投稿者: 情報セキュリティってなに?
情報というのは当然「データ」そのものを指します。で、そのデータはメディアに保存されます。
| 保存メディア |
| CD-R |
| DVD-R |
| USBメモリ |
| ハードディスク |
| 紙 |
これらのデータは、当然利活用されます。また、伝送されます。
| 伝送形態 |
| メール |
| ファックス |
| 手渡し |
| 口頭 |
これらの情報を保全し、安全に企業業務を遂行するのが情報セキュリティという概念の目的になります。もう少しわかりやすく噛み砕いて表現すると、情報資産の保護、それによる顧客からの信頼獲得、結果としての競争力や収益力の維持・向上が目的です。その具体的な指標として、機密性、完全性、可用性が1970年代に定義され、ISMS における認証基準となる JIS Q 27001 で採用されています。
ISMS 認証 日本情報処理開発協会(JIPDEC)が運営する情報セキュリティマネジメントの適合性評価制度。ISMS 認証を取得することで、事業者はセキュリティへの取り組みをPRできる。認証のための基準として JIS Q 27001 を用いる。
機密性について考えてみよう
企業において、社長や経営層だけが利用するべき重要な情報が一介のアルバイトの人にまで確認できてしまう状態だったらマズいですよね。例えば、このアルバイトの人が、会社の非公開の株式情報をカンタンに入手出来てしまう状態だとした場合、しかもそれを自由に取り扱えてしまう状態だとした場合、どんなことが起きるでしょうか? 最悪のケースを想像するのは難しくないと思います。
こういったことが起きないようにするためにはどうするか? 任意の情報について「許可された利用者」だけが「許可された範囲内で利用」できる状態にするためアクセスコントロールを設定します。許可のない利用者はその情報を利用できない状態を作っていくことを「機密性がある」と言います。ここで注意しなければならないのは、コンピューター上の情報だけでなく紙媒体なども含んだ概念であることです。また、「利用者」にはシステムも含まれます。
完全性について考えてみよう
数年前に、「有名な壁画が補修されたが、素人同然の絵師が補修したものだから元々はイエス・キリストだったはずなのにおさるのジョージみたいな絵になってしまった」という事件がありました。
壁画が補修されるに至ったのは、経年劣化で塗装が剥がれてしまったためでありこれは欠落を意味します。また、これを元通りに戻したいという考えから補修が行われたわけですが、結果は全く別の新キャラクターが生まれてしまいました。これは改ざんと言い換えることができるでしょう、もちろんこの絵師に悪意はなかったものと思いますが……。こういったことが起こらないように情報が完全で正確であることが保証された状態を「完全性がある」と言います。前述の通り、悪意の有無に関係なく発生する可能性がありますが、情報システムでは完全性確保のためにチェックディジットやデジタル署名と呼ばれる技術・仕組みが発達しました。
可用性について考えてみよう
もしもあなたの家の近所に、そこそこ安くてそこそこ美味しい古い定食屋があるとします。メニューは限られているけれど割と人気のお店、だけど大将が気分屋で不定休だとしたらどうでしょう? 「ああ、久しぶりにあそこの焼肉定食食べたいなー」と思って食べに行くとお休みだった……なんてことが頻発したらどんなに人気で美味しい定食だったとしても次に行くのは躊躇してしまいますよね。
利用者が任意の情報を「使いたい!」と思ったときに利用できない状態では業務が止まってしまいます。こうしたことが起きないようにいつでも使える状態にすることを「可用性がある」と言います。利用ができなくなるケースは数多考えられますが情報システムでは機器の性能を十分に確保する、設置する機器を二重化する、電源を二重化する、データを恒常的にバックアップする、故障の前兆をかぎつけて予防保守を行う等の対策が考えられています。
何から資産を守るのか?
テレビでは、良く「アノニマス」などといった悪事を働くハッカー集団(クラッカー)が取り上げられ、彼らに対抗するためにセキュリティ施策導入を推奨するような報道がされていますが、本当にそういった集団だけが脅威的な存在なのでしょうか? 実際にはそんなことはありません。例えば東日本大震災のような震災がまた発生したとしたら? そのとき、自社のシステムが災害地域のデータセンターにしかなかったとしたら? はたまた、自社の社員の IT スキルが低いばかりに有識者ならば発生させないであろうミステイクが発生したとしたら? これにより顧客情報が競合他社に公開されてしまったとしたら? クラッカーだけでなく災害、故障、誤操作などセキュリティの脅威は、枚挙に暇がありません。
情報資産を保護することで顧客からの信頼を獲得し、ひいては競合他社との競争に打ち勝ち収益の維持向上が図れる……それがセキュリティの真の目的ではありますが、セキュリティ施策を導入するにはコストがかかります。導入によるメリット・デメリットを比較してデメリットのほうが大きいと判断された場合にはセキュリティ施策を行わないという方針をとる可能性も出てくるでしょう。しかし、その被害額は年々高額化していますから、まったくセキュリティ施策を行わないといった場合にはリスクが増大するばかりです。
一方で、それらをきちんと管理したからといって利益になるわけではありません。したがって業務としての導入には強い批判の声があがることも覚悟する必要があります。セキュリティ施策を推進・管理するには、当事者だけが努力して実現できるものではありませんので、そういった声にも真摯に対応する必要があります。すなわち、セキュリティ施策の導入には、すべての社員の協力を得る必要があり施策について全員に納得してもらう必要があります。こうした背景から、ISMS 認証基準ではセキュリティ推進委員会には経営層の参加が必須であると定められています。他方、セキュリティ施策に無尽蔵に資産を投資することはできませんので費用対効果を検討する必要も出てきます。昨今では ROI を算定する動きが高まってきており、セキュリティ投資とコストのバランスポイントを見つけて運用する必要があります。
ROI Return on Investment の略。任意の目的のために投下した資源がどれだけのメリットを生んだかを示す経営指標のひとつ。