BUSINESS
2021年4月29日
自社の情報資産を守るための「情報セキュリティ」について
こんにちは、子供が産まれてわたわたしているじょーじです。
いきなりですが自社での情報管理、ちゃんと意識してますか?
関係者以外の人にふと重要な資料を見せてしまったり、クライアントのプロジェクトや予算を伝えてしまったり、社外の人に無作為にシステムのパスワードを渡してしまったり、飲み会でサラッと重要情報を口にしてしまったりしていませんか?
もしも心当たりがあった場合、気をつけたほうがいいかもしれません。予期せぬタイミングで情報漏洩が発覚し、被害が発生してしまう可能性もあります。
とはいえなかなか情報セキュリティは意識しにくいものでもあります。
そこで今回は日常的に情報資産を扱う中で守るべき情報とは何か、自社ではどのようにその情報を扱うべきなのか、どのようにリスクを特定し、管理していくのかとなどについてお伝えしていきます。
CONTENTS
1 情報セキュリティ対策では「まず何を守るべきか」を考える
「情報セキュリティ」というキーワードはあらゆるシーンで使用されます。
「情報セキュリティ」と聞いた時に何を思い浮かべますか?
エンジニアであればシステムやWEBサイトなどの脆弱性に対する情報セキュリティが真っ先に思い浮かぶかもしれませんし、デジタル領域に関わっていない方であればスマホのパスワードに対する情報セキュリティを思い浮かべるかもしれません。企業の管理職であれば情報資産の漏洩に対する情報セキュリティを思い浮かべるかもしれませんね。
このように「情報セキュリティ」という言葉はそれを受け取る人、立場などによって捉え方が変化します。そのため今回ご紹介する内容はあくまでも情報セキュリティのほんの一部分。一言で言い表すことができない、非常に広い意味を含むキーワードです。
企業でこの言葉を扱う場合は「まず何を守べきなのか」を明確にしてから、個別具体的な方法を立案していく必要があります。
当記事では「企業の情報資産をいかに守べきか」という観点を主眼として進めていきます。
2 情報資産とは
情報資産とは企業が保有する「資産としての価値がある情報」。簡単に言ってしまえばデータですね。
顧客情報、顧客の個人情報、従業員の人事情報、会社の財務情報、各種契約書、制作物、クレジットカード情報、ソースコード、チャットの履歴、事業計画などなども情報資産に該当します。
そして一見意味がなさそうに見えるデータも、蓄積されることで資産価値となることも。
これらが万が一漏洩してしまうと、企業イメージや企業価値の低下に繋がり、企業に甚大な損失を招く可能性があります。
情報資産に悪影響を及ぼす可能性のことを「リスク」、その要因を「脅威」と呼びます。
しかしリスクも脅威もゼロにすることは基本的には不可能だと考えましょう。そのため情報セキュリティでは「いかにリスクと脅威を減らすことができるか」の観点が求められます。
3 情報のライフサイクルを理解する
私たちが日々触れている情報にも「ライフサイクル」が存在しているんです。
このライフサイクルは生成、利用、保存、廃棄の4つのステージから構成されています。
生成時には正しい情報を扱う必要がありますし、利用時にはアクセス権限などを制限することで情報を保守する必要があります。
保存時には改竄やデータ持ち出しが発生しないよう、安全な場所に保存しなくてはなりません。
さらに廃棄時には、第三者からの介入を完全に遮断するための処理が求められます。
今扱っている情報は、どのステージに属していてどのような扱いが求められるのかを意識することは非常に重要です。
そしてこの4つのそれぞれのステージでは「情報セキュリティの3大要素」が維持されていることが大切になってきます。
4 情報セキュリティの3要素
情報セキュリティ対策を講じるにあたり、「情報セキュリティの3要素」が重要になってきます。
この3要素は「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つのこと。それぞれの頭文字をとって「CIA」とも呼ばれます。
- 機密性…権利を持った人だけが情報にアクセスしたり情報を使ったりできる状態。アクセス権の管理やパスワード利用をすることで機密性を保ち、情報漏洩を防止できる。
