情報セキュリティの基礎知識と求められるセキュリティ対策
更新日 : 2022年04月27日
インターネットが急速に普及したことで、企業や組織を対象とした、サイバー攻撃やフィッシング詐欺などの被害が増加しています。同時にセキュリティリスクが大きくなっているため、企業はセキュリティの対応をしなければなりません。
そこで今回は、情報セキュリティの基礎知識と求められるセキュリティ対策についてご紹介します。
何故セキュリティ対策が必要か
何故セキュリティ対策が求められているのか、その必要性について見ていきましょう。 |
情報漏えいなどの企業が直面するリスク
セキュリティ対策を怠ってしまうと、その脆弱性を狙ってサイバー攻撃に遭い、機密情報や個人情報が漏えいしてしまう可能性があります。
企業で取り扱っている機密情報が漏れてしまうと、企業は競争力や信用などを失います。中でも、お客さまの個人情報が漏えいしてしまった場合は、損害賠償や訴訟などの大きな問題につながることもあるでしょう。
また、セキュリティリスクによりシステムが停止してしまった場合は、業務全体を停止しなければならない場合もあります。ランサムウェアによりデータが暗号化され、ファイルが開けなくなってしまう恐れもあります。そうなると、システムを動かすまでに工数がかかり、業務の再開が難しくなるでしょう。業務停止が長引けば経営にも影響が出てきます。
このようにセキュリティリスクにさらされることは、経営をする上でも大きなリスクとなるのです。そのため、セキュリティ対策を行い、企業の情報資産を守ることが重要視されています。
セキュリティインシデントが増加する背景
情報システムやインターネットは、企業を経営していく上でとても大切な部分です。
最近では、クラウドサービスを利用して、情報資産をインターネット上に保存することも増えてきています。情報をネットで管理することも多くなった今、サイバー攻撃の技術も進歩しています。システム停止やウイルス感染、サイト改ざんなどのリスクが多く存在するようになりました。
他にも、働き方改革や新型コロナウイルス感染拡大を防止するために、テレワークを導入する企業が増えてきています。テレワークとは、オフィスではない場所で働くことを意味し、自宅や家から近いサテライトオフィスで働くことをいいます。
そこで問題となるのが、社内の情報や、会社で貸与している端末を外部に持ち出すことです。端末を社外に持ち出すことで紛失や盗難の恐れがあります。
また、カフェなどの公共の場で仕事をする場合、利用しているインターネットから情報の盗み見やウイルス感染してしまうリスクがあります。テレワークが普及している現在、外で仕事をすることによりセキュリティリスクが増加していると考えられます。
情報セキュリティとは
情報セキュリティとは、セキュリティの脅威から情報資産を守るために、機密性・完全性・可用性の要素を正常に維持することです。 |
機密性
許可されたユーザーのみが情報にアクセスできるようにすることを機密性といいます。許可されていないユーザーは、情報の閲覧ができなかったり、書き換えなどができないようになっています。暗号の利用やアクセス権の設定などが該当します。
完全性
完全性とは、保有する情報が正確で完全であることです。情報資産や情報処理に対して、間違いや不足がないことを要求されます。
例えば、Webサイトやシステムが改ざんされたり壊されていたりしないことを意味しています。改ざん防止や、検出などの対策が該当します。
可用性
機密性と完全性が保たれた状態で、許可されたユーザーが必要なときにいつでも情報にアクセスできるような状態にすることを可用性といいます。
例えば、災害やトラブルによりシステムが停止し、データが破損や消滅してしまうことは、可用性に欠けているといえます。データをバックアップし、災害時でも許可されたユーザーがデータを取り出せるようにしておく必要があります。
セキュリティに対する脅威の種類
情報資産に対して、損失や影響を与える直接的な原因のことを情報セキュリティに対する脅威といいます。
|
人的脅威
人的脅威とは、人が関わる脅威のことを指します。人的脅威は、意図的な脅威と意図しない脅威に分かれます。
意図しない脅威とは、端末の盗難や紛失、誤送信などの操作ミスのことです。意図的な脅威は、不正アクセスやサーバー攻撃など、第三者が悪意を持って攻撃してくることを指します。
技術的脅威
技術的脅威とは、プログラムを介して被害に遭う脅威のことです。具体的には、PCのウイルス感染や、不正アクセス、データの改ざんなどが技術的脅威に当てはまります。
物理的脅威
火災や地震などにより、システムや機器が使用できなくなることを物理的脅威といいます。他にも、外部からの不法侵入により情報を盗まれたり、データを破損されてしまったりすることも物理的脅威に当てはまります。
セキュリティ対策の方法
セキュリティ対策の方法は、1つだけではありません。起こりうる脅威に対して、それぞれに合ったセキュリティ対策を行うことが大切です。 |
人的脅威に対するセキュリティ対策の方法
セキュリティ教育
情報資産を守る対策は、セキュリティソフトの導入やアクセス権限を設けるだけではありません。インターネットを利用する全員にセキュリティ意識を持ってもらう必要があります。 セキュリティ意識を持つには、さまざまな脅威に対する知識を身につけなければなりません。そこで対策として必要になるのが、セキュリティ教育です。 セキュリティ教育では、情報セキュリティポリシーや脅威、対策について周知させるための研修や偽のメール攻撃による訓練などの実践的な研修を行います。 |
技術的脅威に対するセキュリティ対策の方法
エンドポイントセキュリティ
エンドポイントセキュリティは、ネットワークに接続されているPCやサーバー、スマートフォンなどを守るセキュリティ対策のことです。HDD暗号化やマルウェア検知、ID管理などが主な対策方法として挙げられます。
ネットワークセキュリティ
ネットワークを介したサイバー攻撃から情報漏えいや情報改ざんなどを防止するためのセキュリティ対策です。内部による攻撃への対策として、ログ監視やファイル暗号化などの対策が挙げられます。他にも、マルウェアやコンピューターウイルスなどによる外部からの悪意の攻撃への対策として、セキュリティソフトの導入が挙げられます。
物理的脅威に対するセキュリティ対策の方法
入退室の管理
サーバー保管室や機密書類を扱うスペースはもちろん、オフィスへの入室にも施錠します。誰がいつ入室・退出したのかを管理することで、窃盗を目的とした侵入を防ぐことができます。
災害対策
パソコンやサーバーが倒れないように耐震対策を行う、停電に備えて無停電電源装置を導入するなどといったことが必要です。その他にも、災害によりシステムが故障することも想定し、バックアップセンターを設置することも大切です。
まとめ
今回は、情報セキュリティの基礎知識と求められるセキュリティ対策についてご紹介しました。
企業にある情報資産は、今後の経営に影響をもたらさないためにも、守る必要があります。そこで大切になるのが、情報セキュリティ対策です。
セキュリティソフトの導入はもちろん、データのバックアップや社員のセキュリティ意識を高めるためのセキュリティ教育などを行い、セキュリティを高めていきましょう。