サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

情報セキュリティとは?基本から対策まで具体例を入れてわかりやすく解説



インターネットの利用が生活や企業の活動に欠かせない状況ですが、セキュリティに関してそこまで意識できていない企業も多いため、毎日のように情報漏洩がニュースに流れてきます。
そこで当記事は、「情報セキュリティ」の観点からインターネット上の脅威やセキュリティを向上させる上でのポイントなどを解説いたします。

また、これから情報セキュリティを高めたい人に向けて、やるべき対策も紹介していきます。
セキュリティ対策が必要なのはわかっているが、どんな対策をしたら良いかわからない

こんな悩みをお持ちの人や企業は、ぜひ本記事をご覧ください。
情報セキュリティ対策の概要・始め方がわかるでしょう。

情報セキュリティとは


まず「情報セキュリティ」とは何か、考えてみましょう。
セキュリティは、英語で”安全”を意味します。
つまり、”情報”を”安全”にすることが”情報セキュリティ”ということになります。

では一歩進んで、具体的にどのような状態が”安全”なのでしょうか?

おそらく多くの人は、

  • 自分のスマホに不正にアクセスされない
  • 会員サイトから自分の個人情報が漏えいしない
  • 自分のメールアドレスに怪しいメールが届かない

このように、個人レベルで安全な状態を想像するのではないでしょうか?

もちろん正しい考えではありますが、情報セキュリティで考えるべきはこれだけではありません。
企業としても、情報セキュリティを考える必要があります。

  • 顧客や企業の重要情報を不正アクセスから守る
  • 雷や火災といった自然災害へ対策する

こうしたことも、情報セキュリティに分類されます。

まとめると情報セキュリティとは、「正規のユーザーが、いつでも安全に情報を使える状態のこと」を指します。

あえて「正規のユーザー」と書いたのは、情報セキュリティは正規ではない「悪意のある人間」によって、脅かされているからです。
では、一体どのような脅威があるのか、次でお話します。

情報セキュリティ上の脅威とは

4大脅威


情報セキュリティとは、「正規のユーザーが、いつでも安全に情報を使える状態のこと」とお話しました。
つまり、情報の安全性を脅かすものがあるという訳です。
ここでは、主な脅威を以下の4つに分けて解説します。

1. 情報の盗難
2. 情報の改ざん
3. 認証情報の不正使用によるなりすまし
4. ネットワークの破壊・撹乱(=サイバー攻撃)

順番に見ていきましょう。

情報の盗難

情報の盗難は、誰もが想像しやすい脅威でしょう。
その名の通り、情報を不正に取得されることが「情報の盗難」です。
狙われる対象には、個人のPCやスマホ、企業のサイトなどがあげられます。

悪意のある第三者がPCやサイトに不正アクセスし、情報を盗む訳です。
盗まれる主な情報は、以下のようにさまざまなものがあります。

  • 名前や住所など個人情報
  • 企業が預かる顧客や一般ユーザーの個人情報
  • プロジェクトや製品など企業内部の重要情報

こうした情報が、悪意のある第三者によって不正に取得されるのが「情報の盗難」です。
盗難の手口でよくあるのは、簡単なパスワードを使っていたことで、不正なログインを許してしまうケース。
他にも、自分のPCがコンピューターウイルスに侵されたり、詐欺サイトに騙されて情報を入力したりといったケースもあります。

いずれにしても、個人や企業の重要情報を盗まれてしまうのが「情報の盗難」です。

情報の改ざん

「情報の改ざん」とは、WEBサイトなどの情報が勝手に書き換えられてしまうこと。
さらには、サーバ上に保存してある個人情報を別のものに置き換えられたり、通信中の情報にアクセスして情報を置き換えるなどされてしまうことも含みます。

WEBサイトの改竄においては、サイトに不正にアクセスされる点は、先ほどの情報の盗難と同じです。
しかし、「情報の改ざん」では、サイトが管理者の意図しないものに書き換えられてしまいます。

例えば、

  • サイトに全く関係ない画像を貼り付ける
  • 記載されている文言を不適切なものに書き換える
  • 詐欺サイトやウイルスにつながるリンクを貼る

などの脅威があります。

実際、2018年には音楽配信サイトの「Vevo」のYoutubeチャンネルにて、何者かの不正アクセスによってサムネイル画像が、全く関係ないものに置き換えられる事件が起きました。
その後、しばらくの間は「Vevo」の動画が視聴できなくなったそうです。

