昨今、ITの利用拡大なの中「情報システムセキュリティ」確保の声が高まっていますが、「情報システムセキュリティ」とは、何なのでしょうか?
この記事はこんな方におすすめ
企業のIT担当になった方
セキュリティの勉強をされている方
情報を取り扱いされる方
1.情報システムセキュリティとは?
情報システムセキュリティとは、企業や組織が維持・管理すべき特性の情報資産の「機密性」「完全性」「可用性」をリスクから守ることです。
この「機密性」「完全性」「可用性」の観点は、国内の情報セキュリティマネジメントシステム形成の基盤である。JISQ27001でも採用されております。
機密性(Confidentiality)完全性(Integrity)可用性(Availability)の頭文字をとってCIAと呼ぶこともあります。では、一つずつ解説していきましょう。
アクセスコントロールとも呼ばれる概念です。権限のある正当な利用者のみが情報にアクセス利用できること
機密性が失われる例
■個人情報が格納されている記録媒体が盗難にあった場合
■サーバーに不正侵入されて情報が漏洩した場合
■ネットワークを流れるデータを盗聴された場合
情報が改ざんや破壊されておらず完全で正確であることを保証すること
完全性が失われる例
■顧客情報が誤った情報のまま使用される場合
■WEBページが改ざんされた場合
利用者が情報を必要とする際に、いつでも利用可能な状態であること
可用性が失われる例
■電子決算システムが攻撃を受け、情報をできなくなった場合
■サーバー管理室で雨漏りがありサーバーが停止した場合
■何かしらの理由で通信ケーブルが切断された場合
2.情報資産とは?
情報資産とは、個人及び企業・組織などの資産として価値のある情報を総称したもので、情報資産を記録する形態には、パソコンやCDやUSBメモリなどの記録媒体、紙などが挙げられ、従業員の記憶や知識なども情報資産の記録形態として含まれることもある。
情報;データ・システム文書類・機密書類など
ソフトウェア;OS・アプリケーション・ソフトウェアなど
ハードウェア;ネットワーク機器・電子記録媒体など
人;個人の記憶・経験など
情報資産は、人、物、金に次ぐ経営資源といわれており。企業では、情報資産を正しく扱うために、セキュリティポリシーの策定や、従業員への情報セキュリティ教育、監視ソフトウェアの導入などの対策を講じられている。
3.情報資産のリスクとは?
リスクは、セキュリティの対立概念でリスク単独では現れず、ある情報資産に対して脅威と脆弱性が重なったときに顕在化します。リスクとして顕在化させないために脅威・脆弱性のどちらかを削除します。
まず、脅威には3種類あり「物理的脅威」「技術的脅威」「人的脅威」があり守るべき情報資産の種類により対策が変わってきます。
例えば、情報資産が紙ならば火や水から遠ざける対策が必要ですし、情報資産が電子機器に保存されている場合は、磁石などから遠ざける対策が必要です。
ここで注意が必要です。情報資産に脅威があるだけではリスクは顕在化しません。
紙の情報資産なら火が脅威になりますが、これがリスクとして顕在化するにのは、紙が火の気のあるところに置かれた場合です。こうしたリスクを顕在化させる状況を脆弱性といいます。
なので、脅威が存在しても脆弱性が存在しなければリスクは現実になりません。また脆弱性が存在しても脅威が存在しなければリスクになりません。
このことから「リスク=情報資産+脅威+脆弱性」の公式が成り立ちますので、3つのうちどれが欠けてもリスクは成立しないのです。
では、脅威の種類や対策はどのようにすればいいのでしょうか?
火災や地震、侵入者により直接的に情報資産が破壊される脅威のこと
対策
火災;防火壁・消化器・可燃物の持ち込み禁止
地震;耐震対策・データの遠隔地保存
落雷・停電;避雷針・UPS・自家発電装置
侵入者;警備員・窓の破壊対策・施錠管理
データ破壊;バックアップ・データの区分管理
ソフトウェアのバグやコンピュータウイルス不正アクセスなど、論理的に情報が漏洩したり破壊されたりする脅威
対策
不正アクセス;認証システムの導入・ログの監査
盗聴;暗号化
マルウェア;ウイルス対策ソフト・不明なファイルは開かない・セキュリティパッチの更新
ミスによるデータ削除・機器の破壊や内部犯による確信的な犯行による情報資産などの漏洩や失われたりする脅威
対策
ミス;予防システム・業務手順の標準化・確認対策・セキュリティ教育
内部犯;アクセス管理・セキュリティ教育・罰則規則・相互監視
4.まとめ
情報システムセキュリティを有効に実施するためにはリスクを把握する必要があり、リスクを把握するにはどうのような情報資産がありどのような脅威と脆弱性があるのかを把握する必要性があります。
しかも、ある一部だけ有効な対策をとっても、他の対策が不十分だとシステムのセキュリティを確保することができません。なので、全体を把握するために情報資産管理台帳を一度作成してみてはいかがでしょうか?