セキュリティ対策の考え方の基本
昨今の企業活動において、ITシステムは必要不可欠なものになりました。
また、多種多様なサービスがインターネット経由で利用できるようになり、我々の生活様式にも大きな変化が生まれました。
今後も益々利便性が増していく事が想像できますが、その一方でリスクの増加にも注意しておかなければいけません。
これは、サービスを提供する企業側、利用するユーザ側双方に言える事です。
今回は安心・安全なIT環境に関する基本的なセキュリティ対策の考え方をお伝えいたします。
セキュリティとは何か?
みなさまは、「セキュリティ」という言葉を聞いて何を思い浮かべるでしょうか?
セキュリティには、大きく分けて2種類の考え方があります。
■情報セキュリティ
情報セキュリティとは、企業が保有する情報を保全する事です。
必要なデータ・システムが必要な時に利用でき、不必要なアクセスを制御し、漏洩等の事故が発生しないように管理・維持する事が求められます。
これらは、「情報セキュリティの3要素」と呼ばれる以下の3つの項目を維持する事で安全な状態が保たれていると言えます。
機密性(Confidentiality) | システムやクライアント端末に適切なアクセス許可(権限)が設定されており、許可されたものだけが利用できるように設計されていること |
完全性(Integrity) | ファイルの中身や、公開している情報等に改ざんや破壊が行われておらず、内容が正しい状態にあること |
可用性(Availability) | システム障害が発生しにくく、障害が発生しても影響を最小限に抑え、復旧までの時間が短く設計されていること |
頭文字をとって「情報セキュリティのCIA」とも呼ばれ、情報セキュリティマネジメントシステム(ISMS)に関する国際規格の日本語版であるJIS27000で定義されています。
ISMSやPマーク等のガイドラインに沿って公的認証を取得する事により、適切な情報セキュリティマネジメントを実施している事を対外的に明示する企業も多く存在します。
■サイバーセキュリティ
「セキュリティ」と聞いた時には、こちらを思い浮かべる方が多いのではないでしょうか?
サイバーセキュリティは、2014年に施行されたサイバーセキュリティ基本法においては、以下のように定義されています。
サイバーセキュリティ基本法 第二条
この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。
かなり広義に記載されていますが、要約すると前述の情報セキュリティに関する「情報」の保全に加えて、「情報システム」、「情報通信ネットワーク」も保護対象にしたものになります。
セキュリティ対策の考え方
前項では「情報セキュリティ」と「サイバーセキュリティ」の違いを説明しました。
セキュリティ対策と聞くと、これらを脅かす外部からのサイバー攻撃に関するものと思われがちですが、そうではありません。
例えば、企業の従業員による機密性の高い情報(データ)の不正な持ち出し等の内部不正への対策、不正送金への対策などもサイバーセキュリティに含まれます。
さらに、情報システムの安全性および信頼性の確保の対策も該当します。
これは、災害などによる大規模停電や、人為ミスなどによって企業の情報システムに障害が発生した場合に、迅速に復旧するための措置に関しても、サイバーセキュリティに含まれることを意味しています。
また、サイバー攻撃もインターネットを経由した外部からの攻撃だけではありません。
「情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動」という文言は、USBメモリなどの記憶媒体の持ち込みや、フロア入退出による施錠管理などの物理的なセキュリティ対策も講じなければならないという事になります。
このように、セキュリティ対策の範囲は、かなり広く捉える必要があります。
参考として、以下にセキュリティ対策に関する基本的な考え方・進め方の例を記載します。
1 | 保護対象となる「情報」・「システム」等を明確に定義する | ・どのような情報を保持しているか? ・どのようなシステムを利用しているか? |
2 | 定義した対象の現状を正確に洗い出す | ・情報にはどのようなものがあるか? ・個人情報に該当するものはあるか? ・どのように保管されているか? ・システムのアクセス権限は適切か? ・外部のクラウドサービス等の利用有無 |
3 | 洗い出した結果を評価する | ・「機密性(Confidentiality)」 ・「完全性(Integrity)」 ・「可用性(Availability)」 上記の3項目を軸に現状を評価する |
4 | 評価に基づいた対策・優先順位を策定する | ・是正項目の確定させる ・安全対策に関する追加措置の内容を決定する ・実施する優先順位を明確にする |
5 | 対策を実施する | ・安全対策措置の実施 ・社内運用体制の構築 |
セキュリティ対策とは、現状を正確に把握し、その評価結果に基づいた強化対策を実施して、理想とする姿に近づけていく事が必要です。
また、これら「評価と強化の一連のサイクル」を継続的に実施する事が非常に重要なポイントになります。
M&Kでは、経験豊富なコンサルタント、エンジニアが企業のセキュリティ対策に関するご支援を行っております。
何かお悩みの点がございましたら、お気軽にご相談ください。