「Vevo」の事件は、画像の置き換えや動画の視聴ができなくなるだけでした。
それだけでも企業の信頼へのダメージは大きいですが、もし詐欺サイトやウィルスへのリンクが仕込まれていれば、もっと大きな被害が発生していたでしょう。
1つのサイトを起点に、多くの一般ユーザーの情報が漏えいしていたかもしれません。

「情報の改ざん」は、標的となったサイトが人気であればあるほど、被害も大きなものになります。

認証情報の不正使用によるなりすまし

3つ目の脅威は「認証情報の不正使用によるなりすまし」です。
言葉からは、いまいちどのような脅威か想像しづらいですよね。
簡単に言うと「誰かが、あなたになりすまして、サイトにログインする」ことです。

Gmailやスマホのアプリなど、多くの人が日頃からさまざまなサイトにログインしているかと思います。
そのほとんどのサイトにおいて、IDやパスワードを求められるでしょう。
このIDやパスワードのことを認証情報と呼びます。

つまり、あなたの認証情報が不正に入手され、「知らない誰かが、あなたになりすまして勝手にログインすること」がこの脅威な訳です。

認証情報の不正使用によるなりすましは、先にあげた2つの脅威の入口とも言えるでしょう。
例えば、あなたのGmailアカウントの情報が、不正に盗まれた場合を想像してみてください。
どのようなことができるでしょうか?

  • 過去のメールを見て、誰とどのようなやり取りをしているか確認
  • アカウントの設定情報から、その人の名前や住所など個人情報を確認
  • そのGmailアカウントを使って、他のサイトにログイン

ぱっと思いつく限りでも、このような不正使用が想像できます。
もし入手した不正情報が、あるサイトの管理者アカウントであればいかがでしょう?
そのサイトの情報を書き換えるといった「情報の改ざん」もできるはずです。

このように認証情報が不正に使用されると、先ほどの脅威と合わせて、非常に危険な状態になってしまうでしょう。

ネットワークの破壊・撹乱(=サイバー攻撃)

ネットワークの破壊・撹乱とは、一般的に「サイバー攻撃」とも呼ばれる脅威です。
先の3つの脅威とは異なり、インターネットを通じて、コンピュータやネットワークに対して行われる意図的な攻撃のことを指します。

サイバー攻撃の標的は、個人から企業、果ては政府にまで及びます。
その攻撃目的も多様で、金銭目的でおこなうものもあれば、ある企業の信頼や経済的ダメージを狙った攻撃も。
一方で、ただ世間を騒がせたいだけの愉快犯的な攻撃もあるなど、目的は非常に多岐にわたります。

攻撃手法も多種多様で、以下にあげた攻撃以外にもさまざまな手法があります。

  • DDoS攻撃
    複数のコンピューターから、あるサイトやサーバーに大量アクセス。過剰な負荷により、サイトを停止させる
  • 標的型攻撃
    ある企業に、取引先のふりをしてウイルスを仕込んだファイルを送る。送り先のユーザーがファイルを開くと、コンピューターがウイルスに感染。不正に情報を入手できる
  • フィッシング詐欺
    あるサイトとそっくりな偽サイトを作って、ユーザーを誘導。ログインさせて、不正に情報を入手する

このサイバー攻撃は個人による犯行に留まらず、グループや組織でおこなっている場合もあります。
その中には、産業スパイやハッカーなどが仕事として請け負っていることも。
つまり、ある企業に恨みを持った人間が依頼することで、その道に長けた犯罪集団から攻撃を受ける可能性がある訳です。

多数の重要情報を持つ企業や政府にとって、サイバー攻撃は非常に強大かつ危険な脅威と言えるでしょう。

以上が情報セキュリティ上の4つの脅威です。

脅威の3つの要因

一体、何が情報セキュリティを脅かすのでしょうか。
前述した「情報セキュリティ上の4つの脅威」は、情報セキュリティにおける被害に焦点を当てたお話でした。
ですが、ここでは情報セキュリティを脅かす具体的な要因について、次の3つに分けて解説します。

  1. 技術的脅威
  2. 人的脅威
  3. 物理的脅威

情報セキュリティの3大要素と関わる点なので、照らし合わせながらご覧ください。

技術的脅威

技術的な脅威とは、不正プログラムによって発生する脅威のことです。
ウイルスやフィッシング詐欺、標的型攻撃など、技術的に作られたプログラムによる脅威。
情報セキュリティの脅威と言われて、ピンとくるのはこの技術的脅威でしょう。

