"情報セキュリティ"とは?ビジネスパーソンに知ってほしい基本中の基本
「“情報セキュリティ”ってなんですか?」と新入社員に問われた時、あなたは明確な回答ができますか?
ウィルス対策のこと?サイバー攻撃からの防御?など、なんとなく普段から使っている言葉ではあるけど、他の人に的確な説明ができるほど、理解しきれていない方も多いのではないでしょうか?
大手企業向けに情報セキュリティ対策のコンサルティングを行っていたDXコンサルタントの私が、分かりやすく解説します!
この記事を書こうと思ったきっかけ
社会では「情報セキュリティ対策が不十分である」や「情報セキュリティのレベルを上げる必要がある」などの議論が各社で日々行われていますが、そもそも"情報セキュリティ"がどのようなものなのかの認識が揃っていないことにより、議論の品質が上がらない場合が多いと感じています。
また、セキュリティ製品ベンダーも「新たな脅威が…」「情報漏洩が起こるとこんなに損害が…」といったホラーストーリーを流すため、話題になったリスクが出てくるたびに行き当たりばったりでセキュリティ対策を進めていることも少なくありません…
その結果、それほど重大でないリスクに関して、過度な対策を施し余計なコストがかかり続けるといったこともあります。
そのため、情報セキュリティについて正しく理解した上で、適切な対策を施し、リスクを適切に低減させながらビジネスを進められる人が増えてほしい、と思ってこの記事を書いています。
これまでなんとなく"情報セキュリティ"という言葉を使っていたけど、正しく理解できているか怪しい、と感じた人はこの記事をお役立ていただけると嬉しいです。
そもそも情報セキュリティとは?
“情報セキュリティ”は”情報” +”セキュリティ”の複合語です。
“情報”については、イメージできる方も多いかと思いますが、文字、音声、動画、ドキュメントなどで、保管や伝達される事柄で、普段から見聞きするものや他の人と交わす文字や会話の全てが情報です。
“情報セキュリティ”の言葉の中で議論の対象となることが多いのは、事業の運営に関わる外部に公開されていない事柄や、顧客情報を始めとするデータベースでしょうか。
“セキュリティ”については、日本語に直訳すると、”保安”となり、” 安らかな状態を保つ”ことを指します。
他にセキュリティや保安が含まれる複合語である、ホームセキュリティは家が安らかな状態を保つこと、海上保安庁は海の上が安らかな状態を保つことをミッションとした省庁になります。
そのため、”情報セキュリティ”は
(自社保有する非公開の)情報が安らかな状態を保つこと
を指します。
情報が安らかに保たれた状態とは?
情報セキュリティが安らかに保たれた状態を考える上で、セキュリティの三要素があります。
機密性(Confidentiality)
完全性(Integrity)
可用性(Availability)
の3つです。
これらの頭文字を取って”CIA”や”情報セキュリティのCIA”などと呼ばれることもあります。
新入社員研修をはじめ、どこかで聞いたことがある人も多いのではないかと思いますが、普段から意識している方はあまりいないように感じています。
この三要素のバランスが取れ、情報セキュリティ関連の支出が適正な状態が保たれていれば、安らかな状態と言えます。
大切なのは、どれか1つの要素だけを高めることには意味がなく、自社の事業の特性を踏まえながらバランスを考えることが重要です。
ここからは三要素のそれぞれについて解説します。
機密性(Confidentiality)
端的に言えば、「適切な人だけが情報にアクセスできる」ということです。
社内で関係者以外に情報へのアクセスを制御することや、社外からの不正なアクセスを防ぐことによって高めるものです。
情報セキュリティに明るくない人が「情報セキュリティのレベルを上げる」などと言う場合は、機密性の話をしていることが多いです。
例えば以下のように適切でない人が情報にアクセスできてしまう状況は、機密性が高いとは言えません。
ファイルの管理がされておらず、他の事業部の人から無関係な事業に関する資料が閲覧できてしまう
パスワードがさまざまなアカウントで使いまわされているため、他の従業員のアカウントのデータが参照できてしまう
従業員に貸し出しているパソコンで、USBメモリへの接続や読み書きが可能なため、重要情報が持ち出せてしまう
重要情報が含まれる書面が、施錠されていない場所に置かれていて、社員が少ない時間帯であれば他の人が閲覧していても気づけない
ネットワークの分離やWEBと接続されたサーバーの脆弱性対策が不十分で、外部から侵入を許す恐れがある
こういった状況を防ぐためには、物理的な入室権限の制御や、ファイルの暗号化、多要素認証、フォルダの権限管理、ネットワークを切り離すなどの対策が挙げられます。
機密性は情報漏洩を防ぐためには非常に重要ですが、過度に機密性を求めすぎると、後述する可用性を損なうこととなります。
ここで問題です。
Q.重要な情報を、最も機密性が高い状態で保管するにはどうしたら良いでしょうか?
