1.リスク対策で重要な情報セキュリティの3要素

情報セキュリティのリスク対策をする際に、マネジメントの基本となる3つの要素があります。それが情報セキュリティの3要素であり、セキュリティのCIAと呼ばれることもあります。これは、機密性と完全性、可用性の英語表記の頭文字を組み合わせたものです。企業にとって重要なセキュリティについての考え方ですが、闇雲に取り組んでも効果はあまりありません。きちんと基本を押さえておけば、さまざまなリスクに備えておくことができるでしょう。

機密性は漏えい対策のことであり、完全性は正しい情報が維持されていることです。また、可用性は、使用したいときに使える状態にあるかを示しています。この3つの要素はそれぞれバランスをとることが重要とされているのです。どれか1つに偏ってしまうと、ほかの2つの要素が阻害されてしまいます。たとえば、機密性を重視しすぎると可用性を欠いてしまうでしょう。また、情報が使いやすくても、それが改ざんされたものであれば意味がありません。3つの要素を意識したマネジメントをすることで、万全のリスク対策のもとで情報を扱えるようになります。

2.情報セキュリティの機密性

情報セキュリティの機密性とは、情報漏えいリスクを減らすための対策のことです。企業は、さまざまな機密情報や個人情報を保持しています。これらの情報が漏えいすると大きな被害が生じてしまうでしょう。万が一の事態を避けるためにも、情報セキュリティの機密性を高めることが必要なのです。そのための方法として、情報を扱う人を制限することはよく行われています。誰でも情報を取り扱える状態にするのは、とてもリスクがあるのです。機密情報が漏れたときの企業の損失を考えれば、重要な情報は一部の人間のみが扱えるようにすべきでしょう。

たとえば、情報を取り扱う部屋の入室制限をする方法があります。ID管理を行い、システムはパスワードを入力しないと利用できない状態にすることもできます。ここでポイントとなるのは、利便性を犠牲にし過ぎないことです。あまりにも厳格過ぎると、情報を参照するだけでも時間がかかってしまいます。かといって、形式的なセキュリティでは、リスク対策として意味がありません。このバランスを取ることが、機密性の保持の難しさといえるでしょう。たとえば、セキュリティに関する意識が低い状態では、パソコンにパスワードが書かれた付箋が貼られてあるというケースもあります。これでは機密性は維持できないため、正しい方法でリスク管理をしましょう。

3.情報セキュリティの完全性

完全性とは、情報の正確性が常に保たれた状態のことです。情報が改ざんされておらず、管理ミスも発生していない状態は、完全性が実現しています。完全性が阻害される要因として、サイバー攻撃を受けることが考えられます。たとえば、ネットに接続されたコンピューターは、常に外部からの攻撃を受けるリスクにさらされている状態です。そこで有効なセキュリティ対策を施していないと、情報が盗まれたり改ざんされたりします。これは企業の信用問題に関わる重大なことなのです。たとえば、顧客の個人情報が流出することがあれば、損害賠償を請求されるケースもあるのです。そうなると、賠償金を支払うだけでもかなりの損失となるでしょう。

情報セキュリティの完全性を保つためには、情報を取り扱う人の制限、バックアップシステムを活用しデータを暗号化して管理するなどの方法があります。データが2つあれば、片方のデータの喪失や改ざんがあっても、すぐに復元できるのです。また、その情報のアクセス者によるアクセスや改変の履歴を記録しておくことも大切です。そうすれば、いつでも記録をさかのぼることができ、いつ誰が利用していたときに異常が起きたのかが分かります。もちろん、ウイルスや不正アクセスによるデータの改変を防ぐためのウイルス対策ソフトやファイアウォールの導入も欠かせません。

