情報セキュリティ事始め
情報セキュリティとは
「情報セキュリティ」とは一体何者でしょう?最近、ニュースやインターネット記事でよく目にするワードだと思います。情報セキュリティとは一体何者で、なぜ必要なのか、何を実施すべきなのか、実施しなかったらどうなるのかを紹介したいと思います。
本投稿では、これから情報セキュリティを学ぶ方や、何となく分かっているけど詳しく知りたい方向けに、なるべくやさしい言葉で解説します。
インターネットが普及してから様々な情報が大量に利用できるようになりました。図書館へ行かなくても自宅のPCで調べものができたり、店舗へ出向かなくても買い物ができたり、市役所へ行かなくても行政手続きができたりします。さらに、出社せずともリモートワークとして自宅で仕事ができるようになりました。とても便利な時代になりました。これらの活動はインターネットで情報を送ったり、受け取ったりすることで行われます。この「情報」とは何でしょう?
買い物するときはクレジットカード番号や暗証番号、行政手続きをするときは個人の住所や氏名、リモートワークでは自社やお客様の情報資産をインターネット上でやりとりすることになります。
インターネットが普及して得た利点は多くありますが、その反面リスクもあります。それは情報の漏洩です。インターネット上でこれらの情報をやり取りする上で無関係の第三者に見られてしまい、悪用される危険性があります。
この危険性を可能な限り最小化する活動を情報セキュリティと呼びます。ここでは、特に企業で対策すべき情報セキュリティについて紹介したいと思います。
企業における情報セキュリティ
企業における情報には、自社の事業計画、収支計画等、新製品の設計書など社外へ持ち出せないものが多くあります。これらの情報は企業にとっての資産であり、小売店の商品や材料と同じように扱われ、盗まれたら困るものです。情報が漏洩することは、情報が悪用されることに直結します。先に述べた様なリスクを最小化するために、これらの情報を適切に管理する必要があます。
一般的に企業における情報セキュリティは以下の様に表現されます。
企業が扱う情報資産を「機密性」「完全性」「可用性」に関する脅威から保護する活動。
情報セキュリティに関してCIAという言葉を聞いたことがあると思います。これは、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の頭文字をとったものです。この「機密性」「完全性」「可用性」とは何なのか詳しく見てみましょう。
機密性
許可された人やシステムが情報資産を利用できることです。逆に言えば、許可されていない人やシステムが情報資産を利用できることはあってはならないのです。
身近なところでは、システムへログインする際のIDとパスワードの管理です。安易なパスワードの使い回しは、不正ログインのきっかけとなり、機密性の崩壊につながります。
許可された人とはどの様な人かよく検討する必要があります。一律に関係者全てにアクセス権を付与するのでは無く、情報を参照するだけの人には、読み取り権限のみで書き込みの権限を与えない、また、情報の書き換えを担当する人には読み取り、書き込みの両方の権限を付与するなど、人に対してでは無く業務に対して細かな「許可」を検討することが必要です。
完全性
情報資産が改ざんや破壊されていない状態であることです。ネットワークやシステムを介する間に情報の書き換えや、欠損があってはならないのです。
完全性を保つためには、システムやネットワークのしっかりとした設計はもちろんですが、人為的ミスを防ぐためにも、情報資産を扱う担当者のオペレーション教育も効果的です。
可用性
必要な情報資産をいつでも、安全に利用できることです。
機密性、完全性が保たれた情報資産がそこにあることが分かっているのに、常にシステムトラブルで情報を得られない状態では本末転倒です。
情報資産を提供するサービスが常に安定稼働していることが重要です。
さらに、災害時であっても情報資産を失わない、利用可能な状態を保つためにバックアップを取得することは可用性を保つ上で効果的です。
これらのリスクから情報資産を守るために法令やガイドラインが公布されています。どの様な法令やガイドラインにどんなことが書かれているかを学ぶことは、自身の活動の幅を広げることになるでしょう。