サイバーセキュリティ対策の基礎知識
現在、ITを取り巻く環境は、様々なWEBサービスの登場により、利用者にとっては以前とは比べ物にならないくらい、便利で快適なものになりました。
多種多様なサービスがインターネット経由で利用できるようになり、我々の生活様式にも大きな変化が生まれました。
今後も益々利便性が増していく事が想像できますが、その一方でセキュリティに関する脅威やリスクの増加にも注意しておかなければいけません。
これは、サービスを提供する企業側、利用するユーザ側双方に言える事です。
今回は、サイバーセキュリティ対策を企業の重要な経営課題と位置づけ、そのような課題の解決に少しでもお役に立てるようサイバーセキュリティ対策の基本的な考え方やプロセスをお伝えしていきます。
そもそもサイバーセキュリティ対策とは何なのか?
「サイバーセキュリティ」とは、2014年に施行された「サイバーセキュリティ基本法」において以下のように定義されています。
サイバーセキュリティ基本法 第二条
平成二十六年法律第百四号 サイバーセキュリティ基本法
この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。
サイバーセキュリティ基本法 | e-Gov 法令検索
かなり広義に記載されていますので非常に理解し辛いかと思いますが、要約するとISMS等に代表される一般的な情報セキュリティマネジメントでの「情報の保全」に加えて、「情報システム」、「情報通信ネットワーク」の技術的安全管理措置も保護対象としたものになります。
なお、一般的な情報セキュリティマネジメントでの「情報保全」とは、企業が保有するデータやシステムが必要な時に利用でき、不必要なアクセスを制御し、漏洩等の事故が発生しないように管理・維持する事を指します。
これらは、「情報セキュリティの3要素」と呼ばれる以下の3つの項目を維持する事で安全な状態が保たれていると言えます。
これらの頭文字をとって「情報セキュリティのCIA」とも呼ばれています。
ここまでを纏めると「サイバーセキュリティ対策」とは、
企業が保有する情報の保全とITシステム等に対する技術的な管理策をバランス良く織り交ぜる必要があるという事です。
外部からの攻撃だけとは限らない!?
企業・組織におけるサイバーセキュリティ対策の考え方
多くの方は「サイバー攻撃」という言葉を聞くと、インターネットやメールなどを通じた外部からの攻撃に関するものをイメージされると思います。
メディア等で報じられているケースも、そういった被害に関するものが大半を占めますが、実際はそうではありません。
前項でご説明の通り、「サイバーセキュリティ対策」とは、企業が保有する情報の保全も含みます。
つまり、サイバー攻撃の脅威は外部からのものとは限らないという事を表しています。
具体的には、従業員による機密データの不正な持出しや、外部への不正送金などへの対策も「サイバーセキュリティ対策」に含まれます。
現在の企業活動においては、ITシステムの活用は必要不可欠なものになりましたが、アカウント管理や運用ルール・アクセス制御などが適切に整備されていない場合、人為的なミスによる情報漏洩や意図的な不正による被害が発生する可能性があり、それらへの備えも考慮しておく必要があります。
USBメモリなどの記憶媒体の持ち込みや使用、オフィスの入退出に関する施錠管理・記録などの物理的なセキュリティ対策も考慮なければいけません。
情報システムに関しては、安全性および信頼性の確保も重要です。
災害などによる大規模停電や情報システムに障害が発生した場合など、迅速に復旧するための措置を平時より講じておく事も「サイバーセキュリティ対策」として必要な取り組みとなります。
このように、「サイバーセキュリティ対策」の範囲はかなり広く捉える必要があります。
具体的な管理策の視点は、それぞれ「人的」、「物理的」、「技術的」、そして全体を包括する「組織的」の4つに大別されます。
これらの4つの管理策をバランスよく取り入れる事で、効果的な情報セキュリティ対策が実現します。
逆に、どれか一つでも対策が甘いポイントがあれば、全体の対策レベルが著しく低くなってしまう事も考えられます。
セキュリティ対策は、以下のような「樽の水」に例えて表現される事がよくあります。
樽の水位はセキュリティ対策のレベルを表しています。
全体のバランスが保たれている状態では、水位が高い水準で安定し、逆に脆弱な箇所があればそこから水が漏れ出てしまいます。
結果、全体の水位は一番レベルが低いところまで落ち込みます。
従い、繰り返しになりますがセキュリティ対策を考える上では、広い視野で全体のバランスを考慮する事が非常に重要なポイントとなります。
なお、外部のクラウドサービスの利用や、外部ベンダー等の第三者へ委託している業務などがある場合には、サービス提供事業者や委託先による事故等に関しても、管理責任は委託元である自組織となる場合がありますので、その点にも十分注意してください。
セキュリティ対策の第一歩!
