コラム

情報セキュリティとは何か
~その脅威と個人・企業での対策

1.情報セキュリティとは何か

情報セキュリティとは企業や組織などで保有する情報全般(情報資産)を安全に保つための取り組み全てを指します。総務省は、情報セキュリティを以下のように定義しています。

情報セキュリティとは、私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それが情報セキュリティ対策です。

(出典)総務省 国民のための情報セキュリティサイトより
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/security/index.html

情報資産には顧客情報や販売情報などの情報自体と、それを記録したファイルや電子メール、パソコンやサーバーなどの記録媒体も全て情報資産に含まれます。情報セキュリティ対策を怠ると、情報漏洩やサイバー攻撃のリスクが高まり、企業の信用失墜や経済的損失を招く可能性があります。いまや企業や組織にとって、情報資産を守るために行う情報セキュリティ対策は、重要な経営課題の一つです。

2.情報セキュリティ対策が重要な理由

企業における情報セキュリティ対策は、以下の理由から非常に重要です。

顧客からの信頼の維持

情報漏洩が発生すると、顧客の信頼を失い、企業のブランドイメージが損なわれます。顧客情報を適切に保護することで、顧客の信頼を維持し、長期的な関係を築くことにつながります。

法令順守

多くの国や地域では、個人情報保護法やデータ保護規制が存在します。これらの法令を遵守するためには、適切な情報セキュリティ対策が必要です。違反すると、罰金や法的措置が取られる可能性があります。

経済的損失の防止

サイバー攻撃や情報漏洩が発生すると、企業は多額の損失を被ることがあります。これには、データ復旧費用、法的費用、顧客補償費用などが含まれます。情報セキュリティ対策を強化することで、これらのリスクを軽減できます。

3.情報セキュリティの7要素(3大要素と追加された4要素)

これまでは情報セキュリティの考え方についてみてきましたが、ここからは情報セキュリティで取り扱う情報資産をどのような状態に保つことが必要なのか解説します。

機密性

機密性(Confidentiality)とは、許可されたものだけが情報にアクセスできるようにすることです。閲覧権限を付与したり、物理的に鍵のかかる金庫で保管したりすることを指します。

完全性

完全性(Integrity)とは保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊や編集されたりしないことを指します。

可用性

可用性(Availability)とは許可されたものが必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性がある状態とは、情報を提供するサービスが常に動作しているということを指します。

「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Integrity)」の3つの頭文字をとってCIAとも呼ばれています。これが広く知らせている情報セキュリティの3大要素です。
近年ではこれに加えて「真正性」「責任追跡性」「信頼性」「否認防止」の4つを加えた7つの要素が提唱されています。

真正性

真正性(Authenticity)とは情報にアクセスするユーザーあるいは媒体が「アクセス許可された人やシステム」であることを確実にするものです。情報へのアクセス制限は、情報セキュリティにおいて重要な要素であり、許可されていない人物が何らかの方法でアクセスできてしまう状態は、真正性が損なわれているといえます。

責任追跡性

責任追跡性(Accountability)とは情報やシステムに対する操作が、誰によってどのように行われたのかを明確にすることを指します。これにより、データやシステムへの脅威が何であるのか、あるいは誰のどのような行為が原因なのかを追跡します。

信頼性

信頼性(Reliability)とはシステムの処理やデータ操作が、意図した通りに事項されることを指します。欠陥や不具合等がある場合、そのデータは完全性を失い、情報としての信頼性は著しく低下します。

否認防止

否認防止(non-repudiation)とは、例えば組織や個人が情報の改ざんや情報利用をした場合、本人がそれを後から否認できないよう証明する措置をとることを指します。責任追跡性と同様にアクセスログや端末の操作ログを取得し、確実に保存することが重要です。

4.情報セキュリティにおける10大脅威とリスク

情報セキュリティが安全に保たれなかったとき、どのような脅威にさらされるのでしょうか。個人と組織それぞれの脅威トップ10は下表のようになります。


引用:独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html

上述のように、情報セキュリティ対策が機能せず脅威にさらされた場合、企業や組織には以下のようなリスクが想定されます。

1)機密情報の漏洩

機密情報の漏洩は企業や組織の競争力や信頼を大きく損なう可能性があります。ウイルスへの感染や社員による不正な情報の持ち出し、あるいは記録媒体の紛失などさまざまな原因により発生します。

