情報セキュリティとは何か
~その脅威と個人・企業での対策
1.情報セキュリティとは何か
情報セキュリティとは企業や組織などで保有している情報全般(情報資産)を安全に保つ取り組み全てを指します。総務省は、情報セキュリティを以下のように定義しています。
情報セキュリティとは、私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それが情報セキュリティ対策です。
(出典)総務省 国民のための情報セキュリティサイトより
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/security/index.html
情報資産には顧客情報や販売情報などの情報自体と、それを記録したファイルや電子メール、パソコンやサーバーなどの記録媒体全て情報資産に含まれます。いまや企業や組織にとって、情報資産を守るために行う情報セキュリティ対策は、重要な経営課題の一つです。
情報セキュリティ対策を進めていくために、組織全体の基本方針の策定や、適切な投資が必要であり、経営幹部がどのように対策を取るのか、検討することが必要です。
私たちの会社にはどのような情報資産があり、どのようなリスクがあるかを把握したうえで、情報セキュリティ対策に取り組むことが求められます。
2.情報セキュリティの3大要素
これまでは情報セキュリティの考え方についてみてきましたが、ここからは情報セキュリティで取り扱う情報資産をどのような状態に保つことが必要なのか解説します。
機密性
機密性(Confidentiality)とは、許可されたものだけが情報にアクセスできるようにすることです。閲覧権限を付与したり、物理的に鍵のかかる金庫で保管したりすることを指します。
完全性
完全性(Integrity)とは保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊や編集されたりしないことを指します。
可用性
可用性(Availability)とは許可されたものが必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性がある状態とは、情報を提供するサービスが常に動作しているということを指します。
この3つの頭文字をとってCIAとも呼ばれています。
3.情報セキュリティにおける10大脅威
情報セキュリティで取り扱う情報資産をどのような状態に保つかをみてきましたが、情報セキュリティが安全に保たれなかったとき、どのような脅威にさらされるのか、個人と組織それぞれのトップ10は下表のようになります。
引用:独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2023.html
4.組織における情報セキュリティの脅威
これまでは、情報セキュリティ対策が機能しなかった場合にどのような脅威にさらされるのかをみてきました。ここからは、組織において情報セキュリティの脅威がどのようにあるのでしょうか。具体的に解説します。
1)機密情報の漏洩
機密情報の漏洩は企業や組織の競争力や信頼を大きく損なう可能性があります。ウイルスへの感染や社員による不正な情報の持ち出し、あるいは記録媒体の紛失などさまざまな原因により発生します。
2)個人情報の流出
情報資産のなかに個人情報が含まれている場合、賠償や訴訟のなどの大きな問題に発展することがあります。企業のブランドイメージを大きく低下させ、顧客離れなど、経営に大きな影響が出る可能性があります。
3)ホームページの改ざん
自社のホームページにウイルスを埋め込まれてしまった場合には、ホームページの訪問者にウイルス感染を引き起こしてしまうこともあります。取引会社からの信頼を失い、取引停止などにも繋がります。
4)システムの停止
ウイルス感染などにより、社内の基幹システムが停止してしまうと、業務自体が停止しかねません。その間に顧客が競合会社のサービスに移ってしまうことも考えられ、販売機会の損失にも繋がります。
5)ウイルスの感染
ウイルス感染は感染しているパソコンなどの機器のみならず、ウイルス自身を複製して、他のパソコンに感染を広げたりします。利用者が気づかないところでネットワーク上の他のパソコンを攻撃する可能性もあります。
組織として情報セキュリティ対策の不十分なパソコンを保有することで、結果的に社内の利害関係者に損害を与えてしまうことも考えなければなりません。