最も重要なのは「現状を正しく把握する事」
ここからは、具体的にサイバーセキュリティ対策を考えていく上で非常に大切なプロセスをお伝えしていきます。
企業・組織がセキュリティ対策を実装していく為には、情報セキュリティマネジメント体制を確立していく必要がありますが、闇雲に進めるのは得策ではありません。
最初の一歩は、必ず「現状を正しく把握する」という事を実践してください。
具体的には、以下のような内容を明確にしていきます。
- 企業や組織が保有する情報資産の洗い出し
- それら資産の保管・運用状況
- ITシステム関連の種類・利用状況
- 個人情報関連の取り扱い方法
- 各種法令、ガイドライン等への適合状況
これらを洗い出し、「あるべき姿」との「ギャップを可視化していく事」が最重要事項になります。
もしかすると、「隠しておきたい事実」などもあるかも知れませんが、ここは正直にそれらも含めてすべて洗い出しするようにしてください。
この第一歩目が不十分だった場合、その後の対策が実態に合わない無駄なものになってしまう可能性もありますので、全社的にしっかりと対応するようにしてください。
次回は、この「現状を正しく把握する」という工程を進める上で意識すべきポイントをお伝えします。
セキュリティに関するお悩み、
当社にお気軽にご相談ください。
株式会社M&Kでは、サイバーセキュリティ対策に関する総合支援企業として、各種コンサルティング、セキュリティ診断サービスを提供しています。
情報セキュリティアセスメントサービス
貴社の情報セキュリティに関する現状の整備状況と運用状況の調査、潜在する脅威とリスクの可視化などを実施し、現在地点と今後のあるべき姿への助言・企画立案支援等を実施するサービスです。
組織のルール策定状況とその浸透度、必要文書の整備、情報システムへの技術的対策、物理的対策の実装と運用状況などを把握した上で、その後の対策強化への指標としてご活用頂けます。
情報セキュリティアセスメントサービスが提供する価値
情報セキュリティの対策立案に関するプロセスを自社対応のみで完結するのは、非常に困難です。
当社のような第三者機関によるコンサルティング等のご利用により以下のようなメリットがあります。
- 現状の把握とその後の対策が明確に認識できる
- 情報システム関連規程の要求事項と比較した実装状況・運用状況が可視化される
- セキュリティ管理策の中でも重要な「識別・認証・認可」の実装・運用状況が把握できる
- 脅威の特定とリスクマネジメントの整備状況、および運用の実装状況が把握できる
- 外部委託先のセキュリティ実装・運用、および管理状況の実態について調査・確認ができる
- 今後の定期的な監査、対策強化案、実装優先順位等についての提案が受けられる
これらの情報を把握した上で経営層へ報告する事により、現状の情報セキュリティ状況の実態再認識、是正・刷新に関するセキュリティ投資の承認をより得やすくする証憑としても有効にご利用頂けます。
セキュリティ対策は、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。
何かお悩みの点がございましたら、お気軽にご相談ください。
皆様のお役に立てるようであれば幸いです。
【問い合わせ先】
株式会社M&K 事業推進担当
Mail:info@m-kcompany.co.jp
【問い合わせフォーム】
https://www.m-kcompany.co.jp/contact/
