これからますます重要になる「情報セキュリティ」とは?

インターネットの普及が始まってから四半世紀ほどがたち、世の中はインターネットなしでは成り立たなくなるほど社会のインフラとなっています。

また、ここ10年ではスマートフォンやタブレットなど持ち運び可能なデバイスが進化・普及することにより、どこにいても情報にアクセスすることができる社会になりました。

便利になる一方、脅威が増しているのが機密情報や個人情報の外部漏洩や、ウィルス感染によるデータ破壊や感染の拡大などのリスクです。このようなインターネットを利用する上で脅威となるリスクに対して必要な対策を講じることが「情報セキュリティ」です。

IT・ICT業界に関わりのある人が「セキュリティ対策」という言葉を聞くと、デジタルデータが破損しないためのコンピューターでの施策やシステムへの不正アクセスを防止する施策をイメージされる方も多いでしょう。もちろん、セキュリティの意味としてはどちらも正解なのです。

セキュリティは、大きく「情報セキュリティ」と「サイバーセキュリティ」の2種類に分かれます。どちらか一方のセキュリティにとらわれ過ぎると、もう一方のセキュリティがおろそかになる可能性があります。

「情報セキュリティ」は、データやシステムを含めた情報の状態を守るということで、「サイバーセキュリティ」は、インターネット上での不正アクセスや不正アクセスにより発生した電子情報の搾取や流出・改ざんなどのいわゆる「サイバー攻撃」と呼ばれるものを防ぐことを指します。

「サイバーセキュリティ」は情報セキュリティの一部で、情報セキュリティはほかのセキュリティを包含する概念というイメージです。

今回は、これからの時代を生きる上で理解をしておきたい「情報セキュリティ」の基礎知識を解説していきたいと思います。

情報セキュリティで対応すべき脅威

情報セキュリティを脅かすリスクには、「技術的脅威」「人的脅威」「物理的脅威」の3つがあります。これらに対応をしないと重大な事故に繋がりかねない事象(インシデント)が発生してしまうのです。

技術的脅威

技術的脅威とは、プログラムが使用される脅威のことです。ネットワーク上で行われるものも含まれます。

マルウェア、フィッシング詐欺、標的型メールなど様々な方法が存在しますが、メールの偽装を行ったり、セキュリティの低いソフトウェアやプログラムを狙うものが数多く存在します。

人的脅威

人的脅威とは、操作ミスや意図的な情報漏えいなど、人が介在することによって引き起こされる脅威のことです。

メールの誤送信、内部関係者によるデータの持ち去りなどがこのリスクに該当します。

物理的脅威

物理的脅威とは、物理的に破損したり妨害されたりすることをいいます。

地震・洪水などの天災時には、落下による機器の破損や、浸水などが発生します。経年劣化による故障なども含まれます。

情報セキュリティを支える3要素

情報セキュリティは、OECDの情報セキュリティガイドラインによると、「情報の機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」 の3要素からなると定義されており、頭文字をとって「CIA」とも言われます。

この3つの観点で被害を受けるかどうかで脅威を捉え、対策要件を検討して対策を実施し、脅威事象がITかどうか問わず、包括的に捉えます。これらを維持していくことが情報セキュリティ対策の基本といわれています。

では。それぞれの意味を見てみましょう

情報の機密性(Confidentiality)

情報の機密性とは、アクセスの権利を持った人だけが情報と接触したり、使用したりできる状態を確保することです。

アクセス権を設定したり、パスワードを設定することで機密性を保ち、情報漏えいを防ぐことなどを指します。

情報の完全性(Integrity)

情報の完全性は、情報が破壊、改ざん又は消去されていない完全な状態が保たれていることです。

完全性が維持されることで、意図しない情報の改変から守ることができます。

情報の可用性(Availability)

情報の可用性は、情報へのアクセスが認められた者が必要時に中断することなく、情報をいつでも必要な時に取り出したり使用できる状態にあることです。

自然災害に対する対策や情報のバックアップを取得しておくことなどが、可用性を担保するために必要となります。

情報のライフサイクルを理解し脅威から守ろう

情報セキュリティの3要素を理解するのと同時に理解しておきたいのが情報にもライフサイクルがあるということです。

「情報」にも、生み出されてから消滅するまでに「生成」・「利用」・「保存」・「廃棄」という4段階ライフサイクルが存在し、それぞれの段階において先に紹介した情報セキュリティの3要素が保たれていることが必要となります。

生成時は、正確に情報を扱わなければなりませんし、利用時にはアクセス権や情報処理を行なう権限を決め、制限しなければ情報は守られません。

また、保存されているデータの改ざんや持ち出しが起こらないように、安全が確保された場所に保存される必要があります。

最終的に廃棄する時には、第三者からのアクセスを完全に封じたうえで処理が行わなければ完全な情報セキュリティが行われたことにはなりません。

自社に最適な情報セキュリティ対策を

私たちが、これから先インターネットを利用しないで企業成長を維持・発展させていくということはなかなか考えづらいです。その中で、企業が常に意識し、対応をしていかなければいけないのが今回解説をしてきた「情報セキュリティ」です。

情報セキュリティ対策を全く行わなかった場合、ウイルス感染や情報漏えいなどの事故を引き起こす可能性があります。被害が自社だけであれば、まだ良いかもしれませんが、インターネットにより繋がった現在は顧客やパートナー企業などでも被害を及ぼす可能性もあります。

改めて、自社の情報セキュリティ対策の方針や行動指針を明確にした情報セキュリティポリシーを策定し、社員一人一人に対して、情報セキュリティの必要性を理解してもらい、対策を練っていくことが必要です。

ワークプロセスマネジメントプラットフォーム
Tocaro(トカロ)

仕事のあらゆる行動を定量化し、成果につながるプロセスを見える化します。結果、意思決定の柔軟性を高め、チームの生産性を高めることが可能です。さっそくワークプロセスマネジメントプラットフォームのTocaroを使ってみましょう。