
  • DoS攻撃およびDDoS攻撃
    悪意ある第三者が大量アクセスを実行することにより、相手先のサーバーやシステムを不調や停止に陥れる
  • ランサムウェア
    詐欺プログラムによってコンピュータを使用不能な状態にし、復旧のために身代金の支払いを要求する

ネットワーク経由の攻撃や不正・迷惑プログラムによる脅威の総称が、技術的脅威であると考えると分かりやすいでしょう。
情報の漏えいや盗難、データの改ざんなどが技術的脅威によって行われると、重大なセキュリティ事故に発展する可能性があります。これらの技術的脅威を回避するには、セキュリティソフトやセキュリティソリューションなどの導入が有効です。

人的脅威

2つめにあたる人的脅威は、人によって引き起こされる脅威を指します。人的脅威が生まれる原因には、以下の2つがあるとされています。

  • 故意によって生じる人的脅威
    企業・団体に対する悪意などから故意で行われる、情報の漏えいや破壊・改ざんによってもたらされる脅威です。
    例として、機密情報にあたる社内情報を意図的に社外へ送付する、管理している重要な情報をわざと改ざん・削除する行為などが想定できます。
  • 過失など故意によらない人的脅威
    人による脅威は、必ずしも何者かの故意によって生じるとは限りません。過失や誤操作のように、意思に基づかず発生してしまう脅威もあります。
    たとえば、重要な情報が保存されているパソコンやUSBメモリなどの紛失が、情報漏えいに発展する事態も考えられます。また、宛先を誤って重要情報の含まれたメールを外部へ送信してしまうケースも想定できるでしょう。

人為ミスを絶対に防げる技術的な手段は存在しないため、ミスを生まない組織内の体制づくりやルールの制定、またそれらの周知徹底が必要となります。

物理的脅威

3つめの物理的脅威は、自然災害や火災など万一の事態によってもたらされる脅威です。地震や、台風などによる風害・水害、噴火などが思い浮かびますが、落雷や失火なども情報セキュリティの大きな脅威となりえます。

災害による物理的脅威のほか、機器や設備が老朽化により故障してしまう事態も物理的脅威に該当します。自然災害は予測することが困難ですが、機器・設備の経年劣化は定期的にメンテナンスを行うなどの適切な維持管理で回避が可能です。脅威が生じる前段階で修理や買い替えができれば、セキュリティ事故に発展する事態は防げるでしょう。

また予測不能な自然災害に備えるためには、拠点を複数設けてサーバーやデータセンターを分散しておく方法が有効です。災害に遭って1拠点のサーバーが停止しても完全停止は回避できますし、データを失っても他拠点のデータを用いて復旧が可能です。適切にデータのバックアップや分散化を行い、万一に備えましょう。

【2021年最新】
IPAが発表している「情報セキュリティにおける10大脅威」

IPA(情報処理推進機構)が発表している「情報セキュリティにおける10大脅威」の最新版である「情報セキュリティ10大脅威 2021」が公開されています。これは、IPAが2020年内に起こった各情報セキュリティ事案より脅威の候補を選び、研究者や専門家による「10大脅威選考会」が各候補への審議や投票を行って決定されるものです。

組織における10大脅威で、1位となったのは「ランサムウェアによる被害」で、前回の5位から大幅に順位を上げています。また2020年からのコロナ禍を反映し、「テレワークなどのニューノーマルな働き方を狙った攻撃」が前回の圏外から3位となりました。

[参考]new windowhttps://www.ipa.go.jp/security/vuln/10threats2021.html#download

情報セキュリティ対策における3大要素

機密性

機密性とは、特定のデータなど各種情報へのアクセス権を管理することにより、情報の機密を保持することを指します。更に分かりやすく言うと、特定の情報を可能な限り外部に漏らさず、誰にも見られないようにすることです。

  • 機密性が高い状態:各種情報へのアクセス権限が適正に設定されている状態
  • 機密性が低い状態:どのような人であっても自社内の各種情報へアクセスできる状態

機密性の低い状態を放置していると、情報の漏えいを招いたり、重要な情報が含まれたデータが破損してしまったりすることはが想定できます。以下の手法を取り入れ、情報の機密性向上に努める必要があります。

  • パスワードによる認証
  • データそのものの暗号化
  • アクセス制限のルール設定

自社内の情報のなかでも、以下のようなものは特に重要で、機密性向上が求められるとされます。

  • パスワードに関する情報
  • 自社の顧客や取引先担当者に関する個人情報
  • 自社従業員の個人情報
  • 未発表の製品やサービスに関する公表されていない情報

