情報セキュリティの目的

情報セキュリティの目的は「機密性」と「完全性」と「可用性」の3つを維持することだと言われています。

誰でもが自由に情報にアクセスできるのではなく、認められた権限を持つ者だけがアクセスが可能になるという「機密性」と、その情報の表示方法や処理方法が完全であるという「完全性」があります。あまりに権限で保護しすぎた場合、逆に必要な者が必要なときに情報にアクセスできないことも利便性に問題がありますので、保護範囲を調整する必要があることを「可用性」として謳っています。

例えば企業の会計情報や、新製品の技術情報などは誰でもがアクセスできると、自社の弱みを握られたり、他社との競争に負けてしまったり、知的財産として持っている情報が無断で登用されたりするリスクを持っています。ですので、特定の認可されたものにしかアクセスすることができないという「機密性」が大切です。さらにその情報にアクセスする際の方法や手段についても、意図しないサーバーやPCを経由したり、認可を受けていない者のPCにIDやパスワードを入力してしまったり、不用意にコピーを作成したりなどが行われないように「完全性」という指標も必要なのです。しかしこれらを担保するために、永久にアクセスできないところにしまい込むと情報の意味がなくなります。そこで認可された者が要求したとき、いつでもその情報にアクセスや、利用ができるという「可用性」という指標があります。

これらは情報の取り扱いについての指標となりますが、情報そのものについても４つの要素が追加されています。情報が偽造されたものやなりすましではなく正しい情報であるという「真正性」、アクセスしたシステムが返した結果が意図したものであるという「信頼性」、普段からの情報の動きが履歴などにより追跡できるようになっているかどうかの「責任追跡性」、その追跡により担保できるであろう「否認防止」です。

これらの要素は何も情報セキュリティの世界だけに限った話ではありません。企業や経営において業務活動を行う際にも気をつけていたい要素でもあります。その情報は正確なのか、入手する際に漏洩していないのか？どのような経路で入手したのかを追跡することは可能なものであるのか？その情報を利活用することはできるのか？など「情報」というものに向き合うときに誰しもが気をつけたい要素であると言えるのです。

情報と一括りにしていますが、その情報にも前述しているように、いろいろな種類があります。知的財産、個人情報、顧客情報や人事情報などです。こういった情報は通常の情報と違い「情報資産」と呼びます。資産である以上、これらの要素に注意せず取り扱うことで様々な良くない影響を与える可能性があります。情報を取り扱う際にこれらの要素を脅かす脅威の可能性を秘めているということです。この可能性のことを「リスク」といい、このリスクをできるだけ小さくするために組織的に管理していくことを「リスクマネジメント」といいます。

「リスクマネジメント」には大別して、2つの活動があり、まず1つ目はリスクの基準を策定し、対応が必要かどうかの内容を洗い出し、対応すべきかどうかの判断を行う「リスクアセスメント」という活動があります。情報資産に対して組織内で存在するリスクを特定し、もしその情報に何かが起きた場合の影響度や起きる確率、そしてその情報の価値や、起こりうる確率などを分析します。リスクの特定と分析のあとは、対策の必要性と優先順位を判断します。2つ目は、実際にそのリスクに対応する対策方法を決定する「リスク対応」です。リスクが発生する確率を軽減できるか、回避できるようにコントロールできるのか？（リスクコントロール）、もし発生してしまった場合、損害を金銭的に補償する方法は、保険に入るかどうするか？（リスクファイナンシング）などの要素を含め対応していきます。

ルールがあれば迷わない

あなたの会社で新しい製品技術を発明しました。その情報資産は技術研究部の責任者2名とあなたしか閲覧できません。（機密性）そしてその情報は特定のPCからしか確認できず、保存されているのはそのPCのみであり、暗号化された情報資産にアクセスできるのは、そのPCとダイレクトにネットワークで接続されている、暗号の複合キーを保持する、責任者と自分の3名のPCだけです。（完全性）そして、その3名はいつでも情報を共有しながら、自分の権限で情報を確認することができます。（可用性）

技術研究部の責任者がその情報にアクセスし、信頼できる使い慣れたシステムで設計図を更新しますが、暗号キーがあるので、真正性と信頼性は担保されています。そしてそのアクセスは常に履歴として、時間やアクセス者の情報が履歴（ログ）として記録されていますので、責任追跡も否認防止も担保されています。

