目次
企業の情報セキュリティとは
情報セキュリティとは、私たちがコンピュータやスマートデバイス、インターネットを使用する際に、重要なデータが漏洩したり、損害を受けたりしないように保護することを意味します。企業活動を行うにあたり、多くの重要情報や個人情報を取り扱います。これらの情報を盗み悪用するために不正アクセスやマルウェア攻撃など、情報セキュリティを脅かす事象は「セキュリティインシデント」と呼びます。
セキュリティインシデントが起こらないようにするには、「情報セキュリティ対策」が重要となります。これらの対策は主に、「事前の予防策」と「事後の対応策」の2つのアプローチに分けられます。
ISOでも定義されている情報セキュリティの3要素(CIA)の例
情報セキュリティには、”CIA”と呼ばれる3要素があります。CIAと聞くと某国の国家組織をイメージしてしまいますが、情報セキュリティにおいては3つの要素の頭文字を取ってCIAと呼んでいます。この3つの要素とは「Confidentiality(機密性)」、「Integrity(完全性)」、「Availability(可用性)」であり、この3つの要素を管理することで、予測的な「予防」措置や事後の「対応」策など、情報セキュリティの全体的な対策が効果的に機能します。
これらの要素は、その頭文字に由来して「信息安全的CIA」とも呼ばれ、国際的な情報セキュリティマネジメントシステム(ISMS)の規範であるJIS27000の日本語バージョンでも定義されています。
いずれの要素も情報セキュリティを保証するためには必要不可欠であり、これらを基本として対策を立案すれば、リスクを効率的に低減することが可能です。
情報セキュリティCIAの具体的な内容と新たな4要素
CIAの意味は上記で理解できたかと思います。それでは各言葉の意味について確認していきましょう。
Confidentiality(機密性)とは
Confidentiality(機密性)とは、アクセス許可が与えられた対象のみが利用可能と制定されていることです。これが十分に保たれている場合に「機密性が高い」と評価されます。このアクセス許可とは、WEBサイトの管理画面やサーバーに加えて、各種デバイス(PC等)やloT製品などに対しても、適切に設定を行う必要があります。
Integrity(完全性)とは
情報セキュリティにおけるIntegrity(完全性)とは、情報が不正に改ざんや変更、破損の攻撃を受けておらず、しっかりと維持・対策をされていることです。各種ファイルやアプリケーションが改ざんされていないか、情報に欠落していないことを確認する必要があります。
例えば、不正に改ざんされたWebサイトを防ぐためには、「脆弱性診断」で事前に改ざんリスクを予防したり「Web改ざんの検知」を活用して、不正な変更が行われた場合に通知を受け取るシステムを実装することで、Webサイトの情報の完全性を守ることが可能になります。
Availability(可用性)とは
情報セキュリティのAvailability(可用性)とは、システムに障害が発生せずに問題なく動作することや、トラブルが生じてもその影響を最小限に抑え、復旧までの時間を迅速にすることを意味します。
機密性や完全性が保たれていても、システムが機能しなければ意味がありません。サイバー攻撃の結果としてシステムが停止してしまうと、可用性は損なわれます。システムが常に稼働可能な状態に保つ必要性があります。このような状態を保つためには、「システムの管理」が必要となります。
情報セキュリティの新たな4要素とは
情報セキュリティの定義としてJIS Q 27000には従来の情報セキュリティの3要素に加えて、「真正性」「責任追跡性」「否認防止」「信頼性」などの属性も維持することが記載されています。これらの要素を3つの基本要素と共に保つことで、情報セキュリティポリシーを策定する基準となる考え方につながります。この4つの要素についても簡単に説明していきます。
真正性
データや情報が意図されて作成されたものか否かを判断するための要素です。第三者がなりましによって作成されたものが使用されることを防ぐ要素となります。
責任追跡性
シンプルにいうとアクセスログです。いつ、誰が、何にどんな変更を加えたのかをいつでも確認出来るようにして責任を明確化するという要素です。
信頼性
責任追跡性で紹介したログの取得が正しく動作をし続けているか、故障などは発生せずに求められた基準に達しているかをみる要素です。
否認防止
データや情報を変更した場合、変更を実施した人が「自分はやっていない」と言う状況が発生します。これを防止するための導入施策を判断する要素です。
情報セキュリティの3要素で必要となる対策
今まで、ご紹介した要素を用いて何の情報セキュリティの対策をするのかが非常に重要です。言葉だけしっても実際運用出来なければ意味がありません。まずは、どの様なセキュリティインシデントが多いのかIPA情報セキュリティの10大脅威を見てどんな問題が怒っているのかを把握しましょう。
情報セキュリティの10大インシデント
上記の表はIPAが公開している2022年発生した社会的に影響が大きかった情報セキュリティインシデントから、各分野の研究者や企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が審議・投票を行い、決定したものです。
1位 ランサムウェアによる被害
2位 サプライチェーンの弱点を悪用した攻撃
3位 標的型攻撃による機密情報の窃取
4位 内部不正による情報漏えい
5位 テレワーク等のニューノーマルな働き方を狙った攻撃
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
7位 ビジネスメール詐欺による金銭被害
8位 脆弱性対策の公開に伴う悪用増加
9位 不注意による情報漏えい等の被害
10位 犯罪のビジネス化(アンダーグラウンドサービス)
どの言葉もニュースや新聞などで一度は聞いたことがあるかもしれません。ここ数年で一番話題となった事例は2022年3月1日に発生した自動車メーカーであるトヨタ自動車の工場停止事件です。
これはトヨタ自動車の取引先である小島プレスがサイバー攻撃を受け、結果としてトヨタ自動車から見ると1.2位の攻撃を受けたような状態です。
小島プレスは、受けたサイバー攻撃によって企業WEBサイトはダウンして、社内のメールも見れなくなってしまったとのことです。これは間違いなくAvailability(可用性)に問題があったと言う結果でした。
まとめ「インシデント対策の為にまずは情報セキュリティの3要素をしっかり対策」
情報セキュリティは幅広く、WEBアプリケーションから各端末、ネットワークまで対策をする幅は多岐に渡ります。しかし、企業や団体は企業活動を続けていくためには社員や取引先、お客様の為にも自社がセキュリティインシデントの被害に合わないようにする責任があります。もちろんいきなり全ての対策をすることは費用的にも難しいこともあると思います。
まずは、無料で始めれるWEBサイトの脆弱性診断から初めて社内にセキュリティ意識の構築を薦めて下さい。IPAが公表した情報セキュリティ10大脅威では、scuasの領域である「WEBアプリケーションの脆弱性」が起因して発生するインシデントも上位を占めている状態です。
URLを登録するだけで自社のサイトの機密性、完全性、可用性がどのような状態になっているのか数字で知ることができますのでぜひお試し下さい。