組織での情報セキュリティ対策の基本的な考え方
自社が保有する個人情報などの重要情報(データ)を保護するための対策として、ウイルス対策ソフトの導入やデータ暗号化などの対策をイメージする人は多いと思います。
もちろん、それらの対策も大切ですが、組織としてセキュリティに取り組むためには、それらだけでは十分とはいえません。過不足なくセキュリティ対策を実施するためには、情報の特性、多角的な対策手段、自組織の抱えるリスクなどを適切に把握することが重要です。
目次
●情報セキュリティ対策とは?
情報セキュリティ対策とは、情報のライフサイクル(情報の生成または取得・利用・保管・破棄)を通じて情報の「機密性」「完全性」「可用性」を守る(維持する)ための取り組みとなります。
「機密性」「完全性」「可用性」とは、以下のような特性になります。
| 機密性: | 許可された人だけが許可された範囲内で利用可能であること |
| 完全性: | 正確かつ最新の状態が保持されていること(改ざんされていないこと) |
| 可用性: | 許可された人が必要なときにいつでも利用できること |
さらに近年では以下の4特性を追加して、合計7つの情報特性を守ることが重要である、といわれています。
| 真正性: | 情報の利用者が許可された本物であることを確実にすること |
| 信頼性: | 人やシステムによる作業・処理に欠陥がなく正確に実行されていること |
| 責任追跡性: | いつ・誰が・どのように情報を利用したのか確認できること |
| 否認防止: | 問題を起こした者が隠蔽できないように証拠を確保すること |
情報を取得する(生成する)時、利用する時、保管中、破棄する時、上記の情報特性のいずれも損なわないことを意識して、実施していくべきセキュリティ対策を考えていきます。
【対策の考え方の例】「データサーバーへのアクセスを管理者1名に制限する」という対策では、機密性は守られますが、管理者の不在時にデータが使えないため、業務に支障がでるおそれがあります(可用性の損失)。かといって、可用性を守るために全社員にアクセス権を与えてしまうと今度は機密性が損なわれてしまいます。そのため、「業務遂行に必要な者にアクセス権を与える」「ID・パスワードは厳格に管理し、退職者・部署移動等で不要になったら速やかに権限を削除する」「サーバーアクセスログ・作業記録を取得する」などの対策も考える必要があります。
●サイバーセキュリティ以外の対策も忘れずに
情報セキュリティ対策には、PCやデータ、ネットワークなどのへの対策(=サイバーセキュリティ)以外にも様々な対策があります。過不足なく対策を実施していくためには、以下のような側面から、総合的に対策を考えていくことが重要になります。
| 人的対策 | 人に起因するリスクを低減させる対策(社員教育、操作マニュアル作成、退職時の資産返却、など) |
| 物理的対策 | 物に起因するリスクを低減させる対策(オフィス入退室監視、端末の社外持出管理、防火・耐震対策、バックアップデータの遠隔地管理 など) |
| 技術的対策 | 技術的にリスクを低減させる対策(ウイルス対策ソフト・メール誤送信防止ツールなどの導入、OSのアップデート、出入口への生体認証導入 など) |
| 組織的対策 | 組織としてリスクを管理するための対策(基本方針策定、社員や取引先との機密保持契約締結、社内のセキュリティ管理体制の確立と維持 など) |
●どんなリスク・脅威があるか
現状で、自社が保有する情報に対する脅威(漏えいや不正利用に繋がる可能性のあること)にはどんなものがあるのか、その脅威が起きる可能性(=リスク)はどの程度あるのか、脅威が発生した場合どのくらい経営に影響するのか、も考えておく必要があります。
脅威は、次の3つに分類して考えると整理しやすいです。
| 人による意図的な脅威 | 人が故意に起こす脅威(不正アクセス、サイバー攻撃、端末やデータの盗難・不正持出、オフィスへの不正侵入 など) |
| 人による偶発的な脅威 | 人が意図せず起こす脅威(データ誤消去、メール誤送信、端末やデータの紛失、SNSへの不適切投稿 など) |
| 環境的脅威 | 災害やライフライン障害による脅威(停電、通信障害、機器やオフィスの破損、人員のケガ、交通網のマヒ、資材調達の遅延 など) |
例えば、現状では「重要情報の保管場所への入室を管理・制限していない」のであれば、人による意図的な脅威(不正侵入・不正持出)が起こるリスクが高い状態にあり、重要情報の不正持出による情報漏えい・不正利用が発生する危険性がある、といえます。
●どこまでやるか(どこまでは許容できるか)
このように考えていくと、実施すべき対策が見えてくる反面、「あれもこれもやらなければいけないけど、そんなにコストはかけられない!厳しいルールを徹底できない!」となって、最悪の場合「何もやらない(現状のままでいい)」という結論に至ってしまうかもしれません。
確かに情報セキュリティ対策には、ここまでやれば完璧!コストをかければ絶対安全!ということはありません。また、「社内ルールを増やしたことで、作業効率を損なうとして故意に違反する者がでてくる」「新たな外部サービスを導入したことで、設定不備による情報漏えいリスクが生じる」など、これまでとは異なるリスクが生じてくる可能性もあります。
そのため、どこまで対策を実施するのか(どの程度までリスクを許容するのか)、という線引きを経営層や管理者が中心となって決定することが重要になります。
何らかの対策を実施することで、リスクを「回避」「低減」、または「移転」する※ことができますが、一方で対策を実施せずにリスクを「保有する(受け入れる)」という考え方もある、ということです(かといって重大なリスクまで受け入れることは避けるべきですが)。
※リスクの回避・低減・移転とは
| 回避 | リスクを避けること(リスクある事業を完全にやめてしまう、など) |
| 低減 | リスクを減らすこと(ウイルス対策ソフト導入、社員教育実施、など) |
| 移転 | リスクの保有を他者に移すこと(サイバー保険加入、外部クラウドでのデータ保管、など) |
脅威が発生した場合の経営への影響度や発生する確率の高さなどから優先順を決めて、組織にとって必要な対策を実施しましょう。