少し考えてみてください。
・
・
・
・
・
・
・
・
回答としては、
ネットワークから切り離した状態で、暗号化の上で記憶媒体に保存し、地下深くや海底などの金庫、もしくは宇宙空間などの侵入が困難な場所で保管する
などであれば、情報を盗み見ようとする人もそこに辿り着くことが難しいため、非常に機密性の高い状態といえます。
ポイントとしては、ネットワークから遮断する・情報を暗号化する・物理的に辿り着くことが難しい/辿り着いたとしても侵入ができないといった、情報を盗み見ることが難しい状態を作ることです。
ただし、その情報にアクセスしたい状況となった際に、適切な人がアクセスするまでに膨大な時間やコストがかかるため、現実的には採用されることはありません。
上記は極端な例ですが、機密性以外を度外方法を採用した場合、情報にアクセスする必要がある人は仕事をスムーズに進めることができなくなり、アクセスしやすい環境に複製されるリスクも高まります。
完全性(Integrity)
情報やデータに欠損がなく、意図しない改変をされていないことを指します。
以下のような状況は、完全性が損なわれた状態です。
WEBサーバーが社外の人間によって改変され、自社のサイトでマルウェア(コンピュータウィルス)が配布される状態となっていた
重要な情報を保存していたUSBメモリを紛失してしまい、バックアップもないため、データにアクセスできなくなった
システムの管理者が退職してしまい、パスワードがわからず、システムにアクセスできない状態となった
地震でサーバーが倒れ、その際にハードディスクが破損し、データにアクセスできなくなった
このような状況を防ぐための対策としては、バックアップや冗長化(複数のサーバーで処理やデータを保管すること)、アクセスログの監視や改竄の検知などが挙げられます。
完全性については高いに越したことはありませんが、過度に追及すればシステムの構築や運用に膨大な費用が発生します。
そのため、完全性が失われた際に、事業の存続が難しくなるなど、甚大な被害となる情報を特定の上で、そのような重要な情報の完全性を高める必要があります。
可用性(Availability)
必要な時に情報にスムーズにアクセスできることを指します。
以下のような状況は可用性が損なわれた状態です。
システムを稼働させているサーバーがダウンしていて、アクセスできない
本来必要な権限が付与されておらず、業務上必要な情報にアクセスできない
暗号化されたファイルのパスワードがわからなくなって、開くことができない
データセンターのある地域で大規模停電が発生し、稼働を停止したため、データにアクセスできない
また、上記のような状態でないとしても、情報にアクセスするまでに複数の認証が必要な状態や複数回パスワード入力が求められる、管理者からの許可がないと利用できないなどは、可用性が低いと言えるでしょう。
可用性が低下すると、業務が滞ったり、余計な工数が発生します。
一方、可用性を重視しすぎることは、機密性の低下につながります。
例えば、社内システムにGoogle検索から辿り着くことができ、認証なしで利用できたら、非常にスムーズで可用性は高いと言えるかもしれません。
しかし、退職者や外部からの閲覧も許可され、サイバー攻撃の対象ともなりやすいため、機密性は皆無となります。
機密性と可用性はトレードオフの関係にあるため、対象のシステムや情報の重要性に応じてどこまでの対策を施すかを決める必要があります。
このように、可用性・完全性・機密性の三要素に加え、コストのバランスが重要となります。
情報セキュリティの脅威
ここまでは情報セキュリティが何かを改めてご紹介しましたが、”情報セキュリティ対策"という言葉もビジネスの世界では頻出する言葉です。
この"情報セキュリティ対策"という言葉が存在する背景は、情報セキュリティを脅かす脅威が存在するためです。
ここではどのような脅威が存在するかをご紹介します。
大きく、人的脅威・技術的脅威・物理的脅威の3つに分類されます。
人的脅威
社内の人間の故意や判断ミスによって引き起こされる、情報漏洩の脅威です。
攻撃者にとって、技術的な脆弱性を突くよりも、従業員を騙す・買収するなどの方が容易なため、人的脅威による情報セキュリティ事故は多く発生しています。
内部不正
組織内部の従業員が故意に情報を漏洩したり、不正アクセスを試みたりするケース。
例:退職予定の従業員が顧客データを持ち出し競合企業に渡す。ソーシャルエンジニアリング