主な技術的脅威は、以下の通りです。

  • 標的型攻撃
  • フィッシング詐欺
  • DoS攻撃およびDDoS攻撃
  • ウイルス
  • トロイの木馬
  • ランサムウェア

取引先を装って、不正メールを送る「標的型攻撃」。
スマホのアプリやメールのファイルに潜む不正なプログラムの「トロイの木馬」。
「技術によって生まれた攻撃や不正プログラム」による脅威を、技術的脅威と呼びます。

技術的脅威を受ければ、情報の盗難や改ざんにつながる恐れがあり、情報セキュリティの3大要素の全てを損なう可能性があるでしょう。
こうした不正プログラムには、セキュリティ製品を導入するなどして、事前に対策しておくことが大切です。

人的脅威

2つ目の「人的脅威」は、文字通り人に起因する脅威です。
人的脅威の原因は、大きく2つに分けられます。
それは「故意」か「故意ではない」かの2つ。

まず、「故意」のほうから考えてみましょう。
例えば、ある会社の社員が、会社の機密情報を競合他社に流してしまう。
もしくは、社員が会社に恨みを持っていて、重要情報を削除してしまうといったことも考えられます。
故意に情報を漏らしたり、破壊したりすることが、人的脅威のパターンの1つです。

対して、「故意ではない」場合はどうでしょうか。
よくあるのは、機密情報を入れたUSBメモリを紛失してしまうことがあげられます。
その他にも、操作を誤って大切なデータを消去する場合もあるでしょう。
故意ではなく、ミスによる人的脅威がこちらのパターンです。

意図的であるかはともかく、どちらも人が原因で発生するのが「人的脅威」。
これは、情報セキュリティの3大要素の機密性と大きく関わる脅威と言えるでしょう。
アクセスできる人間を絞ったり、情報を閲覧・操作できる人間を制限したりすることが重要です。

それでも、アクセスした人間によるミスは発生するかもしれません。
そのためにも、社内でセキュリティや情報に関するルールを決め、ミスが起こりにくい体制を整える必要があるでしょう。

物理的脅威

最後の「物理的脅威」は、可用性でもお話しました自然災害です。
日本は自然災害が多い国です。

場所にもよりますが、

  • 地震
  • 洪水
  • 火災

など、さまざまな自然災害の危険にさらされています。

地震によってサーバーのあるビルが倒壊するかもしれません。
火災の影響で、サーバーが焼失する可能性もあるでしょう。
こうした自然災害は予測できないため、突発的に発生する脅威と言えます。

また、自然災害だけでなく、経年劣化による故障も物理的脅威の1つ。
サーバーやPCが老朽化したことで、正常に稼働できなくなってしまう状態です。
ただし、自然災害と違って、老朽化は定期的なメンテナンスによって防げます。

異常があれば修理、もしくは買い直すことで正常に稼働を続けられるでしょう。
自然災害であっても、サーバーを複数の拠点に分散することで、どこかのサーバーが停止しても良いように備えられます。

物理的脅威は、可用性に保持につながることが多い脅威です。
事前にバックアップや拠点の分散で、対策することが求められます。

情報セキュリティの3つの脅威は以上です。
技術的脅威は、何となく想像していた人も多かったでしょう。
しかし、人や自然災害も、情報セキュリティにとっては脅威となります。

とはいえ、実際にどの脅威が影響を与えているのかは、いまいち想像がつかないですよね。
そこで、次はIPAが発表している10大脅威を紹介します。

情報セキュリティが、危険な脅威にさらされていることがお分かりいただけたかと思います。
危険な脅威から情報を守るためにも、セキュリティを向上させる必要がある訳です。

そのためには、次でお話する3つの要素がポイントになります。

情報セキュリティの3大要素


ここまでのお話で、情報セキュリティ上の4つの脅威はわかりました。
それでは、具体的にどのように情報セキュリティ対策を考えれば良いのでしょうか。
それを考えるには、情報セキュリティにおける3大要素を理解する必要があります。

  1. 機密性
  2. 完全性
  3. 可用性

それぞれ解説していきます。

機密性

機密性とは、許可された人、もしくは権利を持った人だけが情報にアクセスできる状態のこと。
逆に言えば、許可されていない人が勝手に情報を見れない状態のことです。
先ほどの脅威に照らし合わせて言えば、「情報の盗難」や「認証情報の不正使用によるなりすまし」への対策に通ずるでしょう。