しかし不幸にも、技術者と経営者である自分との3人が不慮の事故で他界してしまったら、その情報資産はどうなるでしょうか？もし3台のPCが盗難されてしまったらどうなるでしょう。

リスクというものはどれだけ完璧にしていても必ずゼロにはなりません。情報セキュリティに向き合っていてもリスクの存在が明らかになってしまうのに、情報セキュリティそのものにすら向き合っていなければ一体どんな脅威が待ち受けているのでしょう。

システム運用を任せている担当者は経営者の信頼に足る人物ですよね。生活は困っていませんよね。お酒が好きでいろんなところでペラペラ重要情報を話す人でも無いと思います。しかし、「重要」という曖昧な指標は人によって価値観によって全く異なるものだと認識していただきたいと思います。そしてその担当者の責任にして終わるものではないのです。普段からリスクは発生しうるものだという心構えを持って情報セキュリティと向き合うことが大切です。

従業員もいろいろなプライベートがあるでしょう。出入りをしている取引先の方もいらっしゃいます。訪問してくるお客様や、配達員もいるでしょう。そんな人でも、その会社の制服を着ているから重要ではないと判断しますか？警察官の服を着ている人も本当に警察官なのでしょうか？独断での「重要」を決定づける怖さがそこにはあり、情報セキュリティに関する基本方針や判断基準が無いことのほうが、よほど企業全体を疑心暗鬼にしてしまうと思わないでしょうか？情報セキュリティに向き合って基本方針やセキュリティポリシを普段から策定しておくからこそ、安全で迅速な企業活動につながるのではないでしょうか？

昨今の実情と企業の義務

今こうしている間にもサイバー攻撃はおこっています。総務省の発表している2021年の日本国内へのサーバー攻撃関連の通信数は、各IPアドレスに対して18秒に1回相当でした。同資料によれば、不正アクセス禁止法違反事件の検挙件数は同年で429件です。

参考：https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd237200.html

今、こうしている間にも脆弱性を狙ってどこかが攻撃されているかもしれません。そして全く他人事ではありません。自社サーバーの脆弱性を突かれ踏み台となることも有りえます。悪意ある誰かがその踏み台を使い、あなたの会社になりすまして誰かの会社を攻撃しているかもしれません。大企業と取引しているのであればその企業のサーバーをいつ攻撃していてもおかしくはありません。事象が発生してからでは手遅れなのです。

個人情報が漏洩して国から是正勧告と改善命令が出される前に、他社の情報を流出させて損害賠償請求を受ける前に、対策を講じましょう。

まずは情報セキュリティポリシを構築します。基本的な方針を定めた「基本方針」、遵守するべき行為や、判断を記述する「対策基準」、そして具体的な手順を記した「実施手順」を作成しましょう。雛形はいろいろな団体で配布していますが、以下の団体を参考に掲載しておきます。

■IPA　独立行政法人情報処理推進機構　（https://www.ipa.go.jp/）

■JNSA　特定非営利法人　日本ネットワークセキュリティ協会（https://www.jnsa.org/）

その他にも、経済産業省が策定したセキュリティ管理基準があります。それをもとに社内、社外に対し、情報セキュリティに対して、どう考えていて、どういうふうに取り組んでいるのかを明示する「情報セキュリティ基本方針」を周知してください。それは組織のトップの義務であると言っても、もはや過言ではありません。

情報資産を守るために

いかがでしたでしょうか？

かなり細かく厳しいことをお伝えしてきましたが、情報セキュリティに向き合う最初の入口で、「わが社の規模では関係ない」や「どこまで細かくやったらいいのかわからない」、「そこまでお金をかけたくない」などいろいろな心持ちがあったかと思います。

ですが、最初に大事なのは大規模な投資でもなく、規則でがんじがらめにすることではないのです。きちんと情報資産は守らなければならないことであり、それは、企業全体や、そこに働く皆様、サービスを利用するお客様や協力していただいているパートナー様に対しての、責任と誠意です。

ですので、情報セキュリティと向き合うという意識付けから始めてください。とかく目の前に実際の危機が訪れた時や、実被害が出たりしないと実感を持ちにくいことで有りながら、とても重要であるということをご理解いただき、一刻も早く情報セキュリティに向き合う意識を持っていただくことで、無駄な心配を減らしていただけることを祈念しています。