初心者のための情報セキュリティ対策講座:0.情報セキュリティ?
本記事も含め、初心者のための情報セキュリティ対策講座は「中小規模のITユーザー企業(部門)などで、PCが得意と言う理由で情報セキュリティ担当になった方」などの、「情報セキュリティ対策が必要な事は理解できるけど詳しくは知らない」方に向けてセキュリティ対策の概要を掲載しています。
自社で情報セキュリティ対策を行うメリット
顧客情報の漏洩やサイバー攻撃による事業停止などのニュースも増えていますが、「どんな情報セキュリティ対策をすればいいのかわからない」企業は多いです。また、セキュリティ会社に委託する事もできますが、全てを外部委託すると非常に高額になることが多いです。
社内で適切な情報セキュリティ対策を行うことで、技術が必要な部分など外部委託が必要な対策の切り分けができるため、必要最低限の外部委託で情報セキュリティ対策費用を低減することができます。
1.シリーズで取り扱う内容
本来、情報セキュリティに関わる対象は「1.紙を含めた全ての情報」に対する「2.全ての情報セキュリティインシデント*」になりますが、このシリーズでは情報セキュリティインシデントのうち「サイバー攻撃など外部からのセキュリティインシデント」への対策を対象としています。
情報セキュリティインシデントとは、情報セキュリティに関する事故や攻撃のことを指す言葉です。具体的には、マルウェアの感染やコンピュータへの不正アクセスなど外部からのサイバー攻撃や、従業員の不正による情報漏洩、さらに天災や設備不良による事故なども含まれます。
https://www.lrm.jp/security_magazine/about_is-incident/
必要な知識水準(目安)
必須ではありませんが、ITに関する一通りの知識としてITパスポート試験の内容は理解できる前提で内容を作っています。
https://www3.jitec.ipa.go.jp/JitesCbt/index.html2.情報セキュリティの基本
教科書的な情報セキュリティとは、情報に対する「機密性」「完全性」「可用性」の3要素全てが確保されている事を指します1)。
- 機密性:情報に対して、指定した権限に応じた情報アクセス(閲覧など)が確保されている事
- 完全性:情報の改ざん、破損、消失されていない状態が確保されている事
- 可用性:必要な時、必要に応じて情報へアクセスできる状態が確保されている事
簡単には「適切な権限を持つ人物だけが、信頼できる情報に対して必要な時にアクセスできる状態」が情報セキュリティが守られている状態です。
情報セキュリティ対策とは、前述の情報セキュリティインシデントが起こらないための「予防」だけでなく、万が一情報セキュリティインシデント起きた場合の「早期解決・復旧」を目的として日常から取り入れる対策になります。
3.情報セキュリティインシデント
情報セキュリティインシデントには多くの種類がありますが、全てのインシデントは「脅威」と「脆弱性」が揃ってはじめて起こります。言い換えると、「脅威」と「脆弱性」の一方だけが存在しても情報セキュリティインシデントは発生しません。
そのため、情報セキュリティ対策にはどのような「脅威」、「脆弱性」が存在するかを把握して、それぞれ個別に対策を考える必要があります。
脅威と脆弱性
脅威
脅威とは、情報セキュリティインシデントの原因となる事象のこと(自社の情報セキュリティを脅かす要因)です。大きく、サイバー攻撃など社外の人物が原因となる「外的脅威」、内部漏洩など社内の人物が原因となる「内的脅威」、天災等の「環境的脅威」に分類されます。
*分類の分け方は主観的なので他の分類をする方もいます。
このシリーズでは「外的脅威」を中心にしていますが、外的脅威はその時々のトレンド(セキュリティホールの発覚や新たな技術など)で変化します。毎年、影響の大きい脅威は情報セキュリティ10大脅威としてIPA(独立行政法人 情報処理推進機構)から発表されています。
https://www.ipa.go.jp/security/vuln/10threats2022.html脆弱性
脆弱性とは、上記の脅威に対する情報セキュリティ上の弱点・欠点のことです。特に、外的脅威に対しては「プログラムのバグ:セキュリティホール」や「サーバー・ネットワーク機器の設定不備」、「低いITリテラシー」などが代表になります。