2)個人情報の流出

情報資産のなかに個人情報が含まれている場合、賠償や訴訟のなどの大きな問題に発展することがあります。企業のブランドイメージを大きく低下させ、顧客離れなど、経営に大きな影響が出る可能性があります。

3)ホームページの改ざん

自社のホームページにウイルスを埋め込まれてしまった場合には、ホームページの訪問者にウイルス感染を引き起こしてしまうこともあります。取引会社からの信頼を失い、取引停止などにも繋がります。

4)システムの停止

ウイルス感染などにより、社内の基幹システムが停止してしまうと、業務自体が停止しかねません。その間に顧客が競合会社のサービスに移ってしまうことも考えられ、販売機会の損失にも繋がります。

5)ウイルスの感染

ウイルス感染は感染しているパソコンなどの機器のみならず、ウイルス自身を複製して、他のパソコンに感染を広げたりします。利用者が気づかないところでネットワーク上の他のパソコンを攻撃する可能性もあります。
組織として情報セキュリティ対策の不十分なパソコンを保有することで、結果的に社内の利害関係者に損害を与えてしまうことも考えなければなりません。

このように情報セキュリティ対策が不十分な場合、企業に対して大きな影響を与える可能性があることを認識して対策を講じることが必要です。

5.情報セキュリティ対策の種類

情報セキュリティを高めるための対策は、大きく分けると「技術的」「物理的」「人的」の3つがあります。

技術的対策

システムやデータ、ネットワークなどに対して、ハードウェア・ソフトウェア面からセキュリティリスクを防止するための対策です。「ウイルス対策」や「不正アクセス」「データ保護」などリスクが多岐にわたるため、何に対する対策なのか明確化することが大切です。

物理的対策

不法侵入や破壊、紛失や災害といった物理的な要因で発生するセキュリティリスクに対応するための対策です。入退室記録の管理や生態認証、監視カメラなどオフィスのセキュリティを物理的に上げるだけでなく、災害が発生した場合のリスクを考えた上で対策を取ることも大切です。

人的対策

ヒューマンエラーや従業員による不正な情報の持ち出しなど、人が原因で発生するセキュリティリスクを防止するための対策です。手順のマニュアル化やルールの明確化・周知によるエラーの軽減だけでなく、情報セキュリティに関する教育やコンプライアンスに関する研修等を行うことは非常に重要です。

コンプライアンスeラーニングの決定版!コンプライアンスイマジン
https://www.ntthumanex.co.jp/service/compliance-imagine/

IPA提唱「SECURITY ACTION」に対応したeラーニング!セキュリティアクション講座
https://www.ntthumanex.co.jp/service/secaction/

6.情報セキュリティ対策(個人編)

「技術的」「物理的」「人的」対策を、個人・企業別に整理し解説していきます。まずは企業内で個人が行うべき対策について解説します。

1)ソフトウェアを最新に保つ

パソコンやスマートフォンなどの端末には、それを動かすためのオペレーティングシステム(OS)と呼ばれるソフトウェアが搭載されています。
こうしたソフトウェアには、時間の経過とともに、脆弱性と呼ばれる不具合が発見されることがあります。脆弱性は、プログラムの不具合や設計ミスに起因して起こるものですが、それらが発見されるたびに、それを修正するための修正プログラムが、メーカーから配布されています。代表的なソフトウェアでは、最近は、「ソフトウェアの更新が必要です」という形で通知が表示されることが多くなっています。
従いまして、ソフトウェアを最新に保つことで、ウイルス対策に強い機器に更新することが可能です。

2)ウイルス対策ソフトを活用する

ウィルス感染しないように、もしくはウイルス感染した際にすぐに確認できるようにすることが大切です。
ウィルス感染してしまうと、自分のコンピュータが被害を受けるだけではなく、インターネットを介して別のコンピュータに対して感染活動を行い、加害者になってしまうことがあります。ウイルス感染対策のサービスも自動更新されていないことにより期限切れであったということがないように注意が必要です。

