サイト内の現在位置

情報セキュリティとは?
3要素や対策の具体例・ポイントを徹底解説

情報セキュリティとは?

デジタル化・ネットワーク化の進展で、企業経営におけるセキュリティの重要性が高まっています。ここでは、企業にとっての「セキュリティ」の意味、ネットワークセキュリティ、コンピュータセキュリティ、情報セキュリティの定義、情報セキュリティの「CIA」と呼ばれる3つの要素「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」と新たな4つの要素とされる真正性・責任追跡性・否認防止・信頼性について解説していきます。

「セキュリティ」の意味とは?

セキュリティはIT関連だけでなく、「ホームセキュリティ」など日常生活でもよく聞く言葉です。英語の「security」を辞書で調べると「安全」「無事」「安心」など一般的にイメージしやすい意味はもちろん、「安心感を与える防衛手段」「警備」「国の安全保障」などの意味もあります。ちなみにローンの「担保」や「株券」という意味もあります。大切な財産を守るものと考えると納得できるでしょう。

ITの世界では「セキュリティ」というと、企業の基幹システムや業務システム、社内ネットワークを外部の攻撃から守ること、あるいは顧客データや会社の重要情報などの機密データを不正流出などから守るといった広範な意味を持ちます。「セキュリティ対策」と呼ばれることも多いでしょう。特に近年、業務のデジタル化・ネットワーク化が当たり前となったことで、攻撃や不正流出などのリスクが増大し、企業経営におけるセキュリティの重要性が高まっています。

ITにおける「セキュリティ」には、大きく分けて次の3つがあります。「ネットワークセキュリティ」「コンピュータセキュリティ」「情報セキュリティ」です。それぞれについて見ていきましょう。

ネットワークセキュリティの定義

オフィス内のLANから全国の拠点をカバーするWAN、そして外部とのやりとりに使うインターネットまで、ネットワークの利用は今や日々のビジネスに欠かすことができません。また近年では、クラウドの利用やテレワークの進展で、社外から社内ネットワークにアクセスする機会が増えるなど、ネットワークの活用方法が広がっています。そして重要性が増し、利用方法が多様化するからこそ、外部からの不正アクセスなどのリスクも高まっています。
「ネットワークセキュリティ」とは、ビジネスのインフラともなっているネットワークの安全・安心な利用を実現し、維持することをいいます。

コンピュータセキュリティの定義

「コンピュータセキュリティ」は、OSやソフトウェアを定期的に更新して脆弱性対策を施すこと。ウイルス対策ソフトを導入して、感染を防ぐこと。IDとパスワードを適切に管理して、不正利用を防ぐことなど、主に「コンピュータ」を対象にしてセキュリティを保つことをいいます。
ただし現在では、コンピュータを単体(スタンドアローン)で利用することはほぼありません。コンピュータの利用とネットワークの利用は切り離せないものになっており、コンピュータセキュリティとネットワークセキュリティは重なる部分が多くなっています。

情報セキュリティの定義

「情報セキュリティ」は情報、つまりコンピュータやネットワークを使って扱うデータを守るという意味になり、ネットワークセキュリティやコンピュータセキュリティを包括する広い意味をもちます。国際規格の「ISO/IEC 27002」やその日本語版である「JISQ27000」で、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を維持することと定義されています。ちなみにこの3つの要素は、それぞれの頭文字をとって意味の「CIA」と呼ばれます。情報のCIAを守ることが、情報セキュリティとなります。

情報セキュリティ対策の重要性とリスクとは?

情報セキュリティ対策は個人や企業などが持つ情報資産を、外部からの不正アクセスや攻撃から保護するために必要な取り組みです。情報セキュリティが不十分だと、個人情報や企業秘密などの重要な情報が漏えいし、悪意のある第三者に悪用される可能性があります。情報が漏えいしてしまうと多大な被害が発生し、企業や個人からの信用を失うことに繋がります。したがって、情報セキュリティ対策は個人や企業からの信用を守るために重要です。情報資産の取り扱いにあたっては、情報セキュリティ対策を十分に行う必要があります。

情報セキュリティの3要素とは?押さえておきたい基礎知識

情報セキュリティの3要素とは?押さえておきたい基礎知識

情報セキュリティには3つの大切な要素があります。情報セキュリティの要素として定められている「機密性」「完全性」「可用性」と、その他の要素について、詳しく見ていきましょう。