ここからは、情報セキュリティの機密性向上のため具体的に取り組むべきことを紹介します。

  • パスワードの適切な管理
    情報へアクセスする際に用いるパスワードは、連続する数字や英字など容易に推測可能なものとしないようにしましょう。また権限保有者の個人情報(住所、電話番号、誕生日など)に関するパスワードを設定することも避けてください。
  • 情報を保存したストレージの管理
    重要情報が保存されているHDD・SSDなどのストレージ(記憶媒体)や端末は、立ち入り権限が設定された施設内や室内に設置・保管しましょう。
  • 情報の持ち出しの制限
    情報が保存されたストレージや端末が外部に持ち出されないよう、ルールを定めて徹底を図りましょう。

上記の手段を実施するとともに、アクセス権限を正当に保持している人だけが各種情報へアクセス可能となるよう、自社内でも仕組み作りをしましょう。

完全性

完全性とは、各種情報がつねに正確な状態を保ち、欠損や改ざんなどが生じていない状態のことです。完全性が保たれた状態になければ、情報を含んだデータの正確性が損なわれ、信用度も低下します。データが信頼に値しないものになってしまうと、その情報の価値も失われてしまうでしょう。

情報セキュリティの完全性が損なわれる事例には、以下のようなものがあります。

  • サイバー攻撃を受け企業サイトの内容が改ざんされるケース
  • 内部不正の被害により、自社内で保管していたデータを無断で消去されるケース

上記のような事態により情報セキュリティの完全性が損なわれてしまうと、自社の信頼失墜につながることも考えられるでしょう。

情報セキュリティの完全性を保つためには、具体的に以下のような取り組みを実施することが求められます。

  • 各種情報へのアクセスログの設定(アクセス履歴の保持)
  • 各種情報への変更履歴の記録
  • 各種情報へのデジタル署名の義務づけ
  • 情報の保管やバックアップに関する規定を設ける

可用性

情報セキュリティの可用性とは、情報を必要なときにいつでも用いられる状態を保っておくことを指します。どのような情報も必要なタイミングでアクセスでき、中断や障害などがなくデータの処理が行われなければなりません。

情報セキュリティの可用性が保たれている身近な具体例には、以下のようなものが挙げられます。

  • 各種クラウドサービスに保存したデータ
    代表的なビジネスツールなどのクラウドサービスでは、メンテナンス時の中断を除いていつでも利用者が保存データへのアクセスや編集が可能とされています。
  • 遠隔地へのデータセンター設置
    データを保管するデータセンターを自社やその近郊に置かず、離れた場所に設置するケースです。自社が災害など不測の事態で損害を受けてもデータを失わず、事業の継続や早期復旧を可能になります。

自社内の情報の可用性を保つには、以下のような具体的な取り組みを実施しましょう。

  • BCP(事業継続計画)の適切な策定と施行
  • 無停電電源装置(UPS)の設置による停電対策
  • 社内業務システムのクラウド化 など

自社内でも可用性の保持は可能ですが、近年においてはBCP対策やDX(デジタルトランスフォーメーション)推進の一環として、社内システムをクラウド化する企業が増えています。

情報セキュリティのリスクアセスメント

リスクの低減

リスクの低減とは、セキュリティリスク発生の可能性を低く抑え万一の事態に備えておくことです。またそれに加え、セキュリティリスクが発生した際にも及ぶ影響の範囲を可能な限り小さくできるよう、対策を行っておくことも含まれます。

実際に行われるリスクの低減への取り組み事例には、以下のようなものが挙げられます。

  • 技術的なセキュリティ対策
    主にウイルス対策ソフトを導入したり、アクセス制御によって権限の管理を行ったりすることです。またアクセスログの監視によって不正アクセスや不審な動作の有無を確認したり、データの暗号化などを行い端末の紛失や盗難に備えたりすることも挙げられます。
  • 管理面でのセキュリティ対策
    従業員によるミスや不正などのリスクを抑えるために、主に規約・マニュアルの周知や徹底、教育活動によってリスクを低減する取り組みです。
    ITリテラシー教育の実施やセキュリティに関するルールの徹底、モラルやコンプライアンスに関する意識づけを目的とした研修活動などにより、人的なセキュリティ対策を行います。
  • 物理面でのセキュリティ対策
    端末の紛失・盗難、オフィスへの不法侵入や内部不正、災害による損害を防止するために、オフィス内の警備や安全対策を強化する取り組みです。
    具体的には生体認証による入退室管理や防犯カメラ・監視カメラの設置、各種端末の施錠収納やワイヤーロックの設置などが挙げられます。仕切りによる覗き見防止や、施設警備の導入などもこの対策に含まれます。また停電に備え予備電源を設けたり、防災訓練を実施したりするなどの災害対策も、物理的リスク低減の一環です。