4.情報セキュリティの可用性

可用性とは、機密性と完全性が保持されている状態で、情報を安全に必要な時に使えることです。これは、そのシステムの稼働が継続して行われる状態ともいえます。システムの安定性がずっと維持されていれば、スムーズに業務を進められるでしょう。万が一、システムダウンや天災などが発生したとしても、早く復旧できることも可用性に含まれます。可用性を維持するためには、データのバックアップを取ることはもちろん大事です。しかし、複写したデータをすぐに利用できなければ、せっかくのバックアップの意味がありません。

可用性を実現するための工夫として、システムを二重化する方法があります。たとえば、本社と支社があるならば、万が一のときに支社が仕事を肩代わりできる体制を整えておくのです。そうすれば、どのようなトラブルが起きても、情報の可用性は損なわれません。機密性と完全性だけを重視してしまうと、可用性が失われやすくなります。それでは、不便さから社員の作業効率が下がってしまい、社内で不満が高まってしまうでしょう。その結果、ルールを守らない人が出てくるかもしれません。こういう事態を避けるためにも、可用性を意識することは重要です。

5.情報セキュリティの要素は追加されている

従来は、情報セキュリティで重要な要素は3つとされていたのですが、最近は新たに要素が追加されています。1996年に真正性と責任追跡性、信頼性が追加され、さらに2006年に否認防止が加わりました。この7つの要素を守っておけば、情報をより安全にスムーズに使えるようになるのです。まず、真正性とは本人を認証するシステムを備えていることです。真正性は、なりすましや嘘の情報がないことを証明することで保持されます。責任追跡性とは、誰が行ったのか追跡可能な状態であることです。これによって、万が一データの改ざんが行われても、その当事者をすぐに特定できます。たとえば、ログを記録することによって責任追跡性を実現できます。

信頼性とは、情報システムを稼働させるときに、故障や矛盾がないことです。システムが期待されたとおりに処理を行っているかどうかは重要です。信頼性の保持のためには、バグを改修する、故障しにくい部品を使うなどの工夫が必要です。否認防止とは、本人であることを否定できないようにすることです。たとえば、デジタル署名によって、その文書を作成したのがその本人であることを証明するような仕組みのことです。

6.企業が行うべきセキュリティ対策

企業は対外的な責任を果たすためにもセキュリティ対策に力を入れなければいけません。そのために大事な要素が情報セキュリティの要素です。しかし、7つの要素を知っていたとしても、それを正しく活用できなければ、間違った対策を取ってしまいます。その結果、トラブルが発生してしまうと、顧客に迷惑をかけるかもしれません。企業のセキュリティ担当者だけではなく、すべての社員がセキュリティへの意識を高めることが大切です。そして、不足の事態が起きたときにはどのようなリスクが考えられるのか想定することが大事です。

どのような対策を施したとしても、情報に関するトラブルの可能性はゼロにはならないでしょう。絶対に情報漏えいしない完璧な体制を整えるのは、とても難しいことです。そこで、あらかじめリスクを想定しておき、万が一のときにすぐ対処できる状態にすることが重要です。可能性のあるトラブルに対してどのような予防策があるのか、できるだけ考えて対策を取ることが求められます。企業は社員や取引先、顧客などの情報をたくさん扱っています。そして、情報を取り扱う者としての責任を果たすことが社会的に求められています。有効なセキュリティ対策を常に取っておくことで、企業として信頼されることにつながるでしょう。

7.情報セキュリティで起こりうる問題とは？

もし、機密性が不十分であると、悪意のある人が情報を持ち出してしまうかもしれません。それは、けっして社外の人間とは限らず、ときには社内の人間が情報漏えいに加担することもあるでしょう。また、外部からネットワークを通じてハッカーによる攻撃を受け、情報が流出することもあります。これらのトラブルを防ぐために機密性を高める対策を考えるのです。たとえば、アクセス権限を設定する、端末にパスワードを設定する、データ保管エリアの立ち入りに制限を設けるなどがあります。