そして、脅威と違い脆弱性は自社でコントロールできます。
取り扱う情報(重要性・価値)と考えられる脅威に対する脆弱性を鑑みて、情報セキュリティインシデントを適切にコントロールすることが情報セキュリティ対策です。
情報セキュリティインシデントの例
代表的な情報セキュリティインシデントの事例は、前述した情報セキュリティ10大脅威の資料(現在の最新版は2021)にも記載されています。ここでは本業にも関連している、印象的な事例だけ掲載しています。
医療機関のランサムウェア感染
脅威:ランサムウェア
脆弱性:ネットワーク機器のセキュリティホール
2021年10月に発生した町立病院のランサムウェア感染では、電子カルテの情報が暗号化されたため患者情報が参照できず予約取り消しなど医療提供にも大きな影響を受けました。電子カルテはインターネットには接続されていなかったので、本来はランサムウェア感染は起きないはずでしたが、遠隔保守用のネットワーク機器(VPNルータ)にセキュリティホールが残されていたため、認証情報を搾取されて侵入されたとのことです。
中小規模の医療機関も情報セキュリティ対策はあまり進んでいません
https://uura.site/it-security-hosp-1/4.情報セキュリティ対策の課題(特に中小企業)
従業員数も多く専門のIT部門があるような大企業では社内の情報セキュリティ対策が進んでいますが、多くの中小企業では情報セキュリティ人材の不足や対策費用が課題となっています。
企業の情報セキュリティ体制が抱える課題を確認していく。「スキル・ノウハウ不足」が62.8%と最も多く次いで「人手不足」、「経費上の問題」が5割弱と多くなっており、対策をどのように進めていくべきかという情報の不足と対策を実行する経営資源の不足を強く感じていることが分かる。
https://www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_3_2.html
また、多くの商品・サービス提供には複数の企業が関わってサプライチェーンが作られていますが、中小企業ほどサプライチェーンの委託先への情報セキュリティ管理の確認頻度が低いと報告されています。
https://www.ipa.go.jp/security/fy28/reports/scrm/index.html近年の高度化するサイバー攻撃では、情報セキュリティ対策が進んでいないサプライチェーン委託先の企業から標的企業への攻撃も行われていることから、今後は多くの企業で情報セキュリティ対策・管理が必要になると思われます。
5.このシリーズの構成
このシリーズでは本記事を含めた5記事の構成となります。初心者向けの記事のため抜粋した内容になりますが、ユーザー企業の情報セキュリティ対策に必要なことは含まれるように作っています。
情報セキュリティに関してさらに広く・詳しく学びたい方は情報セキュリティマネジメント試験の受験もお勧めしています。
この記事のまとめ
概要だけになりますが、この記事では情報セキュリティ対策の前提について説明しました。
情報セキュリティ対策を行うためにはどうしても人材や予算が必要になりますが、自分達ができる範囲の対策を行うことでベンダーへの丸投げにもならず、予算に応じた必要な対策を行うことができるようになります。
残念ながら、これからも外部脅威は巧妙化していくと予想されているため情報セキュリティ対策が不要になる事はありません。また、クラウドサービスの利用も進んでおり自社内だけでなくクラウドサービスに関しても情報セキュリティの知識が必要になっています。
今後の個人向けサービスでは特に、消費者の意識でも情報セキュリティ対策にかかる費用が商品やサービスの料金に含まれることが許容されると考えています。もちろん、そのためにはサプライチェーンの全ての企業で「できるだけ頑張る」ではなく「必要な対策は全て行う」必要があります。
目立たず避けられがちな情報セキュリティですが、知識を基に効果的に対策しましょう!
参考サイト
IPA(独立行政法人 情報処理推進機構) 情報セキュリティ
https://www.ipa.go.jp/security/index.html