目次
さまざまな企業や組織において、セキュリティインシデントが数多く報告されています。特に近年はインシデント内容も複雑化・深刻化しつつあり、適切な情報セキュリティ対策が求められています。この記事では、データを活用した新規事業やマーケティングを検討されている方に向けて、会社の資産を守る「情報セキュリティ対策」の重要性を解説していきます。
情報セキュリティとは、「正規のユーザーが、安全にいつでも情報を使える状態」のことです。近年の情報化社会の発展によって、企業の持つ情報の価値は高まっています。そのため、悪意のあるユーザーからの攻撃で資産である情報の安全性が脅かされないように、情報セキュリティ対策の実施が検討されています。
以下では、情報セキュリティの脅威や定義、要因別の対策などを解説します。
企業はさまざまな脅威から情報を守るために、セキュリティ対策を積極的に行う必要があります。ここでは、情報セキュリティにおける4つの脅威について解説します。
漏えいは、個人情報や機密情報などが外部に漏れてしまうことで、改ざんとは、Webサイトなどの情報が書き換えられてしまうことを指します。
あるオンラインショップでは、ユーザーのクレジットカード情報の漏えいが発生しました。これは悪意のあるユーザーが不正にアクセスを行い、クレジットカード情報などの個人情報が外部に漏えいした事例です。
このように、漏えいが起こるとなりすましや不正利用、社会的信用の低下などが発生します。その他、刑事罰を受ける場合や損害賠償を請求される場合もあります。また、改ざんが起こる場合にも、Webサイト内にウイルスが埋め込まれる、ユーザーの個人情報が窃取されるなどの被害が出る可能性があるため、強固な情報セキュリティ対策が求められます。
不正な手段を使ってある特定の通信内容を得ることを、盗聴といいます。別の呼び方で「中間者攻撃」とも表現します。
盗聴によって得られた情報は、嫌がらせや情報、財産の窃取などに利用されます。
また、オンラインバンクの送金先が勝手に変更されるなどのケースもあります。これは利用者の端末と通信先の間に不正なユーザーが入り込み、送金先を改ざんする手法が使われています。
なりすましとは、他人の名前または盗み出したIDやパスワードを利用して、その人物のふりをすることです。なりすましの対象は、人物だけでなく企業のWebサイトなどにも及びます。
なりすましが発生すると、企業のWebサイトになりすましたフィッシングサイトでクレジットカード番号を入力させて個人情報を盗み出すなどのケースが確認されています。他にも、Webサイトに不正アクセスを受け、不正なユーザーからのログインが確認された事例があります。
近年は、フィッシング防止機能を実装したウェブブラウザも登場しつつありますが、なりすまし用のWebサイトであっても正規のサーバ証明書を持っている場合があるため、手口が巧妙化しています。
サイバー攻撃とは、サーバなどのコンピューターシステムに対して、ネットワークを通じてデータの窃取や改ざんなどを行うことです。
サイバー攻撃を受けると、データの窃取や改ざん以外にもサービスの停止やシステムの破壊などが行われます。ある企業では、ランサムウェア攻撃を受けてしまいサーバー内の業務データが暗号化されてしまったなどの事案が確認されています。また、国家や企業のイメージダウンを狙う「愉快犯的な犯行」も多いこともサイバー攻撃の特長の一つです。
情報セキュリティ対策は、企業としての社会的責任と企業価値の維持のために重要です。情報漏えいや法令違反などを起こしてしまうと企業の社会的責任の低下につながり、また、企業の有している価値の高いデータや技術が漏えいすれば企業価値の低下にもつながります。
企業の価値を維持するためには、情報セキュリティ対策の実施が非常に有効な手段になります。
ここでは、情報セキュリティの3要素について解説します。3要素とは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つの要素のことで、それぞれの頭文字からCIAと略されています。
機密性とは、限られた人だけが情報に触れられるように制限をかけることです。
社員の個人情報などの機密性の高い情報は、情報にアクセスできる人数を減らせば漏えいや悪用のリスクが減ります。しかし、過度に厳格なルールにすると社員の作業効率の低下を招き、社内の不満が高まってルールが形骸化する恐れもあります。
完全性とは、不正な改ざんなどから情報を保護することです。
データの管理ミスが起きれば企業の信頼性も揺らぎます。そのため、データを扱う社員のオペレーション教育が必須になります。