3)危険なホームページサイトを閲覧しない。

ホームページにも情報収集や犯罪への利用を目的とした悪意あるホームページが存在しています。そういったサイトを閲覧したことがきっかけで、コンピュータのシステムが壊されたり、ウイルスに感染することがあります。
怪しいサイトに閲覧できないようにするなどの制限を企業側がかけることも可能です。必要に応じて対策を講じることが求められます。

4)パスワードの設定と管理

より強固なパスワードを使用する、またパスワードを安易に他人が見える場所に記載しないという点が重要です。パスワードの使い回しをなくし、生年月日など推測されやすい記号を使用せず、定期的にパスワードを更新することが必要です。

5)フィッシング詐欺を見分ける

フィッシング魚釣り(fishing)と洗練(sophisticated)から作られた造語だと言われています。手口はとても巧妙で、送信者を詐称した電子メールや偽のホームページに接続させたりすることで、クレジットカード情報やアカウント情報(ユーザーID、パスワード)を盗み出す行為を指します。
怪しいと感じた場合にはメール開封せずに、送信者に電話確認などをすることも有効です。

6)ワンクリック詐欺と思われるサイトに接続しない

ワンクリック詐欺とはその名の通り、URLを一度クリックしただけで、一方的にサービスへの入会など契約成立を宣言され、多額の支払いを求められるという詐欺です。「電子消費者契約及び電子承諾通知に関する民法の特例に関する法律」では、「電子消費者契約に関する民法の特例」として、消費者がコンピュータの操作ミスなどで、契約する意思がなく申し込んだ場合における救済措置が取られています。
間違ってクリックした場合や意図せずwebサイトを閲覧して料金を請求された場合は、こちらから連絡をせずに無視しましょう。

7)無線LANを安全に利用する

無線LANは利便性が高い一方、通信内容が傍受(盗聴)される危険性があります。プライバシー性の高い情報をやり取りする場合には、自分と相手先との間で通信が暗号化(SSLやTLS)されていることを確認しましょう。
また、現在はセキュリティ機能を強化した無線LAN機器が普及していますので、そのような機器を積極的に利用することをお勧めします。

8)機器を適切に廃棄する

パソコンやスマートフォンなどの電子機器はさまざまな情報が記録・保管されています。こうした機器をそのまま廃棄業者に廃棄を依頼した場合、第三者に機器から情報を搾取される危険性があります。
このような情報漏洩を防ぐためにも、機器を廃棄する場合は、事前にデータを完全に消去することが重要です。データの消去には初期設定状態にすることや、市販のデータ消去ソフトを活用することも有効です。また、物理的に破壊して、記録媒体を復元できない状態にして廃棄することも効果的です。

9)プライバシー情報を記録しない

個人に関する情報は氏名、性別、生年月日、住所といった個人を特定できる情報のほかにも、電話番号やメールアドレス、職業や家族構成に関する情報などもプライバシー情報に関する情報です。
このような情報はパソコンなどの媒体に記録しないことが重要です。加えて、SNS(ソーシャルメディアサービス)などにも、個人的な情報が推察されないように配慮することが大切です。

6.情報セキュリティ対策(企業編)

企業全体で取り組むべき対策について解説します。個人での対策と重複する内容は割愛します。

1)電子メールの誤送信対策

電子メールの誤送信は取引先からの信用失墜だけではなく、企業情報の流出に直結します。また、電子メールは相手方に届いてしまうと、こちらで消去することはできません。
この電子メール誤送信を防ぐためにもメールアドレスのオートコンプリートと呼ばれる自動補完機能によるアドレスのご入力を防止することが有効です。そのほかには、メールソフトを活用すると送信前に送信者の再確認を促す機能もあります。
ヒューマンエラーは個人がどれだけ気を付けても発生する可能性はあります。従業員教育に加え、上述のようなシステム的な対策が有効です。

2)標的型攻撃への対策


最近、特定の企業や組織を狙った標的型攻撃メールにより、重要な情報が盗まれる事件が頻発しています。

標的型メールとは、不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、対象の組織から重要な情報を盗むことを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルスつきのメールのことです。とても巧妙なメールのため、一目では見分けがつきづらいのですが、最近のメールのやりとりなどから判断をすることが重要です。