一例として、ある企業が秘密裏に進めている極秘プロジェクトがあったとします。
このプロジェクトに関わる情報は重要なため、社内でも閲覧できる人間を絞りたい。
そうしたとき、許可した一部の人間だけがアクセスできるのであれば、それは「機密性が保たれている」と言えます。
反対に、一部の人間以外も情報にアクセスできる状態であれば、「機密性は失われている」と言えるでしょう。

他にも、IDやパスワードを強固なものにして、機密性を高めることができます。

  • パスワードの文字数を何文字以上とする
  • 記号、英数字、大文字、小文字を1つずつ使用して、パスワードを作る
  • 定期的にパスワードの変更を求める

このように、情報セキュリティを高める上で、機密性は最初の守りの要となっている訳です。

完全性

次に完全性とは、情報が完全な状態であることを指します。
言い換えれば、第三者に不正に情報を書き換えられたり、破壊されたりしない状態のこと。
つまり、「情報の改ざん」の脅威に対する要素と言えるでしょう。

「情報の盗難」や「認証情報の不正使用」があったとしても、完全性が保たれていれば改ざんを防ぐことはできます。
詐欺サイトへのリンクを防止し、データの書き換えを防げられるはずです。
完全性を保つためには、機密性で述べたように、情報にアクセスできる人間を制限することが有効。
そもそもアクセスできる人間が限られていれば、改ざんされるリスクも減らせるからです。

また、重要情報は常日頃から、暗号化しておくことも大切です。
仮に不正アクセスされたとしても、重要情報の改ざんを防止できるでしょう。
加えて、改ざんされたときに備えて、バックアップを取っておくことも重要です。

もしデータが改ざんされたり、破壊されたりしても、バックアップがあれば素早く元に戻せるからです。
情報が改ざんされず、常に正規の状態を保つ上で、完全性は大切な要素になります。

可用性

最後の「可用性」とは、情報にいつでも安全にアクセスできることです。
システムの稼働の継続性とも言います。
いかなる状況でも、正常かつ安全に情報にアクセスできるかがポイント。

例えば、自然災害が発生したときがわかりやすい例でしょう。
サーバーが置いてある建物に火災や雷が発生して、そのサーバーが使い物にならなくなったとします。
こうした事態が起こったとき、別のサーバーで稼働を引き継げるかが、可用性において重要です。

ある箇所でのサーバーがダウンしても、他のサーバーがサイトを稼働させ続けることができれば、それは可用性が保たれていることになります。
反対に、サーバーがダウンしてサイトも停止してしまったら、それは可用性が失われている状態です。

もちろん自然災害だけでなく、「DDoS攻撃」といったサイバー攻撃によってサイトがダウンしても同じです。
あらゆる事態を見越して、サイトが稼働し続けられるように対策することが「可用性」の高さにつながります。

ここまでが、情報セキュリティを考える上で重要な3大要素のお話でした。
それぞれ解説しましたが、何もトラブルが起きなければ、この3大要素は考える必要がありません。
問題なく、サイトは正常に稼働し続けられる訳ですから。

しかし、故意や事故に関わらず、情報セキュリティを脅かすトラブルは発生してしまうものです。
それでは、どのような事態が情報セキュリティを脅かすのでしょうか。

IPA発表の10大脅威


ここからは、IPAが発表している「情報セキュリティ10大脅威 2021」を紹介します。
IPAとは「情報処理推進機構」の略で、日本のIT人材の育成や情報セキュリティ対策強化のために設立された独立行政法人です。

そのIPAは毎年、情報セキュリティの10大脅威を発表しています。
前年に発生した情報セキュリティへの脅威で、中でも社会的に影響が大きかったと思われるものを10個選出。
個人と組織でそれぞれ選ばれています。

以下に、2021年にIPAが発表した「情報セキュリティ10大脅威」を抜粋して、表にまとめました。
個人の第1位は「スマホ決済の不正利用」となっています。
ここ最近はキャッシュレス化が進んでいることもあり、とても身近な脅威と言えるのではないでしょうか。

組織の第1位である「ランサムウェア」は、身代金を要求する不正プログラムです。
例えば、ある企業が持つ「顧客情報を不正に暗号化」して、その企業が使用できなくします。
そして、情報を元通り使えるように直すことを条件に、金銭を要求するのがランサムウェアです。

