国際規格ISOで定義されている情報セキュリティ
セキュリティ対策というのは、ウイルス対策ソフトを導入したり、ソフトウェアのアップデートを行ったりすることをいいます。慣用的な言葉として、主に個人で使用しているパソコンに対して使われます。
それに対して、情報セキュリティというのは、国際規格 ISO/IEC 27001で定められた3大要素を維持していくことが基本となっています。
- 機密性 Confidentiality
- 完全性 Integrity
- 可用性 Availability
それぞれの頭文字をとって 情報セキュリティのCIAともいいます。
会社や事業所では、情報システムや情報資産のセキュリティも含んでおり、情報セキュリティという言葉が適切です。情報セキュリティ対策、情報セキュリティ管理ともいいます。
3大要素
情報セキュリティとは、機密性、完全性、可用性の3大要素をバランスよく維持していくことです。
機密性
許可された者のみデータ・情報にアクセスできるようにします。アクセス権の無い者にアクセスさせない、第三者に情報を漏洩させないこと。
完全性
データ・情報が完全であること。データが破損したり、改ざんされたりしていないこと。
可用性
必要なときに必要なデータ・情報が使える、取り出せること。停電や落雷などの自然災害でも コンピューターやシステムが停止することなく使えること。
3大要素は、バランスよく維持していくというのが大切になってきます。
例えば、個人情報などの機密性を重視するなら ネットワークから遮断して管理すればよいということになるのですが、現在のシステムではそれはできないことが多くなっています。
ネットショップなどで、買い物をするときに顧客情報とホームページが連動していないと ネットショップというサービスそのものが提供できないことにもなります。
そのため機密性を保ちつつ、完全性や可用性を維持するということが必要となってきます。
リスク
機密性、完全性、可用性を維持していく上で、リスクは大きく分けて3つのものがあります。
技術的脅威
マルウェアや不正アクセスなどプログラムによって起こるもの。フィッシング詐欺、標的型攻撃、Dos攻撃など。
人的脅威
内部における操作ミス、情報漏洩、ソーシャルエンジニアリング、ソフトウェアやシステムの脆弱性をそのままにしておくなど組織内でのセキュリティモラルの欠落など人が直接的な原因となるもの。
物理的脅威
地震、落雷、洪水などの自然災害、機器の寿命や故障、侵入者による破壊など。コンピューターやシステムが物理的に破損して使えなくなること。
インシデント
セキュリティ上 重大な事故が起きることを、インシデント、インシデント発生といいます。
情報漏洩、不正アクセス、システムの停止による混乱や被害の発生、故障によるデータ消失など。
リスクにより、機密性・完全性・可用性いずれかが損なわれてしまうことをいいます。
リスクマネジメント
インシデントを防ぐには、リスクがどこにあるのかを見つけ リスクそのものを小さくしたり排除する必要があります。リスクマネジメントといいます。
リスクマネジメントには以下のものがあります。
リスク回避
リスクを排除・回避すること。データベースを外部ネットワークに繋げないなど。不必要な個人情報を収集しない・蓄積しない、リスクのあるサービスから撤退。
リスク低減
リスクの起きる確率や規模を抑えること。システムの2重化・バックアップ、社内でのセキュリティ意識を高める講習、IDやパスワードを使った入退室・機器の管理、サポート期限を過ぎたOSを使わない、セキュリティ対策を行うなど。
リスク移転
リスクを第三者に移転・委託すること。ウイルス対策会社との契約、システムの委託、保険の加入など。
情報セキュリティマネジメントシステム
情報セキュリティとは、機密性・完全性・可用性を維持していくことです。
そしてどのようなリスクがあるかも知り、リスクに対するリスクマネジメントも実施してく必要があります。
会社や組織で 情報セキュリティを具体的にどのように進めていくか?となったときに、国際規格 ISO/IEC27001に沿ったかたちで、組織内で系統だてて情報セキュリティ対策を行うことを、情報セキュリティマネジメントシステム ISMSといいます。
JIPDEC 日本情報経済社会推進協会が第三者機関となり、ISMS適合性評価制度を設けています。
情報セキュリティポリシー
ISMSに沿い一番はじめにすべきことは、情報セキュリティに対する考え方や取り組みを明文化・文書化し、社内・組織内にルールやマニュアルを浸透させることです。
情報セキュリティポリシーは、以下の2つもので構成されます。
- 基本方針・・・企業・組織としての基本方針
- 対策基準・・・対策や基準の策定
実際の運用は実施手順を作成して進めていきます。また万が一 インシデントが発生したときの対応策・マニュアルも重要になります。
会社・組織内での情報セキュリティの責任者は、情報セキュリティポリシーを策定する会社の経営陣になります。経営者・経営陣から始めるという トップダウンの取り組みが必要です。
PDCAサイクル
ISMSでは、PDCAサイクルを用いることが推奨されています。PDCAサイクルとは以下の流れになります。
- Plan・・計画。情報セキュリティポリシーの策定
- Do・・実施。実際の業務や運用、周知や教育
- Check・・評価。「Do」の結果を一定期間後 確認・監査。
- Act・・改善・修正。
PDCAサイクルは、一度行えばいいというわけではなく 定期的に繰り返していくことが必要になります。
ISMS認証とプライバシーマーク
情報セキュリティに関連する認証制度として、ISMS認証とプライバシーマークがあります。
ISMS認証は ISMS適合性評価制度のことで情報セキュリティの適切な運用ができている法人・組織に対して認証されます。公官庁や教育機関も対象となります。プライバシーマークは、個人情報の取り扱いが適切である法人・事業所に認定されます。
ともに審査があり、認定している機関はJIPDEC 日本情報経済社会推進協会になります。認定されると、名刺やホームページなどでロゴマークを使用することもできます。
現在登録されている法人・組織は ISMS認証が約4,500社、プライバシーマークが約14,000社になります。
今後 企業・法人・事業所などでは、情報セキュリティの運用を適切に行なっていくために、ISMS認証やプライバシーマーク取得を考えるというのもひとつの方法です。
認証にむけて、社内・組織内の情報セキュリティを構築していく機会にもなり、組織内のセキュリティ意識を高めていくことにも繋がります。
認証されれば、内外に情報セキュリティに対する取り組みをアピールすることができます。
小規模事業者
小規模な法人・事業所では、ISMS認証やプライバシーマーク取得とまでいかなくても、ISMSの基本的な概念を取り入れて、情報セキュリティを構築していきます。
例えば、以下のように当てはめていきます。
- 経営者・経営陣が情報セキュリティに対する取り組みを自覚し、組織内に浸透させる
- 機密性・完全性・可用性を維持する上で、どのような対策を講じるべきか考える
- 機器やシステムなどにリスクがないか分析する
- 組織内でセキュリティ教育、業務改善など定期的にPDCAサイクルを実施する
経営者・経営陣が、情報セキュリティに対する取り組みや行動を起こさなければ、その組織のセキュリティ意識は低くなります。
また組織内のどこに問題やリスクがあるかはじめは分からないので、ひとつづつ分析したり抜き出していくことも必要になってきます。
このようにISMSに照らし合わせて進めていくことが望ましいといえます。