1.機密性

機密性(Confidentiality)とは、情報が外部に漏れたり、誰かに見られたりしないようにすることをいいます。つまり許可された人だけが情報にアクセスできるよう、情報に対する「アクセス権限」を厳重に管理することです。 企業はさまざまな情報を扱っていますが、ビジネスで重要になる顧客情報や新製品の開発情報、あるいは社内ネットワークにアクセスするためのパスワードなどは、外部に流出することがないよう厳重に管理しなければなりません。社員の個人情報も厳重な管理が必要です。こうした情報に簡単にアクセスできてしまう状態は、機密性が低い状態、あるいは機密性が守られていない状態であり、情報が流出してしまうとビジネスに悪影響を及ぼすばかりか、企業の信頼性や評判を傷つけることになります。 機密性を高めるためには、重要な情報は個人が使うコンピュータではなくアクセスが制限されたサーバに保存する、USBメモリなどの利用を許可しないIDやパスワードは一定期間ごとに変更する、機密情報へのアクセス権限を設定するなどの手段を講じます。コンピュータやネットワークは使い勝手が進化し、ますます簡単に便利に使えるようになっていますが、その一方で機密性を守る手段がますます重要になっています。

2.完全性

完全性(Integrity)とは、情報が最新かつ正確で、すべて揃っている状態であることをいいます。つまり情報が誰かに改ざんされていたり、どこかが破壊されたりしていないことをいい、またそうした状態を維持することをいいます。完全性と聞くと、何やら難しい印象を受けますが、情報が最新のものであり、間違いなどがなく、足りないものもない、という極めて当たり前のことを表しているだけです。この当たり前のことが守られ、維持されていなければ、情報は役に立ちません。完全性が守られ維持されていなければ、情報の信頼性や正確性を保証することはできず、信頼性や正確性がなければビジネスは成立しません。 完全性を守り維持するためには、前述した情報の機密性を確保し、悪意を持った第三者によるデータの改ざんなどを防ぐことが不可欠です。また正しいアクセス権限を持った人でも、操作ミスなどでデータを削除したり、破損したりすることがあります。そうした場合に、バックアップから元のデータを復元できる仕組みを構築しておくことが欠かせません。さらに情報へのアクセス履歴や変更履歴を残すなどの仕組みとともに、データの取り扱いについて社員全員が意識を高めることも大切になります。

3.可用性

可用性(Availability)は、必要なときに、いつでも、すぐに使える状態にしておくことをいいます。機密性、完全性と比べると、一般的には馴染みのない言葉ですが、ITシステム関連ではよく使われる言葉です。情報セキュリティにおける可能性とは、必要な情報に常に問題なくアクセスできる状態を維持しておくことです。 具体的には、十分なネットワーク帯域を確保しておくこと、情報システムがダウンすることのないよう無停電電源装置(UPS)を整えておくこと、万一の場合に備えてシステムやネットワークを二重化しておくことなどです。 クラウドを活用して、どこからでもアクセスできる環境を整えることも可用性を実現する手段のひとつといえます。どんなに機密性が高く、完全性を厳密に維持できるシステムでも、ユーザにとって使いにくいシステムになっていては意味がありません。可能性はユーザの観点を忘れないための要素ともいえるでしょう。

4.その他の要素

情報セキュリティは3要素と言われている「機密性」「完全性」「可用性」以外にも押さえておきたい要素があります。確認してみましょう。

1)真正性
真正性(Authenticity)とは、本物であること、また本物であることを証明することをいいます。情報セキュリティでは、情報にアクセスするユーザが正規のユーザ、つまり「アクセスが許可された者」であることを確実に証明することです。具体的にはアクセスの際に、デジタル署名や多要素認証などを使って、正規のユーザであることを確認し真正性を維持します。

2)責任追跡性
責任追跡性(Accountability)とは、ユーザ(組織や個人)がデータに対して行った動作を追跡できるようにしておくことです。万一、データの破損や流出などが起きた時に、どのような動作が行われていたのか、あるいは誰が何をしていたのかが追跡できれば、原因の解明に役立ち、責任を問うことができます。具体的には、アクセスログや操作履歴を残すことで対策を行います。

3)否認防止
否認防止(non-repudiation)とは、データに対して誰かが行った動作や行為が、後から否認されないように証明できるようにしておくことです。前述の責任追跡性と関連しており、デジタル署名の導入、アクセスログや操作履歴を保存しておくことで、動作が行為を行ったことを証明し、行った人物が後から否認できないようにしておきます。

4)信頼性
信頼性(Reliability)とは、データを扱う情報システムに不具合やバグなどがなく、ユーザが意図したとおりに確実に動作することをいいます。ユーザが悪意を持って操作したり、操作ミスなどでデータを改ざんしてしまったり破損してしまったりする以外に、システムの不具合やバグによってもデータの改ざんや破損は起こりえます。情報セキュリティを実現していくうえにはきわめて当たり前のことですが、ユーザが意図したとおりに動作し、ヒューマンエラーを防ぐシステムが必要です。 具体的には、システムのバグを可能な限り減らす設計・構築を行う、バグは迅速に改修する、ユーザが操作ミスをしてもデータが改ざんされない、破損しない仕組みを整えるなどです。

