情報セキュリティ管理は、自社の情報を守り適切に運用するために欠かせない活動です。
しかし、具体的な内容やプロセスを適切に理解できている人は、意外に少ないのではないでしょうか。この記事では、企業の情報セキュリティ担当者に向けて、情報セキュリティ管理の概要とプロセス、そして具体的な事例について詳しく解説します。
企業・組織のセキュリティ対策をお考えの方へ、LRMでは、組織の情報セキュリティ対策状況を客観評価し、取るべき対策が簡単にわかるセキュリティチェックシートを無料で配布しています。ぜひご活用ください。
情報セキュリティの定義を振り返る
情報セキュリティとは、情報の「機密性」・「完全性」・「可用性」を維持することです。
「機密性」「完全性」「可用性」の3つは「情報セキュリティの3要素」と呼ばれ、情報セキュリティにおいて特に重要視されています。
さらに「真正性」「責任追跡性」「否認防止」「信頼性」の4つも含めて「情報セキュリティの7要素」ということもあります。
これら7つの要素を表にまとめると、次のようになります。
| 項目 | 説明 |
|---|---|
| 機密性 | 情報が漏えいしないように管理されていること |
| 完全性 | 情報が完全で正確に保存されていること |
| 可用性 | 必要なときに情報にアクセスできるようになっていること |
| 真正性 | 情報にアクセスできる人が適切であること |
| 責任追跡性 | 情報へのアクセス手順が追跡できること |
| 否認防止 | 情報へアクセスしたことを拒否できないようにすること |
| 信頼性 | 情報に対する処理が確実に行われること |
一口に情報セキュリティと言っても、これら7つの要素に分類することができ、それぞれに対して対策を取ることが、情報セキュリティ対策の基本となります。
情報セキュリティ管理とは
情報セキュリティ管理とは、前述した情報セキュリティの7要素を意識しつつ、情報漏洩やマルウェアの感染などのリスクに対して個人や組織が取り組む方針をまとめて、情報セキュリティを確保する活動を指す言葉です。
情報セキュリティ管理の対象となる要素は以下の4つです。
- ハードウェア管理
- パソコンなどのデバイスのパスワードやバックアップなど
- ソフトウェア管理
- アクセス権限の設定など
- マルウェア対策
- セキュリティ対策ソフトの導入やスキャンなど
- ネットワーク防御
- ファイアウォールの設置や通信の暗号化など
情報セキュリティ管理では、これら全ての要素に対してセキュリティ対策を施しつつ、社員教育やシステムの監視を続けていきます。自社に情報セキュリティポリシーがある場合は、それに従ってセキュリティ対策を実行することになります。
セキュリティポリシーについてはこちらの資料で解説していますので、あわせてご覧ください。
情報セキュリティ管理のプロセス
情報セキュリティ管理のプロセスは以下で紹介するPDCAサイクルによって行われます。
計画(Plan)
まず情報セキュリティ対策をどのように行うか計画をたてます。自社にどのような情報資産が存在し、どのように保護されているのか把握しましょう。そして、今後どのように情報セキュリティ対策を打ち出すのか検討します。
実行(Do)
前工程の計画に基づいて、情報セキュリティ管理を実行します。部署ごとに担当者を設けて、各部署で協力しながらプロセスを進めていきます。
確認(Check)
情報セキュリティ管理がどのように行われたのか、そしてどのような問題点が発生したのか確認します。実行した情報セキュリティ管理に効果があったのか確認するなど、社内全体で対策が適切に進められたのかチェックします。
改善(Action)
確認の結果、改善点が見つかったらその解決策を検討します。プロセスを見直して社内に浸透させましょう。そして再度新たな計画を立てて、PDCAサイクルを円滑に回していきます。
情報セキュリティ管理の事例