- 完全性…情報が破損したり改竄されたりせず、完全である状態。意図されない情報の変更を防ぐことが可能。
- 可用性…許可されたものが必要な時にアクセスすることができる。災害対策やバックアップが可用性を維持するために必要。
簡単に言うとこのようになります。
しかしこの中のいずれかのみを満たせばいいという訳ではありません。情報資産を守るためにはこれらをバランスよく満たす必要があります。
さらにこの3要素に加え、真正性(Authenticity)、責任追跡性(Accountability)、信頼性(Reliability)、否認防止(Non-repudiation)を加え、情報セキュリティの7要素と言われることも。
- 真正性…利用者や情報そのものが本物、正確であることを明確にする。なりすましや偽の情報でないことを証明できるようにする。
- 責任追跡性…ある行為が誰によって行われたかを明確にする。利用者が追跡可能で、システムの責任を明確に。
- 信頼性…情報システムの処理が、欠陥や不具合なく確実に行われること。矛盾なく動作と結果が一致する。
- 否認防止…情報の作成者が作成した事実を後から否認できないようにする。発生した事象を証明できるようにする。
5 リスクアセスメントとリスク対応
「リスクアセスメント」とは情報資産を対象にリスク特定、リスク分析、リスク評価を網羅する全体のプロセスのこと。
このリスクアセスメントを考えているかどうかで企業の情報資産の保守力が大きく変化すると言っても過言ではありません。
ここからは情報セキュリティにおけるリスクアセスメントをどのように進めていくかを記載していきます。
5-1 リスク特定
主に会社の保有する情報資産、さらにそれらに関わる情報セキュリティの3要素(機密性、完全性、可用性)が損なわれるリスクは何か、それはどのような内容なのかなどを洗い出します。
例を見ていきましょう。
| 業務 | 情報資産 | 脅威 | ||
| 新規プロジェクト | 基本契約書 | 持ち出し、紛失による情報漏洩 | ||
| 要件定義書 | 不正アクセスによる情報の改竄、外部への漏洩 | |||
| WBS | 不正アクセスによる情報の改竄、外部への漏洩 | |||
今回は新規プロジェクトを行う際を想定し、例として基本契約書、要件定義書、WBSを情報資産に挙げてみました。
リスク特定を行う際はそのデータの保管場所や主管部署、誰が管理しているのかなども明確にしておくといいでしょう。
5-2 リスク分析
次に特定のリスクに対しての重大度や発生頻度、影響範囲などを分析し、リスクの大きさを推定します。
これらを洗い出し、分析を行うことで「企業が情報資産に対して適切な対策を考えているのかどうか」を明確にすることが可能になります。
リスク分析を行う際は、担当者の知見、経験、時間や費用などなど自社に適した手法を選択する意識が大切です。
代表的な例としてはこのような分析手法が挙げられます。
- ベースラインアプローチ…目標とするセキュリティ基準(ベースライン)をチェックリスト形式で作成、分析する
- 非形式型アプローチ…有識者や外部専門家などの知見を用いて分析する
- 詳細リスク分析…情報資産の価値、脅威、脆弱性などによって分析
もちろんこれらを組み合わせたアプローチも効果的です。
自社に適したリスクアセスメント手法を選択できるかどうかも重要なポイントと言えるでしょう。
5-3 リスク評価
リスク分析を行なった後はリスクの評価を行なっていきましょう。
情報セキュリティの3要素を0〜2の3段階で評価していきます。
例としては下記のような記載が挙げられます。
| 項目 | 評価値 | 評価基準 |
| 機密性 | 2 | ・法律で安全管理が義務付けられている ・取引先との非公開情報など守秘義務の対象となり、漏洩による多方面への影響が考えられる ・自社の独自技術など、漏洩すると自社に大きな影響がある |
| 1 | ・見積書や発注書、仕様書や要件定義書など漏洩すると関係者の事業に影響が発生する | |
| 0 | ・自社がすでに公開している情報など、漏洩してもほとんど事業への影響がない | |
| 完全性 | 2 | ・法律で安全管理が義務付けられている ・取引先の情報や口座情報、契約情報、会計情報など、改竄されると関係者に大きな影響がある |