順位 個人 組織
1位 スマホ決済の不正利用 ランサムウェアによる被害
2位 フィッシングによる個人情報等の詐取 標的型攻撃による機密情報の窃取
3位 ネット上の誹謗・中傷・デマ テレワーク等のニューノーマルな働き方を狙った攻撃
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 サプライチェーンの弱点を悪用した攻撃
5位 クレジットカード情報の不正利用 ビジネスメール詐欺による金銭被害
6位 インターネットバンキングの不正利用 内部不正による情報漏えい
7位 インターネット上のサービスからの個人情報の窃取 予期せぬIT基盤の障害に伴う業務停止
8位 偽警告によるインターネット詐欺 インターネット上のサービスへの不正ログイン
9位 不正アプリによるスマートフォン利用者への被害 不注意による情報漏えい等の被害
10位 インターネット上のサービスへの不正ログイン 脆弱性対策情報の公開に伴う悪用増加

参照IPA「情報セキュリティ10大脅威 2021

また、個人・組織とともに第3位は、今の時代ならではの脅威と言えますね。
「ネット上の誹謗・中傷・デマ」は、SNSが普及した昨今ではよく聞きます。
組織の「テレワーク等のニューノーマルな働き方を狙った攻撃」も、コロナ禍の影響によって生まれた攻撃と想像できるでしょう。

このように、情報セキュリティの脅威は、時代に合わせて生まれるものもある訳です。
それでは、こうした脅威にはどのように対策したら良いのでしょうか?
対策を考えるためには、まずリスクを把握しましょう。

リスクアセスメント


「情報セキュリティ対策はしたいけど、予算に限りがある…」
こうした悩みを持つ企業もあるでしょう。
そんなときは、リスクアセスメントを考えてみてください。

リスクアセスメントとは、「持っている情報のリスク」と「リスクの発生頻度や影響度」を確認し、対応を決めること。
その上で、以下3つの対応を判断します。

  1. リスク回避
  2. リスク低減
  3. リスク移転

それぞれの対応について、詳しく見ていきましょう。

リスク回避

1つ目のリスク回避は、もっともわかりやすい対応方法です。
シンプルに、「リスクが発生する原因」を完全に失くしてしまうのがリスク回避。
リスクが発生しなければ、そもそも発生した際の対応や影響度を考える必要もなくなります。

例えば、一般ユーザーなど外部とのネットワークを遮断して、外からの不正アクセスを防止する。
ある極秘プロジェクトのデータを削除し、全く別の管理方法にするなど。
このように、リスク回避は根本から発生原因を潰します。

ただし、リスク回避の実行は、同時にデメリットも生みがちです。今の例で考えてみましょう。
外部とのネットワークを遮断すれば、当然一般ユーザーはアクセスできません。
もし多くのユーザーに来てほしいサイトの場合、大きな機会損失となるでしょう。

極秘プロジェクトのデータを削除した場合はいかがでしょうか?
確かにデータの漏えいは防止できますが、仲間内での情報共有が難しくなり、他の管理方法を見つけるのに苦労するでしょう。

つまり、リスク回避は、情報セキュリティを高める上で効果的ですが、一方で日常の管理や操作に大きな影響を与える可能性がある訳です。
ですので、リスク回避をおこなうなら、その後の自分たちへの影響度も考慮しなければいけません。

リスク低減

リスク低減は、文字通りリスクの発生頻度や影響度を低減させる対応方法。
リスク回避と違って、発生原因を完全に失くすといったことはしません。
あくまでも減らすだけです。

わかりやすい例では、IPSやWAFなどのセキュリティ装置でしょう。
通販サイトを運営する企業なら、外部から訪れる一般ユーザーのアクセスは必須です。
そうなると、外部からのネットワークを遮断する方法は取れません。

そんなときは、セキュリティ装置を導入することで、リスク低減を図ります。
仮にサイトへ攻撃があったとしても、セキュリティ装置がブロックしてくれる訳です。
人によっては「攻撃をブロックをしてくれるなら、リスク回避では?」と思うかもしれません。
ですが、「攻撃を受けるリスク」を完全に失くせる訳ではないので、セキュリティ装置の位置づけはリスク低減になります。

また、サーバーがある部屋への入室を制限することも、リスク低減になるでしょう。
データやサイトの稼働を担うサーバーが停止すれば、企業は大きなダメージを受けます。
そのため、サーバーなど重要機器がある部屋は、入れる人を限定。
故意かに関わらず、機器に触れられないようにすることでサーバーの安全を守る訳です。