国内だけでなく世界各地でセキュリティインシデントが多発しており、企業の情報セキュリティ担当者は各インシデントに対して適切な対策を取ることが求められてます。
ここでは実際に発生した情報セキュリティインシデントの事例について解説します。
【事例1】標的型攻撃
2022年10月に、大手IT企業のグループウェアの脆弱性を悪用した標的型攻撃が確認されています。
標的型攻撃とは、特定の企業や組織をターゲットして長期間にわたり執拗に繰り返されるサイバー攻撃です。取引先や社員になりすましたメールなどを用いてマルウェアに感染させて、個人情報や機密情報を盗み出します。
詳しくは「業務連絡を装ったメールに注意!標的型攻撃メールの概要と対策」をお読みください。
【事例2】ランサムウェア
2022年3月に、自動車メーカーと取引していた部品メーカーのサーバーやパソコン端末にランサムウェアが感染する被害が発生しました。
保存されていたデータが暗号化され「3日以内に連絡しなければデータを公開する」と脅迫され、自動車メーカーの全工場が停止する事態にまで発展しました。
ランサムウェアの多くは、データの暗号化と身代金の要求がセットですが、実際に身代金を支払っても暗号化が解除される保証はありません。また身代金もビットコインなど匿名性の高い仮想通貨が使われるため、攻撃者の特定も困難となっています。
【事例3】VPNからの情報漏洩
VPNを経路としたランサムウェアの感染や情報漏洩も発生しています。VPNとは暗号化された仮想的な専用線のことで、インターネットを経由して社内ネットワークへ接続させるときなどに使われる技術です。
このVPNの脆弱性を悪用して、ウェブ会議の盗聴やテレワーク端末へのマルウェアの感染が確認されています。
新型コロナ感染の影響でテレワークが普及したことも、VPNを標的としたサイバー攻撃の増加の一因となっています。
【事例4】ゼロデイ攻撃
大手IT企業が開発したグループウェアにおいて、未修正の脆弱性を悪用したゼロデイ攻撃が発生しました。
セロデイ攻撃とは、修正プログラムや回避策が公開される前の脆弱性を悪用したサイバー攻撃のことです。情報漏洩や不正アクセス、情報の改ざん、マルウェアの感染など、脆弱性によってさまざまな被害が発生します。
【事例5】Emotetの感染
2014年からEmotetというマルウェアも世界中で感染が拡大しています。Emotetに感染すると、パソコンに保存されているメールアドレスやアカウント情報などが収集されて、ネットワークを通じて攻撃者に送信されます。さらにこれらの情報を用いて別の端末に攻撃することで、社内や取引先へ拡散されます。
また、別のマルウェアやランサムウェアの感染につながることもあり、二次的な被害に発展するケースも確認されています。
情報セキュリティ管理士と呼ばれる資格もある
情報セキュリティ管理に関する資格として「情報セキュリティ管理士」があります。この資格は、高度情報社会において、安心してコンピュータを利用・活用できる情報セキュリティ管理に関する総合的な知識を認定する資格です。
試験の合格率は50%程度であり、しっかりと対策すれば十分合格できる難易度です。試験科目は以下の4つです。
- 情報セキュリティ総論
- 脅威と情報セキュリティ対策1
- 脅威と情報セキュリティ対策2
- コンピュータの一般知識
試験の合格には、それぞれの科目で7割以上の得点が必要です。
試験に合格することで、セキュリティに関する基本的な知識を保有していることを証明でき、就職や転職で有利になるなどのメリットが受けられます。
まとめ
高度化するサイバー攻撃への対応として、情報セキュリティ管理は対策の第一歩となります。自社のデータやネットワークなどの情報資産の、機密性・完全性・可用性を適切に管理することで、情報漏洩やマルウェア感染などの被害にあうリスクを低減できます。この記事で紹介したプロセスを着実に回して、適切な情報セキュリティ管理を実現させましょう。
まずはセキュリティチェックシートで自社のセキュリティ状況を客観評価しましょう。