| 1 | ・自社の取引情報や従業員個人情報、契約情報、会計情報など、改竄されると関係者に大きな影響がある | |
| 0 | ・データが古いなど、改竄されても大きな影響がない | |
| 可用性 | 2 | ・取引先や顧客に提供しているサービスなどが利用できなくなると自社、取引先ともに大きな影響がある |
| 1 | ・商品やサービスに関するコンテンツを利用できなくなると影響が発生する | |
| 0 | ・古いコンテンツなど、利用できなくなっても事業に大きな影響がない |
このように情報資産の評価値を決定し、そこからその「情報資産の重要度」を決定していきます。
- 重要度2…機密性、完全性、可用性評価値のいずれか、もしくは全てが「2」の情報資産
- 重要度1…機密性、完全性、可用性評価値のうち最大値が「1」の情報資産
- 重要度0…機密性、完全性、可用性評価値の全てが「0」
このように重要度を可視化していきましょう。
5-4 脅威と脆弱性を可視化し、リスク値を算出する
次は情報資産の脅威を特定します。ここも3段階で評価しましょう。
| 評価 | 程度 | 内容 | |
| 3 | 高 | いつ発生してもおかしくない | |
| 2 | 中 | 特定の状況で発生が考えられる | |
| 1 | 低 | 通常の状況では脅威が発生することはない | |
この次は脆弱性を評価します。脆弱性は「特定した脅威に対して対策を講じられているかどうか」を考えます。その内容をまたもや3段階で評価します。
| 評価 | 程度 | 内容 | |
| 3 | 高 | 対策を講じていない | |
| 2 | 中 | 部分的に対策を講じている | |
| 1 | 低 | 必要な対策を全て行なっている | |
脅威と脆弱性を数値化した後は、表にしてみましょう。
被害が発生する可能性を可視化します。
| 脆弱性 | ||||
| 脅威 | – | 3 | 2 | 1 |
| 3 | 3 | 2 | 1 | |
| 2 | 2 | 1 | 1 | |
| 1 | 1 | 1 | 1 | |
脅威が3、脆弱性が3であれば被害発生可能性は「3」。脅威が2、脆弱性が1の場合は被害発生可能性は「1」となります。
ここまで算出した後にリスク値を算出します。
「リスク値=情報資産の重要度×被害発生の可能性」
の数式で計算しましょう。
5-5 詳細リスク分析結果とリスク対応
これらを踏まえて票を作成してみると、このようになります。
自社で定めた評価基準などをもとにすると、基本契約書が漏洩してしまうリスクが最も高そうです。もちろんこれに限らず、発生しうるリスクに対しては「リスク対応」を講じる必要があります。
リスク対応は主に4つの手法が考えられます。
- リスクの軽減…リスク発生頻度減少、影響範囲の縮小を行います。パスワードを設定するなどもこの領域と言えるでしょう。
- リスクの回避…リスクの発生源を停止すること。「そもそも外部への情報資産持ち出しを禁止する」などのルール化も有用です。
- リスクの受容...対応が難しい、対応コストが見合わないなどのケース。「高価な製品を導入したものの、発生頻度とセキュリティアップデートの工数が見合わないため、現状維持する」などのケースも想定されます。
- リスクの移転…業務の委託などによりリスクを移動させます。「保守は外部に依頼、セキュリティ事故に関する補填を契約内容に記載する」なども対策の一つです。
今回の契約書の事例であれば、リスクの回避を選択し、そもそも外に持ち出すのを禁止してしまうのも手ですね。
最後に:リスクも脅威も大きく減らすために日々のセキュリティ意識とルール決めが重要
今回は情報セキュリティの基礎知識に関してご紹介してきました。
自社ではどのような情報資産を保有しており、それをどう守るべきか、何を脅威と、リスクと捉えるか、などは企業によって様々。
無理にガイドラインを細かくしてリソースに必要以上の負荷をかけてしまっては本末転倒。社内の知見や経験、予算なども踏まえ、自社に適した運用をすることがとても重要です。
情報セキュリティに関して今まであまり意識していなかったとしても、日々セキュリティ意識を持つだけでも危険は大きく減らせるはず。
自社の情報資産を守るため、ぜひ情報セキュリティを意識してみてくださいね。
