情報セキュリティの対策にあたっての基本的な考え方や方法
セキュリティ対策、まだまだ遅くない!
今は2018年8月、東京オリンピックまであと1年!
閉会式や開会式、各陸上競技が行われる新国立競技場も、予定としては、工程の半分を過ぎたところまで来ています。
それだけでなく、選手が滞在するいわゆる「選手村」や、各国からやってくる観光客の宿泊施設もどんどん開発が進んできています。
まさに建設ラッシュ!
目に見えないところですが、今現在、セキュリティ分野でもオリンピックに向けて急ピッチに各種対応が行われています。
オリンピックだけでなく、ラグビーワールドカップ2019が来年開催されますが、こういう国際的な大きなイベントがある時、サイバー攻撃が多く発生します。
テロリストからすると、力を誇示し、主張をアピールする絶好の機会となるからです。
サイバー攻撃から社会を守るため、セキュリティエンジニアが日々頑張っているのです。
IPA(独立行政法人情報処理推進機構)によると、2012年に開催されたロンドンオリンピックでは、期間中に2億件を上回るサイバー攻撃が行われたとしています。
狙われやすいのはインフラや政府、大企業などが想定されます。
しかし、セキュリティへの関心が高い今だからこそ、小さな組織でも対策をしっかり考えていく機会が訪れているのではないでしょうか。
今後、セキュリティへの対応が益々広がっていきますので、「まだ知識が甘いかな?」という組織は、しっかり基本的な考えを身につけるようにしていきましょう。
そもそも情報セキュリティって何?
情報セキュリティとか、サイバーセキュリティとか、よく耳にしますが、これって一体なんでしょうか?
情報セキュリティとは、簡単にいうと情報(個人情報、業務や経営で利用するデータ、取引先データ等)を保護する、という意味です。
に対して、サイバーセキュリティは、ネットワーク等によって保存されている情報を保護する、という意味ですが、ざっくり、サイバー攻撃から保護する、という取り方で問題ないと思います。
サイバーセキュリティに関しては専門的な知識が必要なので、情報セキュリティの観点で、「組織で情報を保護する」考え方を紹介していきます。
情報セキュリティを考える上で必要な3要素
ISMS(情報セキュリティマネジメントシステム)という、「情報を保護するために管理する仕組み」(まんま直訳しただけ・・・)というのがあるのですが、そこで情報セキュリティの3要素が謳われています。
- 機密性・・・情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
- 完全性・・・情報が破壊、改ざん又は消去されていない状態を確保すること
- 可用性・・・認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
- 作者: 中村行宏,四柳勝利,田篭照博,黒澤元博,林憲明,佐々木伸彦,矢野淳,伊藤剛
- 出版社/メーカー: 技術評論社
- 発売日: 2017/02/23
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
機密性、完全性に関してはなんとなくわかるかと思いますが、可用性は少しわかりづらいですね・・・。
可能性は、その情報が必要な時にすぐ使えるようになっているか、ということです。
実例を使って説明します。
例を使って考えてみましょう!
あなたは学習塾の経営者とします。
経営者のあなたと、アルバイト講師数名と、塾生(中学生)数十名が関係者としていると思ってください。
アルバイト講師は、授業で講義を行うだけの役割とします。
次の事例を考えてみてください。
塾生の管理として、名前、住所、電話番号、出欠席、月謝の支払い有無を記したノートを作りました。
このノートを教室内の先生の机の上に常においておきます。
どうでしょうか?
- 機密性・・・生徒に中身を見られてしまう恐れがあり、かつ、アルバイト講師には住所、電話番号、月謝の支払い有無などは知る必要のない情報であるため、機密性は低いと考えられる
- 完全性・・・生徒によって、不正に情報を変えられてしまう恐れがあります。月謝を支払っていないにもかかわらず、支払い有無を「有」に変更されたり、出席していないのに「出席」と改ざんされる可能性があり、完全性も低いと考えられる
- 可用性・・・必要な時にそのノートをすぐに見ることができるので、可用性は高いと考えられる
この例では、機密性と完全性が低いので、どうにか対策をしてみましょう。
今までのノートを、個人情報や支払いを記載した経営者用のノートと、名前と出欠席を記載した講師用のノートに分けました。
経営者用のノートは、経営者の家の鍵付きロッカーにしまうことにしました。
講師用のノートは、生徒にいたづらされないように、塾内の職員控室(塾生は入れない)に保管することにしました。
これでどうでしょう?
- 機密性・・・ノートを分けたことで、必要な人だけに情報が見えるようにしてあるので、機密性は高い。
- 完全性・・・ノートに記入する人だけが取り出せるように保管場所を変えてあるので、完全性は高い。
- 可用性・・・講師用のノートは問題ないが、経営者用ノートの可用性は低い。授業中に体調を崩した等で、生徒の親に緊急連絡をとる場合、一度経営者の家に行かないと連絡先がわからない。
あらら、機密性、完全性の対応を行ったことにより、可用性を犠牲にしてしまいました。
この場合、経営者用ノートを職員控室に経営者だけ鍵を持っているロッカーに入れるべき、でしたね。
機密性、完全性を高めるための対応は、可用性を低くしてしまうケースが多いので、情報セキュリティの3要素で可用性の大切さも表しています。
図解入門よくわかる最新情報セキュリティの基本と仕組み[第3版] (How‐nual Visual Guide Book)
- 作者: 相戸浩志
- 出版社/メーカー: 秀和システム
- 発売日: 2010/03/25
- メディア: 単行本
- 購入: 10人 クリック: 206回
- この商品を含むブログ (13件) を見る
最後に
標的型攻撃という、その組織を狙った攻撃が流行しており、サイバーだけでなく、現地で情報を盗んだりする被害も有りえます。
例のように、今組織として保持している情報が本当に正しく保護されているのかを一度考えて見てください。