情報セキュリティの具体的な対策方法

インターネットの普及に伴い、私たちが利用する情報がデジタル化され、情報漏えいやハッキングなどの情報セキュリティ上のリスクが増加しています。企業においても、このようなリスクからのセキュリティ対策が求められており、情報セキュリティ対策は重要な課題となっています。それぞれ必要な情報セキュリティの具体的な対策方法について見ていきましょう。

1.ウイルス対策の強化

アンチウイルスソフトの定期的な更新を行う

アンチウイルスソフトは、コンピュータウイルスやマルウェアなどの悪意あるプログラムからコンピュータを保護するために使用されます。アンチウイルスソフトを定期的に更新することにより、新しい脅威に対しても対策できるようになります。

パッチ更新、セキュリティアップデートを頻繁に行う

パッチ更新、セキュリティアップデートは、コンピュータやソフトウェアの重要な脆弱性を修正するためのアップデートです。これらのアップデートは、ウイルスやマルウェアなどの攻撃からシステムを保護するために重要です。

不正なメールには慎重に対処し、添付ファイルやリンクの開封を避ける

不特定多数のユーザから届くメールの中には、ウイルス感染を狙った悪意のあるメールもあるため、信頼できる送信元かどうかを確認したうえで開封する必要があります。インターネットからファイルをダウンロードする場合も、信頼できるサイトからしかダウンロードしないようにしましょう。

ファイアウォールの利用

ファイアウォールを利用することで、外部からの攻撃や不正なアクセスを防止することができます。

2.パスワード管理の徹底

強固なパスワードの作成

単語や生年月日など、他人に推測されやすいパスワードの使用は避けましょう。英数字や記号を組み合わせることで複雑なパスワードを作成できます。また、同じパスワードを複数のサイトで使用しないようにしましょう。

定期的なパスワードの変更

定期的にパスワードを変更し、前回と同じものを使用しないようにしましょう。

2段階認証の利用

2段階認証はID・パスワードと併せて、携帯電話などに送られてくるコードを確認することにより本人確認を行う仕組みです。2段階の認証を通すことでセキュリティを高めることができます。

3.社内教育の実施

セキュリティ勉強会の開催

定期的に情報セキュリティに関する勉強会を開催することにより、セキュリティへの正しい理解を促しましょう。

社員の意識調査の実施

社員の情報セキュリティに対する意識を知ることで、社内教育の改善点や必要な分野を特定できます。

メールマガジンや社内ポータルサイトを活用した情報提供

社員が日常的に目にする社内向けのメールマガジンや社内ポータルサイトなどを活用してセキュリティの最新情報や注意事項を提供することで、社員のセキュリティ意識を高めます。

4.セキュリティ対策ソフトの導入

情報セキュリティ対策として、セキュリティ対策ソフトの導入が必要です。セキュリティ対策ソフトは、さまざまな脅威や攻撃からシステムを守るために必要なソフトウェアです。セキュリティ対策ソフトには主に以下3つの機能があります。

アンチウイルス機能

コンピュータウイルスやマルウェアなどの有害なプログラムを検知し、駆除することができます。

ファイアウォール機能

外部からの不正なアクセスを遮断し、情報漏えいのリスクを軽減することができます。

スパムフィルタリング機能

不要なメールやスパムメールを削除し、社員が開封してはいけないメールをフィルタリングします。

あらゆるセキュリティ対策をNECフィールディングは提供します

Webサービスからの個人情報の流出、標的型攻撃メールを使った巧妙な不正アクセス、ランサムウェアによる身代金要求など、企業のセキュリティに対する脅威が次々と登場しています。その一方で、個人情報流出に対する損害賠償や、サプライチェーンに及ぼす影響など、経営に及ぼす影響もますます大きくなっています。セキュリティ対策は今や経営の重要課題であり、社会的責務となっています。

NECフィールディングは、例えば「標的型攻撃対策サービス」といった具体的な脅威への対策サービスから、社員に対する「セキュリティ研修サービス」「施設のセキュリティ対策サービス」など、幅広いセキュリティ対策メニューをラインナップしています。お客様のご要望や環境に合わせて最適なソリューションを提供します。

セキュリティはコストではなく投資

ITとネットワーク化の進展で、企業に対するセキュリティの脅威は拡大する一方です。攻撃者に国境はなく、手口はますます巧妙になっています。またクラウドの利用やテレワークの進展で「外部の攻撃から社内を守るために社外と社内の境界線を厳重に守る」という考え方や手法は時代遅れになりつつあります。セキュリティを巡る状況が大きく変化している今、セキュリティをコストとして捉えるのではなく、企業の競争力を維持・強化するための投資と捉え、アクティブに取り組んでいくことが重要になっています。

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。