本文へスキップ

武安技術士事務所は情報システム開発・情報セキュリティ対策を得意分野とする技術士事務所です。

情報セキュリティ対策についてABOUT SECURITY MEASURE

情報セキュリティ とは何でしょうか?

 「情報」には、CIA特性というものがあります。
 CIAとは、Confidentiality(機密性)Integrity(完全性)Availability(可用性)のことで、保有する情報に対して、こららの特性を維持していくことが必要になります。
 機密性  情報に対して権限を持った人だけがアクセスでき、それ以外の人からはアクセスできないこと
 完全性  保有している情報が、不当に改ざん、削除等を受けることなく情報の正確性を保つこと
 可用性  情報に対して権限を持った人が、必要なときにいつでもアクセスできること

 保有する情報に対して発生するいろいろなリスクに対応し、これら情報の機密性、完全性、可用性を保つことが情報セキュリティの目的になります。

組織(企業、団体、官公署等)で保有している情報とは何でしょうか?

組織内では、以下のような情報を保有しています。
1.組織内の個人情報
2.組織の機密情報、営業情報、技術情報等、外部に漏出させてはいけない情報
3.外部から預かったり委託された個人情報
4.外部組織に関する機密情報で、秘密をすることが契約で定められた情報等

これらの情報に対してCIA特性を保つことが必要なのですが、実際には以下のような事件が発生しています。
 情 報 事 件
組織内の個人情報 個人情報を入れたUSBメモリーを紛失した
組織の機密情報、営業情報、技術情報等、
外部に漏出させてはいけない情報		 外部からサーバーに対して不正アクセスがあり、
サーバーの機密情報が盗み出された
外部から預かったり委託された個人情報 外部から委託された個人情報を社内で開発を行っていた
システムエンジニアが外部に流出させた
外部組織に関する機密情報で、秘密をする
ことが契約で定められた情報等		  社員が退社するときに、社内の機密情報を持ち出した

 また、最近ではSNS等で誰でも情報発信ができるようになったため、不当な情報発信により組織の信用を失う事件が起きていて、これも新たな情報セキュリティに関する問題となっています。

これらの事件が起きないように各種の対策を実施することが
「情報セキュリティ対策」です。

しかし、これは簡単ではありません。

 情報を守るために、情報を完全に閉ざされた状態に置けば、機密性・完全性を保持できますが、それでは情報が使えなくなるため、可用性が守れなくなります。
 従って、これら相反する性質を満足するために、これらのバランスを保ちつつ、安全性を確保することが情報セキュリティに必要になります。


情報セキュリティへの対策−技術対策と人的対策

 情報セキュリティと言うと、サイバーセキュリティやネットワークセキュリティ等の高度な情報通信技術による犯罪への対策を考えがちですが、実際に起きている事件では、人による情報の持出しやうっかりミスによる放置やそれに伴う盗難による事件の方が事件の件数としては多いので、決して高度な情報通信技術対策を行えば十分というわけではありません。
 これらの対策について技術面、人為面の両面で行うことが、情報セキュリティ対策として必要になります。


最近のサイバー攻撃について

 最近のサイバー攻撃では、高度な情報通信技術を利用したものと、人の弱点を突いたものの組み合わせて攻撃が行われるようになっていて、例えば、APT攻撃では、一般の顧客等を装ってメールを送りメールで何回かやりとりして相手を安心させた後、コンピュータウイルスを添付したメールを送り、相手のPCにウイルスを感染させて、そのウイルスにより情報を盗み取ることも行われています。
 さらに、攻撃を受ける側のウイルス対策ソフトの種類や、使用しているOS等の情報を入手して、ウイルスが発見されにくく、ウイルスが感染しやすいPC環境の情報を入手してから、相手をウイルスに感染させるなど、高度に巧妙化していますので、通常の防御策では攻撃を防ぐ事がたいへん難しくなってきています。

最近のサイバー攻撃の対策

 外部から侵入されることを防ぐことが基本になりますが、実際には手口が高度化しているため、入り口で侵入されることを完全に防ぐのは難しくなっているのが現状です。
 そのため、外部からコンピュータウイルスが入ってきて内部で活動しても、情報を持ち出されないようにする、“出口対策”も重要になっています。
 情報を持ち出すことを目的とするコンピュータウイルスの場合には、情報を持ち出されなければ、被害を受けることを防ぐ事ができます。

どのような対策を行えばよいか?

 情報セキュリティの場合には、「この対策を行えば十分安全である」というような対策は存在しません。
 これを行えば対策として十分安全であるというものはありませんが、一般に対策を行えば行うほど情報セキュリティの安全性は増します。しかし、安全対策に際限なく費用をかけることは不可能です。
 そのためには、現在どのようなリスクが組織内にあり、これらのリスクに対してどのような対策を行うのかについて、“リスク分析”を行う必要があります。
 この“リスク分析”の結果により、リスク発生による被害とリスク対策の費用を勘案して、どこまで対策を行うのかを決めなければなりません。

リスク分析を行うことが難しい場合には?

 リスク分析をどのように行えば良いのかわからない、どのような対策を行えば良いのかわからない、という場合には、IPA(独立行政法人情報処理推進機構)より、
 中小企業の情報セキュリティ対策ガイドライン
 https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html
が公開されています。
 ”中小企業向け”とはなっていますが、一般の企業、組織、団体等においても、これを参考にしてリスク分析/情報セキュリティ対策を行うことができますので、是非対策を実施する上で参考にしてください。

バナースペース

武安技術士事務所

代表者 武安 真児

事務所 神奈川県横浜市緑区