情報セキュリティとは?その要素やリスクアセスメントについて解説

この記事は約9分で読めます。

情報セキュリティ

この言葉に聞きなじみがあっても、具体的にどんな意味かを説明するのは難しいのではないでしょうか。

なんとなくで使っているこの言葉を、より具体的にそして情報セキュリティにとって重要な「リスクアセスメント」について解説します。

また、企業の情報セキュリティご担当者様や、これから情報セキュリティ対策を進めようとお考えの経営者様に向けて、【情報セキュリティチェックシート】を無料で配布しています。

様々ある情報セキュリティ対策の中で、一番初めにあり、避けては通れないのが、自社のセキュリティ状況の把握です。このチェックシートをお使いいただくことで効率的にセキュリティ状況の把握を行い、取るべき対策を把握することができます。

こちらから無料でダウンロードして、チェックしてみてください。

情報セキュリティとは

そもそも「情報セキュリティ」とは一体何でしょうか。

「セキュリティ」は、英語で”安全”を意味します。
つまり情報を安全にする」ことが情報セキュリティです
そしてそのセキュリティ(安全)を守るための対策が「情報セキュリティ対策」といいます。

スマホやパソコンに不正アクセスがされないようにセキュリティソフトを入れる。
会員サイトから自分の個人情報が漏洩しないよう不正アクセス(本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入する行為)から守るため、認証方法を考える。
地震、雷、火災などといった自然災害への対策でUPSを導入するなども情報セキュリティ対策と言えます。

情報セキュリティの7要素とは

情報セキュリティには以下の7つの要素が存在します。

1つずつ解説します。 

機密性

機密性とは、認可されていない者が情報を利用できないようになっている、または非公開となっている状態を指します。

リスクとして、パソコンにパスワード等を設定せずそのまま使用したり、万一パソコンを紛失した時に、中のデータを盗み出され情報漏えいにつながる恐れがあります。

また、公衆Wi-Fiなどの暗号化されていない通信を利用して情報をやりとりしてしまうことも、第三者から情報を盗み出されてしまう原因となります。

完全性

完全性とは、情報や情報の処理方法が最新かつ正確である状態を指します。

例えば、メールや電話番号、住所等の個人情報が正しいか、マニュアルに最新の運用が反映されているかどうか完全性が保たれているかが判断できます。

保有している情報に誤りがあったり、最新の情報に差し替えられていなかった場合、業務に様々な支障をきたす恐れがあります。
このため、情報を更新する際には、管理者によるダブルチェックを義務付けるなどの対策が必要です

可用性

可用性とは、許可を受けた者が必要な時に、情報をいつでも利用できる状態を指します。

例えば、パソコンの故障やネットワークの不具合などによって、必要な情報にアクセスできないような状態は可用性を確保できていないということになります。 

このため、バックアップの実施や機器の冗長化などの対策を取ることが必要です。
また、オフィスやデスクを整理整頓し、どこにどの書類があるのか一目瞭然な状態にしておくことも、可用性を確保する手段の一つです。

真正性

真正性とは、利用者やシステムの振る舞いが本物であることが証明できる状態のことを指します。

例えば、第三者によるなりすましや偽の情報によるシステムの利用を防ぐことが、真正性の確保につながります。
有効な手段としては、デジタル署名を利用して情報の発信元を本物であると証明することが考えられます。

信頼性

信頼性とは、システムが一貫して不具合や矛盾がなく動作する状態です。

機器やシステムが不正な動作をせず、意図した通りに機能する状態となっていることが求められます。
システムのバグを修正したり、開発元不明のシステムは利用しないなどの対策が必要です。

情報セキュリティマネジメントを構築する際には、コンセプトのどれかに特化するのではなく、バランスを意識しながらそれぞれに対策を遂行することが重要です。

責任追跡性

責任追跡性とは、誰がいつどの情報を利用したのかが明確になっている状態のことを指します。

ファイルの作成や更新、削除等が行われた場合、それを行なったのが誰なのかを正確に把握できるようにしておくことで、万一の事故が起きた際に責任の所在を明らかにすることができます。

否認防止性

否認防止性とは、情報が後に否定されないように証明しておくことです。

例えば、組織や個人が情報の改ざんや情報利用をした場合、本人がそれを後から否認できないようにログを取っておくなどの措置が必要となります。
この措置は、責任追跡性の施策にて同時に実現でき、主にデジタル署名や各種ログが利用して否認防止性を高めます