たとえば、最近やりとりがなかったのに、突然メールが届いた、最近のやりとりの内容と全く脈絡のない内容のメールが届いた、などの場合は注意が必要です。このような疑わしいメールを受け取った場合は、情報管理者にすぐに報告・相談するようにしましょう。
また、最近の標的型攻撃メールは、誰でも取得可能なフリーメールアドレスを利用して送信されることが増えているので、フリーメールアドレスから送られてきたメールは特に注意が必要です。

3)バックアップ

安全にパソコンを利用するためにも定期的なバックアップは必要不可欠です。バックアップの方法はオンラインストレージや外付けのハードディスクなどの記録媒体があります。
例えば1日ごとにバックアップが取られていれば、何らかの都合で初期化しなければならない事態に陥った場合でもすぐに元の業務に復旧することが可能です。

4)テレワークで業務用端末を利用する場合の対策

テレワークで自宅や外出先でノートパソコンやタブレット端末を利用するケースが増えてきています。電車内の置き忘れなどによる紛失や盗難などの情報漏洩はあってはなりませんが、自宅内でのウイルス対策も重要です。
また、ネットワーク側のセキュリティ対策としてVPNもよく使われるようになりました。VPNは端末から企業までの通信を丸ごと暗号化して外部からの侵入を防ぎ、外部での環境においても企業内と同等のネットワーク環境を使えるようにするものです。
ほかにはシンクライアントと呼ばれる、端末上には情報をほとんど記録せずに入力・表示などの機能しかできないようにすることにより、端末に何か起きた場合でも情報漏洩の影響を最小限にすることも有効です。

5)ソーシャルエンジニアリングの対策

暗証番号を電話で聞き取ろうとしたり、肩越しに暗証番号を見られることのないように覗き見防止フィルターをパソコン画面に貼ったり、パソコンから離席した際にスクリーンセイバーが起動するような設定も有効です。

6)クラウドサービス利用時の注意点

社内の情報資産をクラウドサービスに預けるという利用が進んでいる企業も増えている一方で、クラウドサービスのサービス提供者のシステム障害や運営の不備などが原因でシステム上のデータが消えてしまう事態も発生しています。万が一、クラウドサービスで障害が発生し、データが消えてしまった場合に備え、データのバックアップを取得しておくことが必要です。

8.まとめ

今回は、情報セキュリティについて解説してきました。
近年、技術の飛躍的な進歩によりあらゆる面で便利になっている反面、私たちは常に脅威に常に晒されています。適切なパスワード利用や、アナログでの情報管理など、これを機会に皆様の企業にはどのような情報資産を有しており、その情報資産はどの程度の価値や漏洩時のリスクがあるのか、あらためて棚卸しされてみてはいかがでしょうか。

また、情報資産を守るのは最終的にはそれを扱う「個人」です。従業員一人ひとりがそのことを認識し、常に高い意識で情報セキュリティ対策を行えるよう、研修の実施や定期的な啓発活動の実施が重要です。

NTT HumanEXでは、従業員一人ひとりが情報セキュリティやコンプライアンスを“自分ごと”として理解を深められるよう工夫したeラーニングコンテンツを多数ご用意しています。ぜひご活用ください。

■情報セキュリティに対する意識向上におすすめ

リアルなケースとポップなアニメーションで情報セキュリティの重要性と「わかる」と「できる」の違いを理解するeラーニング「情報セキュリティイマジン」
https://www.ntthumanex.co.jp/service/secimagine/

“楽しいからこそ真の学びになる”情報セキュリティeラーニング「情報セキュリティ共感講座」
https://www.ntthumanex.co.jp/service/secsympathy/

IPA提唱“SECURITY ACTION”に対応したeラーニング「セキュリティアクション講座」
https://www.ntthumanex.co.jp/service/secaction/

■コンプライアンスに対する意識向上におすすめ

コンプライアンスeラーニングの決定版!自分ごと化を促進し理解を深める「コンプライアンスイマジン」
https://www.ntthumanex.co.jp/service/compliance-imagine/

弁護士監修ドラマで印象的に学ぶ「ドラマで身につくコンプライアンス」
https://www.ntthumanex.co.jp/service/dcompliance/

関連コラム

人気コラム

コラムカテゴリ

関連サービス・システム

お問い合わせはこちらから
メールマガジンの登録はこちらから

人材育成読本ダウンロードはこちらから