リスクの移転

自社で確認されているリスクを、他の場所や組織へ一任することでリスクの責任範囲を移すための取り組みを指します。

  • 保険加入によるリスク移転
    サイバー攻撃などの被害も適用範囲となっている保険に加入し、万一リスクによって損害が発生しても金銭的補償を受けられるようにしておくことです。
    ただしこの手段では金銭的な損害を回避できるものの、情報漏えいの発生などによる信用や心証の低下は防ぐことができません。このため、他のリスク対策と組み合わせて用いることが推奨されます。
  • セキュリティ部門のアウトソースによるリスク移転
    自社内のセキュリティオペレーションセンターをアウトソーシング(外部委託)するなどの手段で、リスク発生時の責任範囲を企業の外へ移す取り組みです。
    この手段でも、情報漏えいなどのリスク発生時に自社の信用低下を回避することは困難です。このため、起こりうるリスクのすべてを外部に移せるわけではなく、一定の責任は自社に残ることを意識しておくことが大切です。

リスクの回避

リスクの低減や移転は、自社内でリスクを適正に管理していく取り組みを指していました。一方でこのリスクの回避は、リスクの原因そのものを取り除いて発生の可能性自体を断ち切ってしまおうという考え方で行われる取り組みです。
もちろん、この取り組みはすべてのリスクに対して実施できるものではありません。リスクの可能性を残しておくと差し迫った危険性が想定できる場合にのみ適した措置と言えるでしょう。

  • 事業停止によるリスク回避
    自社内で行っているある事業を続けていると、避けられないリスクが発見されたとします。その際、やむを得ずその事業を停止するという選択によってリスクを回避する手段も考えられるでしょう。
  • 業務の手順変更やシステム・ツールの入れ替えによるリスク回避
    事業そのものを止めてしまうに至らずとも、業務を行う手段や活用中のツールなどを別の新たなものへ入れ替えるなどのリスク回避が考えられます。

情報セキュリティに関する認証制度

ISMS認証

ISMS認証とは、財団法人日本情報処理開発協会(JIPDEC)が定めた「ISMS適合性評価制度」による認証制度です。各企業の情報セキュリティマネジメントについて審査機関が審査を実施し、ISMS認証基準を満たすことで認証が与えられます。元々は日本独自の制度でしたが、現在ではISO/IEC27001による国際標準の認証に移行されています。
個人情報保護法など国内の法令に対応するとともに、次に説明するプライバシーマークの対象範囲もISMS認証の準拠要件に含まれています。国際標準に対応しながら、企業の責任能力の証明や組織力の強化にもつなげられるため、認証を取得することでさまざまなメリットが見込めます。

プライバシーマーク

「Pマーク」とも呼ばれ、プライバシーマーク制度によって認定された事業者が使用を許可されるマークです。プライバシーマーク使用規約第3条により、企業サイトや名刺、宣伝・広告資料などへの使用が認められています。
マークの図案内には数字の記載箇所があり、そこに記載される数字が認定回数となります。
有効期限は2年間となっており、それを経過してからも認証を継続するには更新が必要です。
プライバシーマーク制度は、各事業者(企業など)が適切な個人情報の取り扱いを実施しているかどうかを審査によって認定する制度です。第三者である審査機関が、日本工業規格によるJIS Q 15001(個人情報保護マネジメントシステム-要求事項)に基づいて、企業や団体の個人情報の取り扱いを評価しています。

情報セキュリティ対策をすすめるなら

インターネットや情報システムのビジネス利用は、いまや各企業にとって不可欠となっています。しかし情報を便利に取り扱える状況には、セキュリティ面でのリスクが必ずともなうものです。特に企業を狙ったサイバー攻撃の巧妙化や、増加する内部不正への対応は今後さらに強化が求められるでしょう。
情報セキュリティ対策の推進は各企業にとって必須であるとともに、年を追うごとに刷新や強化が必要となることを予測しながら取り入れなければなりません。

NECフィールディングでも、人的対策と物理的対策、そして技術的対策を組み合わせた総合的なセキュリティ対策サービスを提供しています。情報セキュリティのさらなる強化をご検討中なら、ぜひNECフィールディングまでご相談ください。
https://www.fielding.co.jp/service/security/

まとめ

企業の情報セキュリティ対策には、機密性・完全性・可用性の3要素を満たし、技術的・人的・物理的な3つの脅威に適正に対応できることが求められます。この記事をお読みいただき、貴社のセキュリティ対策が現代の企業にとっての要件を満たしているかどうか、改めてお考えいただく機会になれば幸いです。
もし、貴社のセキュリティ対策に関する不明点があったり、課題を認識されていたりする場合には、お気軽にNECフィールディングまでお問い合わせください。

関連サービス

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。

お問い合わせ