Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
組織の機密情報を守るためには、適切な情報セキュリティ対策が必要です。
しかし、組織の情報セキュリティを脅かす要因は多種多様であり、どのような対策を講じるべきなのかは業務内容や保持している情報によって異なります。
そのため、組織のセキュリティを強化するためになにが必要なのか迷ってしまう方もいるのではないでしょうか。
この記事では、組織のセキュリティを強化するために重要な観点となる情報セキュリティリスクの詳細を解説します。
情報セキュリティとは
情報セキュリティとは、組織が保有する情報の「機密性」「完全性」「可用性」を確保することです。
情報は悪意のある攻撃だけではなく、内部不正やシステムの障害など、様々な要因で危険に晒されることがあります。
それらにどのように対処し、安全な運用を行なうかを検討・実践することは、情報を扱う組織として必須事項となるでしょう。
情報セキュリティの基本を押さえることで、自組織に必要なセキュリティ対策が明確になります。
こちらの記事では情報セキュリティについて詳しく解説しています。
関連ページ
組織の堅牢なセキュリティ環境を維持するために、情報セキュリティは非常に重要な要素です。
情報セキュリティリスクとは
組織の情報セキュリティを脅かす可能性を「情報セキュリティリスク」と呼びます。
情報セキュリティリスクの要因は「脅威」と「脆弱性」に大別され、さらに以下表のように分類することができます。
| 大分類 | 小分類 |
|---|---|
| 脅威 | 意図的脅威 |
| 偶発的脅威 | |
| 環境的脅威 | |
| 脆弱性 | ソフトウェア・ハードウェアの脆弱性 |
| 文書管理・体制の不備 | |
| 災害やトラブルに弱い立地 |
それぞれの内容を把握し、適したアプローチを行なうことで、情報漏洩などのセキュリティインシデントの発生率を下げることが可能です。
情報セキュリティの脅威
情報の安全性やシステムの正常動作を妨げる要因を指します。
情報セキュリティの脅威は、「意図的脅威」「偶発的脅威」「環境的脅威」に分類されます。
-
意図的脅威
外部攻撃や悪意を持った内部不正など、人間が意図的に発生させる脅威が該当します。
盗み出した情報を利用して金銭を要求する、意図的に機密情報を公開するなど、組織にダメージを与える行動に発展しやすいことも特徴です。
不正アクセスや情報の改ざん、なりすましやマルウェアの感染が該当します。
内部不正では、職務上の権限により機密情報を盗み出して悪用するケースが存在します。
各種セキュリティ製品の導入や、IT資産管理ツールによる操作ログの監視が代表的な対策です。 -
偶発的脅威
ヒューマンエラーにより意図せず発生する脅威です。
ファイルサーバーやWebサーバーなどの設定ミス、システム設計時の考慮漏れ、公の場で機密情報を口にしてしまうなどが該当します。
意図的脅威と比較してセキュリティ対策の死角となりやすいほか、意図的脅威を想定したセキュリティ製品で防ぐことが困難なケースが多く存在します。
従業員に対するリテラシー教育やストレスケア、作業手順の作成やミス防止の体制作りが代表的な対策です。 -
環境的脅威
火事や地震、落雷などの災害による脅威です。
環境的脅威によりシステムの正常動作が妨げられることで、データの破損や消失、業務停止が発生する恐れがあります。
環境的脅威の発生は防ぐことができないため、脅威が起こることを想定して対処しておくことが大切です。
クラウドサービスやデータセンターの活用が代表的な対策です。
情報セキュリティとサイバーセキュリティの違いや脅威に関して詳しく解説していますので、併せてご覧ください。
関連ページ
従業員に対するリテラシー教育についてはこちらで詳しく解説しています。併せてご覧ください。
関連ページ
情報セキュリティの脆弱性
前述した脅威を引き起こすトリガーとなる可能性をもつ弱点を脆弱性と呼びます。
情報セキュリティの脆弱性は「ソフトウェア・ハードウェアの脆弱性」「文書管理・耐性の不備」「災害やトラブルに弱い立地」の3つに分類されます。
-
ソフトウェア・ハードウェアの脆弱性
利用している製品や自社開発ツールなどに存在するバグやセキュリティホールが該当します。
メーカーは安全性に配慮して製品を開発していますが、利用期間が長くなるにつれて新たな攻撃手法や予期していないセキュリティ上の欠陥が見つかることがあります。
その欠陥に対処しなければ容易に攻撃が成功する環境となり、攻撃者の標的になれば情報漏洩に直結してしまう恐れもあるでしょう。
OSやウイルス対策製品、ファームウェアの最新化を行なうことで、多くの脆弱性に対処することができます。 -
文書管理・体制の不備
物理的な建物のセキュリティや、セキュリティマネジメントの不備を指します。
サーバー室やサーバーラックの施錠が徹底されておらず誰でもサーバーに触れられる場合や、クリアデスクが徹底されておらず機密情報が部外者の目に触れる可能性がある環境は、大きなセキュリティインシデントに繋がるリスクを高めます。