このように「リスク低減」は、失くしてしまうと自分たちへの影響度が高い情報やシステムに対し、しかるべき対策を取ってリスクを減らす方法と言えます。

リスク移転

最後のリスク移転は、リスクを自分たちで負わずに他社に移すことです。
つまり、自分たちで責任を負わないのが、このリスク移転になります。
例をもとに考えてみましょう。

よくあるのはサイバー保険です。
サイバー保険は、セキュリティ事故が起こった際に補償してくれる保険。
例えば、情報漏えいが発生した際に、損害賠償金や訴訟費用を補償してくれます。
これは要するに、セキュリティ事故による経済的な損失リスクを、保険会社に移転している訳です。

その他にも、サイトの運営を他社に任せるといったことも、リスク移転の1つにあげられます。
A社のサイトの運営を、B社に任せるといった形ですね。
万一、そのサイトでセキュリティ事故が起こったときは、運営を任せていたB社に責任を追求できるでしょう。

しかし、1つ注意したいのは、何でもリスク移転できる訳ではないことです。
サイバー保険で経済的な補償をしたところで、社会的な信用度は落ちるでしょう。
また、サイトの運営を他社に任せていても、矢面に立つのはそのサイトの所有者です。

なので、リスク移転をしたとしても、「最終的な責任は自分たちにある」という意識が必要になります。

以上がリスクへの3つの対応方法でした。
自社のサイトや扱っている情報を整理し、どのような対応を取るべきか考えてみてください。
自ずと必要な対策が見えてくるはずです。

しかし、そもそもセキュリティ対策を検討するための土台がない企業もあるはず。
そうした企業がセキュリティを考えるためには、組織として仕組み作りが必要になってきます。
そこで参考にしたいのが、次で紹介する情報セキュリティマネジメントシステムです。

情報セキュリティマネジメントシステム


これから情報セキュリティを高めたい企業は、会社としてセキュリティに関する仕組み作り
が必要になります。
ただ、セキュリティに知見のない会社が、闇雲にルールを作ろうとしても上手くいきません。
そこで参考にしたいのが、情報をセキュリティマネジメントシステムです。

情報セキュリティマネジメントシステム(Information Security Management System)は、英語の頭文字を取ってISMSと略されます。
ここではISMSと呼びます。

ISMSは、一言でいうと「情報を管理する仕組み」のことです。
少しイメージがつかないですよね。
しかし、実はこの仕組については、すでにお話していますよ。
ここまで解説してきた内容を思い出してみてください。

  • 情報セキュリティにおける脅威は何か
  • 情報セキュリティを高める上で大切な3大要素
  • リスクを把握し、対応するための3つの方法

これらは全てISMSの一環です。
自分たちが所有する情報は何かを整理し、リスクに対応する。
これはまさに、「情報を管理する仕組み」を実施していると言えるでしょう。

そうはいっても、ピンと来ていない人もいるのではないでしょうか。
情報セキュリティを考えたり、セキュリティ製品を導入したりしただけで、本当に情報を管理する仕組みができたと言えるのかと。
わざわざ「情報セキュリティマネジメントシステム」と仰々しい名前がついているくらいですから、何か基準がないか気になりますよね。

実際にその通りで、ISMSには認証制度があります。
次でその認証制度を解説しますので、どのような制度なのかを確かめてみてください。

情報セキュリティに関する認証制度

情報セキュリティの仕組みを作る上で、何かしらの基準が欲しいところですよね。
また、仕組みを作ったなら、きちんとセキュリティ対策していることを対外的にもアピールしたいところ。
そうした希望があるなら、ここで紹介する認証制度の取得を検討してみてください。

  1. ISMS認証
  2. プライバシーマーク

それぞれどのような制度なのか、順番に見ていきましょう。

ISMS認証

1つ目がISMS認証です。
ISMS(情報セキュリティマネジメントシステム)は、情報資産のセキュリティを管理する為の“システム(仕組み)”を取り決め、“実行”していく事を指します。
日本では、ISMSの標準としてISO27001が用いられており、日本の「情報セキュリティ全体の向上への貢献」、「外国からも信頼を得られる情報セキュリティレベルの達成」を目的としています。

