Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
近年、情報資産は紙の文書以外に電子データでも保管されており、保管場所も社内のファイルサーバーに限らずクラウドストレージやその他のサービスを利用することも珍しくありません。
テレワークの普及により、従業員の自宅などにまで機密情報が分散する傾向にあり、組織はこれまで以上に堅牢な情報セキュリティを構築する必要があります。
この記事では、組織が構築するべき情報セキュリティはどのようなものかを解説します。
情報セキュリティとは
組織が保有する情報資産を守ることが、情報セキュリティの最終的な目的です。
情報資産は機密情報に限らず、企業のブランドやイメージ、技術情報や業務のノウハウ、情報を保管する機器類も含まれます。
情報セキュリティは、これらの情報資産をどのように守っていくのかを考え、実践します。
また、サイバー攻撃や内部不正への対処はもちろん、災害や設備の事故などを想定したBCP※1を考慮する必要もあります。
組織として必要な対処は多岐にわたるため、情報セキュリティは策定して終わりではなく、継続的にPDCAサイクルを回して改善を続けることが大切です。
※1 BCP:事業継続計画。災害や事故、テロなどの緊急事態を想定し、そのような場合においてもできる限り事業を継続させるための計画。
情報セキュリティを構成する7つの要素
堅牢なセキュリティ環境を実現するために、まずは適切な観点で社内セキュリティを考えることが大切です。
情報セキュリティの3要素である「機密性」「完全性」「可用性」は広く知られているところですが、近年ではそれに加えて「真正性」「責任追求性」「否認防止」「信頼性」の4つを加えた7つの要素が提唱されています。
- 機密性
許可されたユーザーだけが情報にアクセスできることを指します。
情報へのアクセス権限は最小限にすることが基本です。
適切なアクセス権限の設定や、堅牢な認証システムの利用が主な対策です。 - 完全性
情報に誤りがなく完全である状態を保護して、維持することを指します。
情報の改ざんはもちろん、メンテナンス不足により内容が古い状態なども完全性が損なわれていると言えます。
不正アクセス対策や適切な文書管理が主な対策です。 - 可用性
情報へアクセスする権限を持つユーザーが、必要な時にアクセス可能であることを指します。
システムの障害や災害で情報にアクセスできない状態は、可用性が損なわれていると言えます。
システムや電源の多重化、BCPが主な対策です。 - 真正性
情報にアクセスしているユーザーが、許可された人物やシステムであることを明確にする状態を指します。
悪意のある人物がアカウント情報を盗んでシステムへアクセスできるなどの状態は、真正性が損なわれていると言えます。
生体認証など多要素認証が主な対策です。 - 責任追求性
情報やシステムに対する操作が、誰によってどのように行なわれたのかを明確にすることを指します。
ファイルへのアクセスログ、端末操作ログの収集が主な対策です。 - 否認防止
なんらかの行為を行なった人物が、後からそれを否認できない状態を指します。
行為を指摘した際、証拠がなければ言い逃れることも可能であり、事実確認が困難になるケースもあります。
責任追求性と同様にログを取得し、確実に保存することが主な対策です。 - 信頼性
システムの処理やデータ操作が、欠陥や不具合なく実行されることを指します。
意図していない処理によりデータに変更が加えられると、そのデータは完全性を失い、情報としての信頼性は著しく低下します。
システムの設計時にレビュー、テストを入念に行ない、必要に応じて改修を怠らないことが主な対策です。
情報セキュリティリスク
情報セキュリティリスクとは、組織が利用するシステムやサービス、保有する情報資産に対して悪影響を及ぼすリスクのことを指します。
個別のリスクは多岐にわたりますが、組織のリスクは「脅威」と「脆弱性」の2つに大別することができます。
脅威
自然災害やサイバー攻撃、マルウェアの感染など、機密情報の漏洩やシステムの正常稼働を妨げる要因を指します。
従業員による内部不正も脅威として捉えられ、単純なミスや悪意を持った不正行為が該当します。
脆弱性
脅威を発生させる可能性を持つ、セキュリティ対策上の弱点を指します。
建物の耐震・耐火構造などの物理的な脆弱性やソフトウェアの不具合、システム障害や機密情報管理体制の不備などが該当します。
何も起こらなければ被害は発生しませんが、脅威を引き起こす原因であるため脆弱性への対処は重要なセキュリティ対策です。
情報セキュリティ対策を怠らず、機密情報を守るために
現代のビジネス環境の変化はめまぐるしく、組織を取り巻く脅威も高度化の一途をたどっています。
これまでセキュリティインシデントが発生していなかった組織でも、外部環境の変化によって脅威にさらされるリスクは0ではありません。
情報セキュリティ対策の重要なポイントとして、可能な対応はインシデントが発生する前に実施することが挙げられます。従業員のデバイスやウイルス対策ソフトを最新の状態に保つことでマルウェアや不正アクセスの脅威に備え、内部不正を行えない環境を構築することが重要です。
多くのケースでは、資産管理ツールを活用したシステム的な管理が有効です。
資産管理ツールによりIT管理部門が組織全体の状況を把握し、一貫したセキュリティ環境を保つことで情報漏洩のリスクは大きく軽減されます。
エムオーテックスでは、外部脅威・内部情報漏洩・脆弱性の対策を行えるツール「LANSCOPE エンドポイントマネージャー」を提供しています。
情報セキュリティの重要性を踏まえ、適切なセキュリティ環境の維持・強化に取り組みましょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