高性能なセキュリティ製品を導入し、堅牢なセキュリティ環境を構築していたとしても、適切な運用を行っていなければセキュリティリスクは高い状態と言えるでしょう。
適切なセキュリティポリシーを策定し、組織としてどのような状態が求められているのかを明確にし、実践することが大切です。 -
災害やトラブルに弱い立地
業務に利用するシステムは、実態としては物理的な精密機器です。
オフィスやサーバー室が前述した環境的脅威や不審者による物理的な攻撃を想定していない場所に配置されている場合は、災害やトラブルに弱いと言えます。
これにより機器の故障やシステムの停止、物理的な盗難など様々なセキュリティインシデントに繋がります。
環境的脅威と同様に、重要なシステムは安全な場所に配置することで対処することができます。
情報セキュリティリスクを整理し、自組織に足りないセキュリティ対策を見直すことで、予期せぬセキュリティインシデントの発生を抑えることに繋がります。
情報漏洩に繋がるセキュリティインシデントについてはこちらで詳しく解説しています。併せてご覧ください。
関連ページ
セキュリティインシデントの事例
ここからは、実際にどのようなセキュリティインシデントが発生したのかを紹介します。
ウォレットサービスの不正チャージ
2020年5月、第三者が不正に入手した銀行口座情報をウォレットサービスと連携し、換金性の高い商品を大量に購入する事件が発生しました。
ウォレットサービス利用の間口を広げる目的で簡単にウォレット用口座を開設できるシステムとなっており、銀行口座の不正入手を想定できていなかったことが原因のひとつと考えられています。
この事件では約1,800万円の被害が発生し、被害全額が補填されました。
電子マネー決済アプリの不正利用
2019年7月、QRコード決済システムで不正アクセス被害が発生しました。
第三者が利用者のアカウントを容易に乗っ取ることができるシステムとなっており、その脆弱性に気づいたユーザーにより多くのアカウントが不正利用されています。
決済システムのセキュリティは通常、極めて慎重に設計され多重の防御が施されますが、該当の決済システムはセキュリティ管理に甘さが残っていたと考えられています。
この事件により、およそ1500人のアカウントが被害に遭い、約3,000万円の損害が発生しました。
業務に不必要なデータの閲覧
2022年2月、医療施設の職員が患者の電子カルテを閲覧し、患者2名分の個人情報を漏洩していた事件が発覚しました。
2019年1月、2月の2度にわたり不正に情報を閲覧していたことがわかっています。
閲覧された電子カルテは業務上閲覧する必要がない情報であったにもかかわらず、システム上の閲覧権限が付与されていたようです。
該当職員の不正行為やリテラシーの不足もありますが、情報セキュリティ対策の観点では「システム設定」と「端末操作の監視」にも問題が見られます。
システム設定では、該当職員が不要なデータにアクセスできる権限を与えられていたことが問題です。職員本人による内部不正リスクだけではなく、このアカウントがサイバー攻撃により悪用されていた場合はさらに事態は悪化していた可能性が高いと考えられます。
不要な権限は付与せず、最小限のアクセス権限を与えることがアカウント管理の基本的な考え方です。
また、端末操作の監視が十分に行なわれておらず、不正なファイルアクセスを見過ごしてしまっていた問題もあります。
本来不必要なファイルへのアクセスを発見できていれば、権限付与の改善や情報漏洩の防止に繋げることも可能であったと考えられます。
システムごとにセキュリティで力を入れるべき要素は異なります。
情報セキュリティリスクを整理し、必要な対策を見落とさないことが重要です。
情報セキュリティの対策についてはこちらで詳しく解説しています。併せてご覧ください。
関連ページ
組織にとって必要なセキュリティ対策を講じる
情報セキュリティリスクを正しく理解することで、組織のセキュリティ対策になにが不足しているのかを明確にすることができます。
多くのセキュリティインシデントは、複合的に情報セキュリティリスクが顕在化することで発生します。
限りある予算の中で盤石なセキュリティ環境を構築するためには、情報セキュリティリスクの観点からセキュリティ全体を見直すことが大切です。
脅威に対してはセキュリティ製品の設定見直しやIT資産管理ツールの活用、従業員のリテラシー教育が対策として考えられます。
脆弱性の観点ではOSやセキュリティ製品の最新化、セキュリティポリシーの制定・改善が主な対策となるでしょう。
既存の設備や利用サービスでは十分な防御を実現できないセキュリティリスクに対しても、コストをかけることでバランスの良いセキュリティ環境に近づけられることがあります。
リスクを理解したうえで対策を講じることが、セキュリティインシデントの発生率を大きく削減することに繋がるのではないでしょうか。
関連する記事
