情報セキュリティの必要性とは?必要な理由について詳しく解説

この記事は約9分で読めます。
2008.12.18

IT技術が進化している昨今、情報システムやインターネットは、業務を遂行する上で欠かせない存在になりました。

しかし、情報システムへの依存している現代では、より一層情報セキュリティの必要性が増しています。

特に顧客情報の漏えいによるインシデントは企業の信頼を大きく失墜させる可能性が高いです。

また、情報セキュリティを維持するためには、情報漏えいを対策すること以外にも、そこからもう一歩踏み込んで「保有する情報資産を有効に活用する」ところまで考える必要があります。

今回は、そんな現代の情報セキュリティの必要性について詳しく解説します。

情報セキュリティ対策について、課題別の対策方法をまとめた資料をご用意しております。

こちらから無料でダウンロードできますので、ぜひご活用ください。

情報漏えい課題別対策方法ハンドブック
実際の事例をもとに原因から対策まで徹底解説

情報セキュリティの必要性はある

冒頭でも紹介しましたが、情報セキュリティの必要性はあります。

すでに世の中には多数のコンピューターが稼働しており、IT業界かどうかは問わず、ありとあらゆる業務で活用されています。

その中、サイバー攻撃も日夜実施されていて、その手法も日々巧妙かつ、強力になっています。

そのため、情報セキュリティはどんな企業でも、確実に必要といえます。

情報セキュリティを軽視するとどのような事態になるか

では、実際に情報セキュリティを軽視してしまうと、どのような事態に陥ってしまうのか紹介します。

情報漏えい

一番のインシデントは情報の漏えいです。

企業の扱う情報複雑かつ多様化した現在で、一度でも情報漏えいが発生すると、経営の根幹を揺るがす問題に発展する可能性が高くなっています。

その影響は主に「直接的な影響」「間接的な影響」の2種類に分かれます。

直接的な影響

情報漏えいの直接的な影響としては、「損害賠償金の支払い」があります。

2014年に発覚したベネッセコーポレーションの顧客情報流出事件では、1人当たり3300円、計約150万円の支払いが命じられました。

実際に訴えたのは50名程度でしたが、情報流出をしたとされる件数は約3504万件とされていて、もっと多くの集団訴訟を起こした場合、被害額はもっと高くなる可能性があります。

ベネッセ情報流出、1人3300円賠償命令 東京地裁判決 - 日本経済新聞
2014年に発覚したベネッセコーポレーションの顧客情報流出事件で、被害に遭った顧客ら計462人が...
www.nikkei.com

間接的な影響

金銭的な影響以外にも、間接的な影響として「イメージ、信頼の失墜」があります。

情報セキュリティの事故が、テレビや新聞報道された場合「この会社のサービスを使っていいのだろうか」と不安になり、その会社のサービスや商品を買い控えたり、他社のサービスに乗り換えたりする事が考えられます。

過去に1度情報漏えい事件を起こした結果、数年間に渡って「あの会社はセキュリティが不安」と思われてしまう事も十分にありえるのです。

Webサイトの改ざん

Webサイトの改ざんとは、悪意ある第三者が、不正にWebサイトを操作して、情報を書き換えてしまう事です。

情報を書き換えることで、ウイルスを気づかないうちにWebサイト利用者にダウンロードさせたり、全く関係ない別のサイトへリンクさせたり、Webサイトの機能を悪用し、サイトの動作を変え、信用を無くしたりなど、様々な方法で悪用されてしまう危険性があります。

コンピューターの停止

悪意ある第三者に、不正アクセスをされてしまうと、業務で使用しているコンピューターやサーバーが停止されてしまう可能性があります。

コンピューターの停止がおこると、業務で必要な情報を読み込んだり、サーバーへ定期的にバックアップしていたものができなくなったり、最悪の場合はデータの破損にまで繋がってしまいます。

業務の遂行にも著しい影響を出してしまう可能性が高いです。

マルウェアへの感染

マルウェアに感染すると、個人情報を抜き取られ、情報漏えいに繋がるだけでなく、デバイスに保存されているファイルが勝手に削除されたり、書き換えられたり、デバイスをそもそも使えなくなるといった、様々な悪影響が出る可能性があります。

また、デバイスをウイルスに乗っ取られ、デバイスの操作がきかず、サイバー攻撃に悪用されてしまうリスクも考えられます。

情報漏えい課題別対策方法ハンドブックを無料でダウンロードする

情報セキュリティ対策の基本

情報セキュリティを軽視した際におこることを解説しました。

では、情報セキュリティ対策を施すには、具体的に何をすればいいのか解説します。

情報セキュリティの3要素

情報セキュリティの3要素は以下の3つです。

  • 機密性
  • 完全性
  • 可用性

この3要素を確保することが重要です。

機密性(Confidentiality)の確保

機密性とは、許可をされた人物のみ情報にアクセスできるようにすることです。

例えば、顧客の個人情報や、社員の個人情報は、機密性が高くもとめられる情報です。

この情報の漏洩を防ぐため、情報にアクセスできる社員を役職や担当者のみにして人数をを減らすことで、漏えいのリスクを減らし、機密性を確保します。

完全性(Integrity)の確保

完全性とは、データを全て正確な状態で維持することです。

アクセス者のアクセスや改変の履歴を残し、さかのぼれるようにして、情報資産が正当な権利を持たない人により変更されていないことを証明できる状態を構築します。

改変されないようなシステムを構築し、誰が改変したかがわかるようにして完全性を確保します。

可用性(Availability)の確保

可用性とは、いつでも情報を引き出せる環境を維持することです。

データのバックアップをとったり、停電、大規模な災害時に、いかに早く復旧できるかが可用性が確保されているかどうかの指標となります。

例えば、停電時でもUPSを使って電源の冗長化をはかったり、データ保存の拠点を全国各地に分散したり、バックアップをこまめにとっておいたり、災害時に備え、復旧計画などの対策をたてておくことが重要です。