このように情報セキュリティ対策が不十分な場合、企業に対して大きな影響を与える可能性があることを認識して対策を講じることが必要です。
5.情報セキュリティ対策(個人編)
脅威に対してどのように対策すべきか、まずは企業内で個人が行うべき対策について解説します。
1)ソフトウェアを最新に保つ
パソコンやスマートフォンなどの端末には、それを動かすためのオペレーティングシステム(OS)と呼ばれるソフトウェアが搭載されています。
こうしたソフトウェアには、時間の経過とともに、脆弱性と呼ばれる不具合が発見されることがあります。脆弱性は、プログラムの不具合や設計ミスに起因して起こるものですが、それらが発見されるたびに、それを修正するための修正プログラムが、メーカーから配布されています。代表的なソフトウェアでは、最近は、「ソフトウェアの更新が必要です」という形で通知が表示されることが多くなっています。
従いまして、ソフトウェアを最新に保つことで、ウイルス対策に強い機器に更新することが可能です。
2)ウイルス対策ソフトを活用する
ウィルス感染しないように、もしくはウイルス感染した際にすぐに確認できるようにすることが大切です。
ウィルス感染してしまうと、自分のコンピュータが被害を受けるだけではなく、インターネットを介して別のコンピュータに対して感染活動を行い、加害者になってしまうことがあります。ウイルス感染対策のサービスも自動更新されていないことにより期限切れであったということがないように注意が必要です。
3)危険なホームページサイトを閲覧しない。
ホームページにも情報収集や犯罪への利用を目的とした悪意あるホームページが存在しています。そういったサイトを閲覧したことがきっかけで、コンピュータのシステムが壊されたり、ウイルスに感染することがあります。
怪しいサイトに閲覧できないようにするなどの制限を企業側がかけることも可能です。必要に応じて対策を講じることが求められます。
4)パスワードの設定と管理
より強固なパスワードを使用するか、という点が重要です。 パスワードの使い回しをなくし、生年月日など推測されやすい記号を使用せず、定期的にパスワードを更新することが必要です。
5)フィッシング詐欺を見分ける
フィッシング魚釣り(fishing)と洗練(sophisticated)から作られた造語だと言われています。手口はとても巧妙で、送信者を詐称した電子メールや偽のホームページに接続させたりすることで、クレジットカード情報やアカウント情報(ユーザーID、パスワード)を盗み出す行為を指します。
怪しいと感じた場合にはメール開封せずに、送信者に電話確認などをすることも有効です。
6)ワンクリック詐欺と思われるサイトに接続しない
ワンクリック詐欺とはその名の通り、URLを一度クリックしただけで、一方的にサービスへの入会など契約成立を宣言され、多額の支払いを求められるという詐欺です。「電子消費者契約及び電子承諾通知に関する民法の特例に関する法律」では、「電子消費者契約に関する民法の特例」として、消費者がコンピュータの操作ミスなどで、契約する意思がなく申し込んだ場合における救済措置が取られています。
間違ってクリックした場合や意図せずwebサイトを閲覧して料金を請求された場合は、こちらから連絡をせずに無視しましょう。
7)無線LANを安全に利用する
無線LANは利便性が高い一方、通信内容が傍受(盗聴)される危険性があります。プライバシー性の高い情報をやり取りする場合には、自分と相手先との間で通信が暗号化(SSLやTLS)されていることを確認しましょう。
また、現在はセキュリティ機能を強化した無線LAN機器が普及していますので、そのような機器を積極的に利用することをお勧めします。
8)機器を適切に廃棄する
パソコンやスマートフォンなどの電子機器はさまざまな情報が記録・保管されています。こうした機器をそのまま廃棄業者に廃棄を依頼した場合、第三者に機器から情報を搾取される危険性があります。
このような情報漏洩を防ぐためにも、機器を廃棄する場合は、事前にデータを完全に消去することが重要です。データの消去には初期設定状態にすることや、市販のデータ消去ソフトを活用することも有効です。また、物理的に破壊して、記録媒体を復元できない状態にして廃棄することも効果的です。
9)プライバシー情報を記録しない
