この記事では、情報セキュリティの基礎についてまとめています。
データ活用社会の到来
昨今では、AIやIoT、デジタルトランスフォーメーション(DX)など企業のデータ活用の重要性は日に日に増しています。すでに産業を問わず、デジタル化を前提としたデータ活用社会が到来しています。この大きなデジタル化の波に乗り遅れることは、業務効率、顧客への付加価値提供などの観点から企業の競争力の低下、もはや競争に参加することすらできなくなっていく可能性すら挙がっています。特に近年では、ユーザの行動情報からサービスのレコメンドや有益な情報の創出などの取り組みが活発に行われています。
また、データ活用が活発化する一方で、データ漏洩などの問題も日に日に脅威を増しています。それはデータの価値が高くなるに連れ、クラッカーなどの攻撃者がデータを盗み出すことで得られる金銭的な価値が大きくなるため、攻撃をすることのインセンティブが高まっているからです。
また、企業視点から見るとデータの漏洩は企業の信頼を失墜し、企業価値を大きく毀損してしまいます。そのため、データに対するセキュリティの強化の重要性もまた、高まっています。
情報セキュリティ
そもそも、情報セキュリティとは何でしょうか?
国内の情報セキュリティマネジメントシステム形成の基盤であるJISQ27001(ISMSにおける認証基準)で採用される指標があります。
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
上記の3つの指標です。それぞれの英語頭文字をとって情報のCIAとも呼ばれます。
機密性とは、アクセスコントロールとも呼ばれる概念です。情報へのアクセスを許可されたユーザだけが行えるようにシステムを構成することです。
完全性とは、情報が正確であることを保証することです。情報が改ざんされたり、一部が失われたりすると完全性が失われます。
可用性とは、必要なときにいつでも利用できる状態であることを保証することです。サーバーが停止してしまったり、機器が故障していたりすることで可用性は低下します。
情報セキュリティという言葉は、クラッカーからシステムを守るという意味合いに捉えられることが多いですが、機密性、完全性、可用性の情報セキュリティの要素を考えると必ずしも、クラッカーからの保護のみというわけではないということがわかります。
セキュリティ管理には、当然のことながらコストが掛かります。また、直接的な利益を生むわけではないので、なかなか導入しづらいという側面があります。もちろん、セキュリティ管理をしないという選択肢もあります。セキュリティ管理の導入についてメリットとデメリットを比較して、デメリットの方が大きいと判断した場合は、セキュリティ管理をしないという選択も立派なセキュリティ施策となります。
しかし、先程も述べたようにセキュリティが侵害された場合の被害額は年々高額化しているので、セキュリティ施策を蔑ろにしていくことは、リスクが増大する危険があります。
情報資産
情報セキュリティを考える上で最も重要なのは、守るべき範囲を決めることです。何を守ればいいかわからないのに、セキュリティを強化するというのは不可能です。
なので、セキュリティ施策を考える上で自社が持つ保護されるべき対象を洗い出す必要があります。
この保護される対象となる情報のことを情報資産といいます。
リスクと脆弱性
守るべき情報資産が明確になれば、それに対する脅威を明確化することができます。例えば、紙に印刷された情報であれば、火は大きなリスクとなりますし、USBに記録した情報であれば、火よりも磁力などが大きな脅威になる可能性があります。
ある情報資産に対して、脅威があるだけではリスクは顕在化しません。先程の例ですと、書類という情報資産について火という脅威が存在しますが、これがリスクとして顕在化するのは、書類が火の気のあるところに置かれた状況になった場合です。このようにリスクを顕在化させる状況のことを脆弱性と呼びます。
リスクを許容可能な水準に留める活動が情報セキュリティ、情報セキュリティ対策などと呼ばれます。
攻撃者の種類
攻撃者の種類は大きく3つあります。
- ハッカー
- クラッカー
- 内部犯
ハッカーは、もともとは「情報システムに非常に詳しいユーザ」「知的好奇心に富んだパワーユーザ」などの尊称の意味です。しかし、マスコミの報道などでクラッカーと混同されるケースが多く、狭義のハッカー(尊称)と犯罪者であるクラッカーを含む広義のハッカーの意味が使い分けられています。攻撃者という意味のハッカーは後者です。
ちなみに、弊社のバリューである「Be Cool. Be Hacker.」に含まれるハッカーは、尊称の意味で定義されています!
クラッカーは、ハッカーと違い明確に犯罪者であると定義されます。現代社会は非常にIT化が進んでいるため、情報システムへの攻撃はともすれば物理的な破壊工作よりも大きな被害を被攻撃者にもたらしてしまします。こうした状況では、クラッキングが職業として成立します。情報システムへの攻撃を業務妨害やテロの手段として利用する事例も発生してきています。
内部犯の特徴は、すべての攻撃者の中で唯一、正当な権限を持って情報資産を盗用したり流用したりできる点にあります。攻撃者としての割合やリスクが顕在化した場合の被害額など大きな位置を占めています。最近では、その被害割合の大きさからセキュリティ対策は内部犯のコントロールに軸を移しつつありますが、業務の遂行などの観点から業務データへのアクセスが不可欠な場合が多く、完全な対策は困難です。
まとめ
データ活用の重要性が増していくと同時に対象となるデータのセキュリティも同時に重要になります。
クラッカーからの攻撃のイメージの強いセキュリティですが、実は内部犯が最も大きな割合で発生していることは少し驚きだったのではないでしょうか?(最初知ったときは筆者も驚きました)
今回は、情報セキュリティにおける基礎的な部分をまとめてみました。いかがだったでしょうか?
貴社の貴重な情報資産を守るための参考になれば幸いです。
Acompanyでは、このようにデータセキュリティに関した知見と技術を基に安全なデータ活用のサポートを行なっております。
弊社が特に力を入れている秘密計算技術に関する内容はこちらの記事にまとまっています。
興味がある方はこちらよりご連絡ください。