情報のライフサイクル管理

情報ライフサイクル管理 (ILM:Information Lifecycle Management) とは、データ作成から廃棄までを監視し、その有用性を最適化し、コストを削減するものです。

企業は、情報やデータをライフサイクル全体にわたって管理する必要があります。

日本ネットワークセキュリティ協会では「情報のライフサイクル」と「情報のライフサイクル管理」を以下のように定義しています。

情報のライフサイクル

生成: 新規作成  複写による作成  他からの取得
利用: 編集  加工  参照  複製  伝達  移送
保存: 格納  バックアップ  アーカイブ
廃棄: 廃棄  消去

出典:JNSA 日本ネットワークセキュリティ協会

情報のライフサイクル管理

  • 生成時: 情報がその目的のために必要かつ十分で正しい内容を持つものとして作成すること
  • 利用時: 必要な人のみがアクセスでき、許される範囲だけの処理(閲覧、編集、複製、移送等)がされること
  • 保存時: 改変や改ざん、消失・紛失、不正な持ち出しが起こらないように安全な場所、方法で保存すること
  • 廃棄時: 第三者に拾われたり盗み見られたりすることがないよう、確実に消し去ること
出典:JNSA 日本ネットワークセキュリティ協会

情報セキュリティのリスク評価とリスク対応

情報セキュリティにおける「リスク評価」とは、情報セキュリティ関係のリスクを見つけて、分析して、評価することで、情報セキュリティリスクアセスメント(information security risk assessment)とも呼ばれます。

現在の組織が抱える情報セキュリティリスクを分析し脆弱性を特定して、「そのセキュリティリスクはどれほど重大なものか」「そのセキュリティリスクは許容できる範囲かどうか」を判断する、一連のプロセスを指します。

そのプロセスを経て、(評価が終わったリスクに対して)実際に、どのような対処をするかを決定し実施します。(リスク対応)

情報セキュリティ対策の4つの領域

情報セキュリティは、情報のライフサイクルを通じて、情報のCIA(“Confidentiality”(機密性)、“Integrity”(完全性)、“Availability”(可用性)の頭文字を繋げた言葉)を確保する取り組みです。

情報セキュリティ対策を完璧に実施するには、取り扱う過程に関わる全て人やデータで、適切な対策が確実に実施されなければなりません。

その取り扱うものを4領域に分け、その4領域が全てがうまく機能し、適確に情報を守ることで、はじめてCIAが確保された情報セキュリティ対策が実現します。

JNSAでは、その4つの領域を「技術」「人」「組織」「物理」と定義しています。

  • 技術:ウイルス対策ソフトやファイアウォールなどによる防御、常時監視や定期チェックによる検知・発見
  • 人 :啓蒙、規則遵守(コンプライアンス)、判断、目配り気配り、運用と管理
  • 組織:ルール作り、それを守る取り組み、PDCAをまわす。
  • 物理:オフィスへの入退室・施錠管理、情報機器・記録媒体の移動・輸送・廃棄も含めた管理
出典:JNSA 日本ネットワークセキュリティ協会

具体的にどんな情報セキュリティ対策が行われているか、具体的な情報セキュリティ対策の事例を紹介します。

大手電機メーカー「NECグループ」では、標的型攻撃、ランサムウェア、ばらまき型メール攻撃など、日々発生するサイバー攻撃の脅威に対してリスク分析を行い、分析結果に基づきサイバー攻撃対策を実施しています。

リスク分析は、「サイバー脅威分析」「監視運用分析」「ソリューション・IT分析」、及び「対策分析」の4つに分類しています。

具体的な対策として、未知のマルウェア検知システムを導入し、ログの監視体制を強化し、潜在的なリスクの発見と、情報漏えいリスクの低減に努めています。

サイバーセキュリティ対策の社内事例: Vol.70 No.2: ビジネスの安全・安心を支えるサイバーセキュリティ特集 | NEC
ホームページで紹介しているNEC技報のバックナンバーを一部掲載しています。
jpn.nec.com

人材派遣業の企業では、同社のビジネスが企業に技術系社員を派遣するという性格上、派遣社員の情報や、派遣先の機密情報を多く扱うため、プライバシーマークを取得し、情報の取り扱いについて、正社員、派遣、アルバイト、パートに向けて、回覧、研修を行ない、ヒューマンエラーによる情報漏えいを無くすよう努めています。

出典:IPA 付録 B. 情報セキュリティ対策事例集

まとめ

情報セキュリティの必要性について解説しました。

今の情報セキュリティ対策は、単にセキュリティに関するシステムの導入だけでは終わるものではありません。

その情報を取り扱う人のモラル向上や、ルールを決めることが必須ですし、ルールは時代によって変わってきます。そして、多くの人が認識しているように一般的にはセキュリティと利便性は相反するものです。

セキュリティと業務効率とのバランスを如何にとっていくのかもこれからの企業経営には求められてきます。現場のセキュリティに対する意識を高め、同時に業務改革を推進することが必要です。

情報セキュリティ対策について、対策するべき課題別に対策ポイントをまとめた資料はこちら

情報漏えい課題別対策方法ハンドブック
実際の事例をもとに原因から対策まで徹底解説
情報セキュリティ対策セキュリティ教育
情報漏えい
タイトルとURLをコピーしました