国際規格ISOで定義されている「情報セキュリティ」

セキュリティ対策というのは一般的にもよく使われる言葉で、ウイルス対策ソフトを導入したり、ソフトウェアのアップデートを行ったりすることをいいます。

慣用的な言葉として主に個人で使用しているパソコンに対して使われます。

それでは「情報セキュリティ」とは何か?

情報セキュリティというのは、国際規格 ISO/IEC 27001で定められた3大要素を維持していくことが基本となっています。

情報セキュリティの3大要素

  • 機密性 Confidentiality
  • 完全性 Integrity
  • 可用性 Availability

それぞれの頭文字をとって 情報セキュリティのCIAともいいます。

情報セキュリティは、パソコンやネットワークのセキュリティ対策ももちろん含まれるのですが、対象がウイルスや不正アクセスなどだけではなく、もう少し範囲が広くなります。

会社や事業所では、情報システムや情報資産のセキュリティという意味で「情報セキュリティ」という言葉が適切です。

「情報セキュリティ対策」「情報セキュリティ管理」ともいいます。

情報セキュリティの3大要素

情報セキュリティとは、機密性、完全性、可用性の3大要素をバランスよく維持していくことです。

機密性

許可された者のみデータ・情報にアクセスできるようにします。

アクセス権の無い者にアクセスさせない、第三者に情報を漏洩させないこと。

完全性

データ・情報が完全であること。

破損したり、改ざんされたりしていないこと。

可用性

必要なときに必要なデータ・情報が使える、取り出せること。

停電や落雷などの自然災害でも コンピューターやシステムが停止することなく使えること。

「バランスよく維持していく」というのが大切になってきます。

例えば 個人情報などの機密性を重視するなら ネットワークから遮断して管理すればよいということになるのですが、現在のシステムではそれはできないということもあります。

ネットショップなどで 買い物をするときに顧客情報とホームページが連動していないと ネットショップというサービスそのものが提供できないことにもなりますし、データベースと切り離したら 企業のヘルプデスクなども機能しなくなるからです。

なので 機密性を保ちつつ、完全性や可用性を維持するということが必要となってきます。

リスク

機密性、完全性、可用性を維持していく上で、リスクは大きく分けて3つのものがあります。

技術的脅威

マルウェアや不正アクセスなどプログラムによって起こるもの。

フィッシング詐欺、標的型攻撃、Dos攻撃など。

人的脅威

内部における操作ミス、情報漏洩、ソーシャルエンジニアリング、ソフトウェアやシステムの脆弱性をそのままにしておくなど組織内でのセキュリティモラルの欠落など人が直接的な原因となるもの。

物理的脅威

地震、落雷、洪水などの自然災害、機器の寿命や故障、侵入者による破壊など。

コンピューターやシステムが物理的に破損して使えなくなること。

このように脅威は大きく分けると3つに分かれます。

インシデントとは

セキュリティ上 重大な事故が起きることを インシデント、インシデント発生といいます。

情報漏洩、不正アクセス、システムの停止による混乱や被害の発生、故障によるデータ消失など。

リスクにより、機密性・完全性・可用性いずれかが損なわれてしまうことをいいます。


リスクマネジメント

インシデントを防ぐには、リスクがどこにあるのかを見つけ リスクそのものを小さくしたり排除する必要があります。

リスクマネジメントといいます。

リスクマネジメントには以下のものがあります。

リスク回避

リスクを排除・回避すること。データベースを外部ネットワークに繋げないなど。不必要な個人情報を収集しない・蓄積しない、リスクのあるサービスから撤退。

リスク低減

リスクの起きる確率や規模を抑えること。システムの2重化・バックアップ、社内でのセキュリティ意識を高める講習、IDやパスワードを使った入退室・機器の管理、サポート切れのOSを使わない、セキュリティ対策を行うなど。

リスク移転

リスクを第三者に移転・委託すること。ウイルス対策会社との契約、システムの委託、保険の加入など。

情報セキュリティマネジメントシステム

情報セキュリティとは、機密性・完全性・可用性を維持していくことです。

そしてどのようなリスクがあるかも知り、リスクに対するリスクマネジメントも実施してく必要があります。

会社や組織で 情報セキュリティを具体的にどのように進めていくか?

となったときに、国際規格 ISO/IEC27001に則り 組織内で系統だてて情報セキュリティ対策を行うことを、情報セキュリティマネジメントシステムといいます。

略して ISMS。

JIPDEC 日本情報経済社会推進協会が第三者機関となり、ISMS適合性評価制度を設けています。

情報セキュリティポリシーの策定

ISMSに沿い一番はじめにすべきことは、情報セキュリティに対する考え方や取り組みを明文化・文書化し、社内・組織内にルールやマニュアルを浸透させることです。

情報セキュリティポリシーは、以下の2つもので構成されます。

  • 基本方針・・・企業・組織としての基本方針
  • 対策基準・・・対策や基準の策定

実際の運用は実施手順を作成して進めていきます。

また万が一 インシデントが発生したときの対応策・マニュアルも重要になります。

会社・組織内での情報セキュリティの責任者は、あくまで情報セキュリティポリシーを策定する会社の経営陣ということになります。

PDCAサイクル

ISMSでは、PDCAサイクルを用いることが推奨されています。

PDCAサイクルとは以下の流れになります。

  • Plan・・計画。情報セキュリティポリシーの策定
  • Do・・実施。実際の業務や運用、周知や教育
  • Check・・評価。「Do」の結果を一定期間後 確認・監査。
  • Act・・改善・修正。

PDCAサイクルは、一度行えばいいというわけではなく 定期的に繰り返していくことが必要です。

ISMS認証とプライバシーマーク

情報セキュリティに関連する認証制度して ISMS認証とプライバシーマークがあります。

ISMS認証は ISMS適合性評価制度のことで情報セキュリティの適切な運用ができている法人・組織に対して認証されます。公官庁や教育機関も対象となります。

プライバシーマークは、個人情報の取り扱いが適切である法人・事業所に認定されます。

ともに審査があり 認定している機関はJIPDEC 日本情報経済社会推進協会。

認定されると 名刺やホームページなどでロゴマークを使用することもできます。

現在登録されている法人・組織は ISMS認証が約4,500社、プライバシーマークが約14,000社になります。

今後 企業・法人・事業所などでは、情報セキュリティの運用を適切に行なっていくために、ISMS認証やプライバシーマーク取得を考えるというのもひとつの方法です。

認証にむけて 社内・組織内の情報セキュリティを構築していく機会にもなりますし、組織内のセキュリティ意識を高めていくことにも繋がります。

認証されれば 内外に情報セキュリティに対する取り組みをアピールすることもできます。

小規模な法人・事業所

小規模な法人・事業所では、ISMS認証やプライバシーマーク取得とまでいかなくても、ISMSの基本的な概念を取り入れて、情報セキュリティを構築していくが望ましいといえます。

例えば、以下のように当てはめていきます。

  • 経営陣・経営トップが情報セキュリティに対する取り組みを自覚し、組織内に浸透させる
  • 機密性・完全性・可用性を維持する上で、どのような対策を講じるべきか考える
  • 機器やシステムなどにリスクがないか分析する
  • 組織内でセキュリティ教育、業務改善など定期的にPDCAサイクルを実施する

要するに結構当たり前のことであったりもします。

組織のトップが 情報セキュリティに対する取り組みや行動を起こさなければ、その組織のセキュリティ意識は低くなります。

また組織内のどこに問題やリスクがあるかはじめは分からないので、ひとつづつ分析したり抜き出していくことも必要になってきます。

このようにISMSに照らし合わせて進めていくということです。