重要なデータをあらかじめ暗号化しておけば、不正なユーザーによって改ざんや漏えいが起こっても被害は少なくなります。
可用性とは、利用者がアクセスしたい時に安全にアクセスできる環境にあることです。
システムダウンや天災などの大規模な災害時には、迅速に復旧を行いアクセス可能な環境に戻します。
この可用性は、機密性と完全性の確保の上に成り立っています。
情報セキュリティ対策として、重要性や対策の3つの要素を解説しました。ここからは、より具体的に企業が取るべき対策について、「技術的」な脅威、「人的」な脅威、「物理的」な脅威の3つをもとに解説します。
技術的要因で発生する脅威には、「マルウェア」や「不正アクセス」などがあります。
マルウェアとは、ウイルスやスパイウェア、ランサムウェアなどの悪意あるソフトウェアの総称です。トロイの木馬などのマルウェアは企業を標的とした攻撃に比較的よく使用されます。
また、不正アクセスとは、権限を持たない不正なユーザーがコンピュータやサーバに侵入する行為です。不正アクセスをされると、機密情報を盗まれる、Webサイトを改ざんされる、別のサーバへ侵入する足がかりにされる、などの被害が出ます。
マルウェアや不正アクセスなどの技術的脅威への対策には、「セキュリティ対策システムの強化」がポイントになります。さらに、システムの強化を実施する上ではデータの「暗号化」が有効です。
暗号化とは、暗号アルゴリズムによって元のデータを変換する手法です。データの中身を暗号化することによって、情報の漏えいや改ざんのリスクを減らし、システムの強化につながります。
EAGLYSでは、暗号化の技術を利用し、クラウド上でデータを守ることはもちろん計算過程においてもデータの漏えいを防ぐことができます。
人的要因で発生する脅威には、人的ミスや内部不正などがあります。
また、人的な脅威には人が意図的に行う脅威と意図せずに行われる脅威の2種類があり、操作ミスによるデータの消失や流出、メールの誤送信、USBメモリの紛失のような人的ミスは意図せずに行われる脅威、社員や関係者によって企業の情報が外部へと漏れてしまような内部不正は意図的に行う脅威にあたります。
人的ミスや内部不正などの人的な脅威への対策には、「社員教育によるセキュリティリテラシーの向上」がポイントになります。
対象は全ての従業員で、研修の内容は、クラス形式やe-ラーニングを実施してセキュリティ知識の定着をはかり、その後知識や判断力が身についているかを調べるために疑似攻撃訓練などを行います。
ただ、教育のタイミングは、ポリシーの運用開始時、事件や事故後、新人研修などさまざまあるため、企業ごとに検討が必要です。また、セキュリティリテラシーの向上には定期的にフォローアップを行い継続させることが重要です。そのため、誰にどのような教育を行ったかなどを記録に残し、セキュリティ環境の変化に伴って定期的に研修を行うようにします。
物理的要因で発生する脅威には、機器の故障や破壊、天災などがあります。特に近年、地震、落雷、洪水、火災などの自然災害による被害が増えています。そのため、企業は突然の災害に対しても、日頃から想定を行いセキュリティ対策の実施が必要です。
機器の故障や破壊、天災などの物理的な脅威への対策には、組織における情報マネジメントの見直しがポイントになります。
情報マネジメントの見直しを行う上で、情報セキュリティポリシーなどのガイドラインの作成が必要になります。情報セキュリティポリシーとは、企業や組織において情報セキュリティを保つための、全体的な指針や方針を定めたルールです。
情報セキュリティに関する知識がゼロの状態からセキュリティポリシーの作成を進めることは難しいため、まずはルールを策定して自社の実態に合わせて整備していく手順で進めていきます。
これら「技術的」「人的」「物理的」の3方向から、情報セキュリティ対策を進めていきます。
セキュリティインシデントに備え、さまざまな企業が情報セキュリティ対策を進めています。社内で対策を行っていく際には、「技術的」「人的」「物理的」の3方向から検討していく必要があります。
技術的な対策として、より強固な暗号化手法である「秘密計算」の利用も大切です。
EAGLYSでは、情報セキュリティ対策として強固な暗号化手法である秘密計算の技術を利用し、安全な環境を構築できます。データを暗号化したまま計算が可能なため、機密情報などの漏えいを防止します。複雑化しかつ多様化したセキュリティインシデントに対応しながらデータを安心して利活用するためにも、暗号化技術などのセキュリティ対策は必須になります。