攻撃者が人間の心理を利用して情報を盗む行為。
例:攻撃者が従業員を装い電話でパスワードを聞き出すフィッシング詐欺。人的ミス
不注意による情報漏洩やシステム破壊。
例:従業員が重要なデータを誤送信する、もしくはUSBメモリを紛失する。
技術的脅威
WEBサイトやシステムインフラの技術的な弱点(脆弱性)を突かれて、サービスを提供不能な状態にされる、情報を抜き取られるなどの脅威です。
情報セキュリティ対策の議論では、ほとんどの場合は技術的脅威への対応について検討がされますが、実態としては人的脅威に比べると発生件数や被害額は少ない傾向にあります。
マルウェア感染
ウイルス、ランサムウェア、スパイウェアなどの悪意あるソフトウェアがシステムに侵入。
例:ランサムウェアが感染し、重要なデータが暗号化されて使用不能になる。ゼロデイ攻撃
ソフトウェアの未知の脆弱性を利用した攻撃。
例:未公開の脆弱性を突かれ、ウェブサーバーが不正操作される。分散型サービス拒否(DDoS)攻撃
サーバーやネットワークを大量のアクセスでダウンさせる攻撃。
例:オンラインショップが攻撃を受け、サービス停止に追い込まれる。SQLインジェクション
データベースへの不正アクセスを目的とした攻撃手法。
例:ウェブサイトの検索フォームを悪用して顧客情報を取得される。
物理的脅威
データを保管するデータセンターやサーバー、社用PCが物理的に破壊される、盗難されるなどの脅威です。
東日本大震災のような大災害が起きた際は、データセンター内のサーバーラックが倒れる、データセンターの所在地で大規模な計画停電が行われるなど、大きな脅威となり、事業が中断した企業も少なからず存在します。
盗難や紛失
ノートパソコンやスマートフォンが盗まれる、もしくは紛失する。
例:営業担当者が顧客リストが入ったノートパソコンを電車内で紛失する。自然災害
地震、洪水、火災などが原因でシステムやデータセンターが破壊される。
例:地震によるデータセンターの崩壊でバックアップデータが失われる。
結局どこまで対策すればいいのか?
個人的には情報セキュリティ対策は、自動車の安全装備に似ていると感じています。
(自動車にそれほど明るくないため、誤った記述があったら申し訳ございません。)
昨今の自動車は、自動車メーカーの研究開発により様々な安全装備が備わっています。
対衝突性能はもちろん、飛び出しを検知して停止する/避ける、アクセルとブレーキの踏み間違えを防止する、居眠りや車線のはみ出しを検知するなど、仕切りにCMが放映されています。
これらは備わっていれば、衝突や歩行者の飛び出しをはじめとする、万一の事態に遭遇した際の事故発生率や生存率が向上することとなります。
しかし、遭遇することがなければ、せっかく費用を投じたにも関わらず、役に立たないまま、自動車が寿命を迎えることとなります。
さらには、安全装備が備わっていたとしても、一切のダメージがないとは限らず、被害者や運転者の負傷度合が軽減される程度の効果となる場合もあります。
また飛び出しの検知機能を例に挙げると、都市部の人通りの多い道を運転する際には役立ちますが、オーストラリアの広大な砂漠を運転する人にとっては何の役にも立たない機能となります。
情報セキュリティ対策についても、同じようなことが言えます
・対策するに越したことはないが、対策にはコストが発生する
・対策を行っても、脅威に遭遇しなければ、一切の効果がない
・対策をしっかりと行っても、ダメージがゼロになるとは限らない
・業種や企業規模によって、想定すべき脅威が異なるため、必要な機能も異なる
上記の性質と自社のビジネスを踏まえ、どのような脅威があり、どこまで対策をするかを見極めることが重要です。
例えばDDOS攻撃に対する対策は、多くの企業が取り組んでいますが、BtoBのビジネスで、既存取引先からの受注が多い場合などは、対策費用の方が被害想定額よりも高額になるため、"対策を行わない(攻撃を受けた場合に、サービス不能となることを容認する)"といった判断も重要です。
社会的に知名度が高くない企業であれば、情報セキュリティ事故が発生しても報道されることは少ないため、お金をかけずに行える対策のみを行う企業も多く存在します。
まとめ
ここまで読んでいただきありがとうございます。
少しでも情報セキュリティに関する理解が深まれば幸いです。
もしどこまで情報セキュリティ対策を行うべきか判断できない、といったことがありましたら、お気軽にご相談ください。