情報セキュリティのリスクアセスメントとは

情報セキュリティの7つの要素を解説しました。

難しい言葉を使っていて、イメージしづらいと思いますが、

「決まった人にしか見れないようパスワードを掛けているか」
「2段階認証で本人か確かめられているか」

などの身近におこなわれている対策が、当たり前にできているかが重要です。

次に、リスクアセスメントについて解説します。

アセスメントとは英語で「評価・判断」という意味です。 

職場にある様々なリスクを見つけ出し、それにより起こる労働災害の重大さから、リスクの大きさを見積もり、大きいものから順に対策を講じていく手法です。 

主な対応は以下3つです。

1つずつ見ていきましょう。 

リスク回避

リスク回避「リスクが発生する原因」を完全に失くしてしまう手法です。

一般ユーザーなど、外部とのネットワークを遮断し、そもそもアクセスが誰にもできない状態にして、外からの不正アクセスを防止することや、極秘プロジェクトのデータを削除し、全く別の管理方法に変更するなど、誰にもどうすることもできないという状況を作り出す方法なため、リスクを無くすという意味では最も効果的でしょう。

ですが、一般ユーザーがアクセスできず、情報共有が難しくなるなど、同時に多数のデメリットを生んでしまいます

リスク低減

リスク軽減とは、リスクの発生頻度や影響度を低減させる対応です。

発生原因を完全に無くしてしまうリスク回避と違い、発生原因を完全に失くさずリスクを減らすという考えです。

IPSやWAFなどのセキュリティ製品を設置し、外部の脅威からシステムを守ったり、サーバー室に入室できる人物を制限するなど、リスクの可能性をできる限り低減させます。

リスク回避よりも比較的現実的な手段が多いですが、攻撃を受けるリスクを完全に失くせる訳ではないので、リスクが0にはなりません

リスク移転

リスク移転とは、リスクを自分たちで負わずに他社に移すことです。

わかりやすい例で言えば「保険」です。
自動車保険は、交通事故で多額の賠償金を払うリスクを移転させています。

このようにサイバー保険や、他社にサイトの運営を任せるなどして、自身がリスクを追わなくていい状態を作ることをリスク移転と言います。
ただし、自身でしか運用ができないシステムや、個人情報を扱うので外部に業務委託できないなど、リスク移転が実施できない場合もあります。
そのため万能につかえるリスク対策ではありません

情報セキュリティマネジメントシステム(ISMS)の整備がおすすめ

セキュリティのリスクアセスメントについて解説しました。

情報セキュリティを高めるには、様々な施策を実施する必要があるということが理解できたかと思います。

ですが「情報セキュリティを高めたい!」と思っても、知識や経験がないと難しいですし、会社としても、「セキュリティカードを作る」「入室した人を記録する紙を作る」「インターネットに接続しないデータ保存用のPCを用意する」などといった準備やルールの作成が必要になります。

そこで参考にしたいのが「情報セキュリティマネジメントシステム」です。 
情報セキュリティマネジメントシステム(Information Security Management System)は、英語の頭文字を取ってISMSと呼ばれています。

ISMSは、「情報管理の仕組み」を指し、問題毎の対策や、必要なセキュリティレベルを決めてシステムを運用することです。

先述した

  • 機密性
  • 完全性
  • 可用性
  • 真正性
  • 信頼性
  • 責任追跡性
  • 否認防止性

の7つの要素と

  • リスク回避
  • リスク低減 
  • リスク移転

の3つの対応策も、ISMSの一環です。

このISMSには認証制度があり、指定の審査機関が企業の情報セキュリティマネジメントシステムを審査して国際標準と同等の「ISMS認証基準」を満たしていれば、認証企業として認められ「情報セキュリティをしっかりと実施している企業」として外部からの信頼を得ることができます

そのため、まずはISMSを参考にしてルールを整備するところから始めてみましょう。

LRMでは情報セキュリティ&コンサルティングサービスを実施

LRMではISMS/ISO27001の認証取得コンサルティングを行っています。

過去に2,300社のコンサルティングをした実績があり、専門家がチームとなって全力でサポートいたします。

訪問回数無制限・文章の作成・認証取得100%という3つのポイントでお客様に好評をいただき、Chatwork様やウォンテッドリー様などと言ったIT業界でも屈指の知名度を誇る企業にもご利用いただいています。

ぜひこの機会にご利用ください。

まとめ

情報セキュリティについて解説しました。

自社の情報を守るために、社内でのルールを整備する必要があるということが変わったのではないでしょうか。

情報セキュリティに関しての知識が無い方が、情報セキュリティについて対応しなくてはならなくなった場合は、コンサルティングにISMSの認証を依頼するのが効果的かつ確実です。

個人情報流出など、重大な問題になる前に、事前にリスクを算定して適切な対策をできるようにしていきましょう。

会社のセキュリティ担当の方は、この記事をぜひ参考にしてみてください。

また、効率的にセキュリティ状況の把握を行い、取るべき対策を把握することができる【セキュリティチェックシート】はこちらから無料でダウンロードできます。ぜひご活用ください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました