株式会社アクシス
情報セキュリティというと、専門用語ばかりでITの専門家でないとよくわからない?けれど、ニュースで見かける個人情報の流出やウイルス感染によるデータ破壊・業務のストップ…万が一、漏洩や紛失といった事故や法令違反を起こせば、重大な経営的打撃を受けることは避けられません。
会社での情報セキュリティ対策は、経営者の責任として、会社全体として取り組む必要があります。
重要性は分かっているけど、やり方が分からない!という人のために情報セキュリティの基本的な考え方から、セキュリティ対策までを具体的にまとめました。
私たちがインターネットやパソコンを安心して使えるように、社内機密情報やお客様の個人情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、社内のネットワークが急に使えなくなったりしないように、必要な対策をすること。
企業における総合的な情報セキュリティを確保するために、ISMS(情報セキュリティマネジメントシステム)という指標があります。
ISMSでは、情報セキュリティの主な3要素を 機密性・完全性・可用性 と定義しています。
また、ISMSの国際規格であるISO27001の情報セキュリティの定義では、先の3点に加えて真正性・責任追及性・信頼性・否認防止の合計7点を維持すべきと定めています。
大切な情報をお預かりしている以上、十分な情報セキュリティ対策を実施し、情報を正しく管理し、漏洩や紛失を起こさないようにすることは、企業の社会的責任です。情報という形のないものを安全に活用するために、情報セキュリティの基本的な考え方を深めていきましょう。
■株式会社アクシスは2020年6月にISMS(ISO27001認証)を取得しています。
機密性・完全性・可用性は、情報セキュリティにおいての重要な3要素です。この3要素を適正に保つことにより、情報漏えいリスクや悪意のある人のアクセス・データ改ざんなどを未然に防ぐことができます。業種や守るべき情報によって具体的な対策はさまざまですが、共通するのは3つをバランスよく維持・改善し、リスクを適切に管理していくことが大切です。
権限を持つ決められた者だけが情報資産にアクセスできるようにすること。それにより大切な情報を保護・管理すること。情報を扱う人を制限することで、流出や改変のリスクを減らします。
【具体的な対策】〇オフィスへの立ち入りや資料室など特定のエリアのドアロック・入退室記録〇来客者立ち入り時の付き添い・区域の制限〇パソコン起動時のパスワード制限・離席時の画面ロック〇データにパスワードロックをかけアクセスを制限する〇アクセスできるアカウントを制限する→アカウントごとに権限を分けることにより編集・閲覧ができる人、閲覧のみの人、などと状況に応じた制限ができます。
情報資産の内容が正しく、完全な状態で保存されていること。故意・過失・災害などで改ざんされたり、破壊されたりしないようにすること。
機密性を保てば防げる事態もありますが、情報に誤りがなくかつ最新のデータであるかも重要です。
【具体的な対策】〇ウイルス感染防止ソフト・パソコンのアップデート〇バックアップを定期的にとり、不測の事態には復元できるようにする〇データ編集時にはダブルチェックを行い、編集履歴を残す〇通信の暗号化や、デジタル署名を利用する
アクセスを認められた者が、必要なときにはいつでも情報資産を利用できる状態であること。システムを障害(機器やパーツの故障・災害・アクシデントなど)で停止させることなく稼働し続けること。
「機密性」と「完全性」が確保されたことを前提に、災害時などのシステムダウン時にいかに早く復旧できるか求められています。
【具体的な対策】〇無停電電源装置などバックアップ電源を準備〇システムを二重化して予備システムを準備〇事業継続計画(BCP)や災害対策(ディザスタリカバリ)など緊急時の行動の社内共有
真正性(authenticity)利用者が身元の正しさを検証する手段を備えており、なりすましでないことを証明できることです。利用者が本人であることを証明するためには、ID・パスワードに加え二段階認証・指紋などの生体認証によって個人を認証することができます。また、情報そのものが本物であることを証明するためには、デジタル署名やTTP(Trusted Third Party:信頼できる第三者機関)によって真正性を保証することになります。
責任追及性 (accountability)システムのログ(利用状況やデータ通信履歴など)を記録取得しておき、インシデントが発生した時に、誰が、いつ、どの情報に、どのような操作を行ったかを追跡できるようにしておくことです。
信頼性(reliability)システムやプロセスが、期待した処理を確実に行っている状態を保つことです。システムを稼働させたとき、問題無く動作し、決められた水準を満たして利用できることを指します。システムのバグをなくしたり、故障率の低いデバイスを使うことも、信頼性のアップにつながります。
否認防止(non-repudiation)システムの利用や操作、データの送信などを、特定の人物が行なったことを後から否認できないようにすることです。デジタル署名やタイムスタンプを付与することによって、文書作成者が、その文書を作成した事実を後になって否認されないようにします。電子契約サービスなどで提供されているシステムも否認防止により成り立っています。