完全性が維持されないと、サイトやデータが改ざんされる可能性があります。たとえば、企業のホームページがハッカーによって改変されるケースは少なくありません。この場合、改変されたページにアクセスした人がウイルスに感染することもあります。これでは、企業の信用が大きく損なわれてしまうでしょう。完全性を保つためには、情報資産へのアクセスの際の操作を制限する、履歴を残すなどの対策があります。可用性が十分でないと、サイバー攻撃や災害などのときにシステムが使えなくなり、業務に大きな支障が出てしまいます。対策としてはデータのバックアップやクラウド管理、災害復旧計画の立案などが考えられるでしょう。

8.企業全体で取り組むべきことは？

セキュリティ担当者は、まずセキュリティのそれぞれの要素ごとにリスクを想定しましょう。漏えいのリスクや改ざんのリスク、使えなくなるリスクなどが考えられるはずです。それぞれについて十分な対策を立てることで、情報セキュリティの強化を実現できます。ただし、どれか1つの要素に偏るのではなく、バランスよく運用することが大切です。実際に情報資産がどのように保たれているのか、特定の要素が満たさなくなったときにどんな影響が出るのかも考えてみましょう。これによって、セキュリティ対策の抜けをチェックできます。また、社員もこれらの要素について考えることで、セキュリティ意識を高められます。

どれだけセキュリティ担当者が真剣にセキュリティ対策に取り組んだとしても、実際に情報を扱うのは社員です。そこで、情報を扱う可能性のある社員全員が、セキュリティの重要性を認識することも大事です。たとえば、アンケートを実施して社員の意識やモラルの高さを確認できます。また、さまざまな研修を実施することで社員の意識改革を図ることができるでしょう。このような取り組みを企画して実行することも、セキュリティ担当者の大事な役目です。

9.情報セキュリティの要素を活かすポイント

情報セキュリティの要素は、それぞれに影響しあうことを理解しましょう。たとえば、機密性の高い情報を守るためにセキュリティを強化すると、情報を利用しにくくなるデメリットが大きくなります。情報は使うからこそ価値があるのに、使用を妨げてしまうと可用性が失われ、業務に影響してしまいます。まずは情報セキュリティの3要素を基本として考えれば、対策の方向性を間違えないでしょう。その結果、進歩的なIT活用が実現すれば、業務効率が高まり、トラブルが減って、企業の発展に大きく寄与します。

10.情報セキュリティは外部監査で有用性を高めよう！

現在、サイバー攻撃やウイルスなどが進化しており、情報セキュリティは常にリスクが存在します。そのため、専門家の知識を借りることが重要となるでしょう。企業の情報セキュリティ対策が万全なものかどうかは、専門家でないと判定できません。そこで、外部監査を受けることによって、客観的な視点からセキュリティをチェックしてもらえます。そこで、課題を指摘してもらい、アドバイスを受ければ、より良いセキュリティを実現できるでしょう。常に自分達の情報セキュリティについて、改善する姿勢を大切にしましょう。けっして、情報セキュリティが万全なものであると過信してはいけないのです。頻繁にセキュリティ対策を見直して更新することが大切です。

たとえば、2003年に経済産業省は情報セキュリティ監査制度をスタートさせています。これによって、監査基準や管理基準が明確化されました。そこでは、情報セキュリティの7つの要素も明記されています。現在は情報セキュリティの外部監査を正しく実施してくれる機関は幾つかあるのです。もちろん、監査を受けるために費用がかかりますが、情報セキュリティを守るためのお金を惜しむべきではありません。

11.企業ごとの情報セキュリティの3要素を確認して対策をとろう！

情報セキュリティの3要素である、機密性と完全性、可用性は企業がしっかりと確認する必要があります。この3つの基本を押さえて、有効な対策を実現すれば、安全な情報の活用ができるようになります。ただし、専門家にチェックしてもらい、アドバイスを得ることも忘れてはいけません。情報セキュリティに関するリスクを軽減するために、できる限りの対策を実践しましょう。