個人に関する情報は氏名、性別、生年月日、住所といった個人を特定できる情報のほかにも、電話番号やメールアドレス、職業や家族構成に関する情報などもプライバシー情報に関する情報です。
このような情報はパソコンなどの媒体に記録しないことが重要です。加えて、SNS(ソーシャルメディアサービス)などにも、個人的な情報が推察されないように配慮することが大切です。
6.情報セキュリティ対策(企業編)
これまでは個人での情報セキュリティ対策をみてきましたが、ここからは企業全体で取り組むべき対策について解説します。 個人での対策と重複する内容は割愛します。
1)電子メールの誤送信
電子メールの誤送信は取引先からの信用失墜だけではなく、企業情報の流出に直結します。また、電子メールは相手方に届いてしまうと、こちらで消去することはできません。
この電子メール誤送信を防ぐためにもメールアドレスのオートコンプリートと呼ばれる自動補完機能によるアドレスのご入力を防止することが有効です。そのほかには、メールソフトを活用すると送信前に送信者の再確認を促す機能もあります。
2)標的型攻撃への対策
最近、特定の企業や組織を狙った標的型攻撃メールにより、重要な情報が盗まれる事件が頻発しています。
標的型メールとは、不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、対象の組織から重要な情報を盗むことを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルスつきのメールのことです。とても巧妙なメールのため、一目では見分けがつきづらいのですが、最近のメールのやりとりなどから判断をすることが重要です。 たとえば、最近やりとりがなかったのに、突然メールが届いた、最近のやりとりの内容と全く脈絡のない内容のメールが届いた、などの場合は注意が必要です。このような疑わしいメールを受け取った場合は、情報管理者にすぐに報告・相談するようにしましょう。また、最近の標的型攻撃メールは、誰でも取得可能なフリーメールアドレスを利用して送信されることが増えているので、フリーメールアドレスから送られてきたメールは特に注意が必要です。
3)バックアップ
安全にパソコンを利用するためにも定期的なバックアップは必要不可欠です。バックアップの方法はオンラインストレージやや外付けのハードディスクなどの記録媒体があります。
例えば1日ごとにバックアップが取られていれば、何らかの都合で初期化しなければならない事態に陥った場合でもすぐに元の業務に復旧することが可能です。
4)テレワークで業務用端末を利用する場合の対策
テレワークで自宅や外出先でノートパソコンやタブレット端末を利用するケースが増えてきています。電車内の置き忘れなどによる紛失や盗難などの情報漏洩はあってはなりませんが、自宅内でのウイルス対策も重要です。
また、ネットワーク側のセキュリティ対策としてVPNもよく使われるようになりました。VPNは端末から企業までの通信を丸ごと暗号化して外部からの侵入を防ぎ、外部での環境においても企業内と同等のネットワーク環境を使えるようにするものです。
ほかにはシンクライアントと呼ばれる、端末上には情報をほとんど記録せずに入力・表示などの機能しかできないようにすることにより、端末に何か起きた場合でも情報漏洩の影響を最小限にすることも有効です。
5)ソーシャルエンジニアリングの対策
暗証番号を電話で聞き取ろうとしたり、肩越しに暗証番号を見られることのないように覗き見防止フィルターをパソコン画面に貼ったり、パソコンから離席した際にスクリーンセイバーが起動するような設定も有効です。
6)クラウドサービス利用時の注意点
社内の情報資産をクラウドサービスに預けるという利用が進んでいる企業も増えている一方で、クラウドサービスのサービス提供者のシステム障害や運営の不備などが原因でシステム上のデータが消えてしまう事態も発生しています。万が一、クラウドサービスで障害が発生し、データが消えてしまった場合に備え、データのバックアップを取得しておくことが必要です。
7.まとめ
今回は、情報セキュリティについて解説してきました。
便利になっている反面、脅威に常に晒されています。適切なパスワード利用や、アナログでの情報管理など、これを機会に皆様の企業にはどのような情報資産を有しており、その情報資産はどの程度の価値や漏洩時のリスクがあるのか、あらためて棚卸しされてみてはいかがでしょうか。