ISMSを取得するメリットは、2つあります。

  • 社内のセキュリティ向上:ISMSの基準に則って仕組み作りをおこなうため、「情報の管理」や@社員のセキュリティ意識向上」が図れる
  • 社外へセキュリティ対策のアピール:第三者機関に、セキュリティ対策への取り組みを評価してもらえるため、「社外からの信頼性向上」が図れる

このISMSは、会社全体でなくとも取得できる認証制度です。
例えば、社内のいち部門からの取得も可能となっています。
ISMS認証を得ることは、簡単ではありません。

社内のルールや仕組みづくりはもちろん、社員の情報セキュリティに対する意識教育もおこうなう必要があります。
それをいきなり会社全体で進めるのは、非常に骨が折れるでしょう。
ですので、最初は社内の1つの部門で取得を目指してみてください。
そこで取得できたら、徐々に会社全体に取得範囲を広げることで、スムーズにISMS認証を得られるはずです。

いずれにしても、会社全体の情報セキュリティをどうしたら良いか悩んでいる人は、ISMS認証の取得を検討してみてください。
ISMS認証は、取得できると名刺に載せられます。
対外的にもアピールしやすい認証制度と言えるでしょう。

プライバシーマーク

続いて紹介する認証制度は、プライバシーマークです。
こちらは財団法人「日本情報処理開発協会(JIPDEC)が認証する制度となっています。

ISMSが「組織全体の情報管理」を対象していたのに対し、プライバシーマークは「個人の情報管理」を対象とした認証制度。

プライバシーマーク取得のメリットは、以下の通りです。

  • 個人情報の取り扱いに関する社内の意識向上:個人情報の取り扱いに関する「ルールの策定」や「社員の意識向上」が図れる
  • 個人情報の取り扱いが適切と社外にアピール:第三者機関に、個人情報を適切に取り扱っていると認証してもらえるため、「社外からの信頼性向上」が図れる

メリットの内容自体は、ISMSとほとんど同じです。
ただし、プライバシーマークは前述の通り、個人情報の取り扱いに焦点を置いています。
そのため、通販サイトやスマホゲームなど、一般ユーザーを相手にする会社にとっては、有用な認証制度と言えるのではないでしょうか。

いかがでしたか?
どのように社内の情報セキュリティを高めたら良いか、悩んでいる企業もいるでしょう。
そうした場合は、紹介した認証制度の取得を検討してみてください。

しかしながら、紹介した認証制度の取得には、費用や労力が少なからず掛かります。
あまりコストをかけず、とりあえずセキュリティ対策を始めたい会社はどうしたら良いのでしょうか?

情報セキュリティ対策

認証制度を取得すれば、情報セキュリティを向上できるとお話しました。
とはいえ、いきなり認証制度の取得は、ハードルが高いと感じる企業もあるでしょう。
そこで、これからセキュリティ対策を始めたい企業に向けて、最初に実施するべきセキュリティ対策をお話します。

そのセキュリティ対策は、IPAが出している「情報セキュリティ5か条」が参考になります。
内容を抜粋して表にまとめましたので、ご覧ください。

OSやソフトウェアのバージョンアップ、パスワード強化などは、すぐにでもできる対策でしょう。
小さなことですが、できていない企業も多くあります。
従業員それぞれが徹底することで、情報セキュリティの脅威を減らせるはずです。

対策 概要 対策例
OSやソフトウェアは常に最新にしよう! 古いOSやソフトウェアは、セキュリティ上の問題点が解決されていないことがあり、そこを攻撃して不正アクセスされる可能性がある。
最新バージョンにすることで、問題点をなくすようにする
  1. WindowsやGoogle Chromeのアップデート
  2. Mac OSのアップデート
ウイルス対策ソフトを導入しよう! ID・パスワードの盗難、遠隔操作などをおこなうウイルスが増加している。
ウイルス対策ソフトを導入することで、ウイルスを撃退する
  1. ウイルスバスターなどのウイルス対策ソフトを導入する
  2. ウイルス対策ソフトと合わせて、WAFやIPSといったセキュリティ装置の導入も検討する
パスワードを強化しよう! パスワードの推測や解析、流出したパスワードの悪用がおこなわれている。
パスワードは「長く」「複雑に」「使い回さない」ようにして対策する
  1. パスワードは、英数字含めて10文字以上にする
  2. 名前・電話番号・誕生日などは使わない
  3. 同じID・パスワードを複数のサイトで使い回さない
共有設定を見直そう! データの共有設定を間違ったことで、無関係な人に重要情報を見られてしまうことがある。
  1. Webサービスの共有範囲を確認・限定する
  2. ネットワーク接続の複合機といった機器の共有範囲を確認・限定する
  3. 退職した従業員の設定変更や処理を確実におこなう
脅威や手口を知ろう! 取引先に装ってウイルスを送る「標的型攻撃」や本物そっくりに作られた「フィッシングサイト」などさまざまな攻撃手法がある。
そうした手法を知って対策を取る
  1. 「IPA」や「OWASP Japan」といったセキュリティの専門機関のサイトから、情報を得る
  2. 各種企業が発表する注意喚起を確認する

参照IPA「情報セキュリティ5か条」

ここにあげた以外にも、さまざまなセキュリティ対策があります。
セキュリティ製品だけで言っても、

  • ウイルス対策ソフト
  • ファイアウォール
  • IPS
  • WAF
  • メール誤送信対策ツール

など、多数の製品が出ています。

しかし、そうした製品を全て導入したり、あらゆる対策を施そうしたりすることは、現実的ではありません。
お金と時間がいくらあっても足りませんよね。
ですから、解説したリスクアセスメントが大切になる訳です。

自分たちが持つ情報とそのリスクを適切に把握し、最適なセキュリティ対策を取るようにしましょう。
ただし、いずれの場合でも実施してほしい対策があります。
それは「暗号化」です。

情報漏洩対策の最終解は「暗号化」

情報セキュリティ対策をどこまで実施するかは、各企業によって異なります。
その理由は、持っている情報の違いや予算、リスクの影響度が違うからです。
ですが、いずれの企業でも実施してほしい対策があります。

それは「暗号化」です。
セキュリティ事故と聞いて、真っ先に思い浮かべるものはどんな内容でしょうか?
多くの人は、情報漏えいを想像するかと思います。

その情報漏えいに対する最適解が「暗号化」です。
暗号化とは、簡単に言えば「データの中身が他人にはわからないようにすること」。
データの中身を知られないようにすることが、情報漏えいへの対策となります。

例えば、極秘プロジェクトをまとめたデータがあったとします。
このデータが誰でもアクセスできて、閲覧できる状態だったらいかがでしょう?
言わずもがな、簡単に情報が漏れてしまいますよね。

ですので、こうした重要情報は限定された人だけが見られるよう、暗号化する訳です。
暗号化と言っても、複雑なことをおこなっている訳ではありません。
暗号化のシステムやツールを使って、元のデータを全く違うデータに変換しているだけです。

変換後のデータからは、元データの内容がわからないため、第三者に情報を見られないよう防止できます。
メールの自動暗号化ツールなどは、わかりやすい例でしょう。
このツールは、メールにファイルが添付されていると自動で暗号化します。
そして、後で送られるパスワードを入力しないと、ファイルを開けません。

扱う情報や状況によって、暗号化の仕方に違いはあります。
しかし、いずれも他人から内容を見られないようにする点は同じです。
もしあなたの会社が、まだ暗号化を導入していないのであれば、まずはそこからセキュリティ対策を始めることをおすすめします。

その上で、必ずデータのバックアップを取るようにしましょう。
仮にデータやサイトが書き換えられたり、破壊されたりしても、バックアップがあれば復旧できます。
「暗号化」と「バックアップ」をおこなうことで、情報漏えいにしっかりと対策できるはずです。

まとめ

ここまで、情報セキュリティについて解説してきました。
今やどの企業も自社サイトを持ち、インターネットを利用する時代です。
その分、インターネットを利用した脅威は身近にあります。

いつ自分たちが、その脅威の標的になってしまうかはわかりません。
もしまだ何も起きていないのであれば、今からセキュリティ対策をおこないましょう。
セキュリティ事故は、起こってからでは遅いのです。
会社が大きな損害を被る前に、事前に対策しなければいけません。

そのためにも、まずは会社にどのような情報があるのか、正しく把握しましょう。
把握した後に、各情報がどのようなリスクを持っているかを判断し、適切なセキュリティ対策を施してください。

それでも、「どのようにセキュリティ対策を始めれば良いかわからない」と悩む企業もいますよね。
そうしたときは、「暗号化」と「バックアップ」の2つから始めましょう。
情報漏えいや情報の改ざん、自然災害への対策がおこなえます。

まずはできるところから、情報セキュリティ対策を始めてみてください。
情報を守ることは、会社を守ること。
適切に管理していきましょう。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。