情報セキュリティとは?3要素と追加の4要素を解説
2024年12月11日
情報セキュリティとは?3 要素と追加の 4 要素を解説
情報セキュリティとは、企業が保有する重要な情報を外部の脅威から守ったり、情報を扱うシステムを守ったりすることを意味します。正しく情報セキュリティ対策を行うには、どのようなリスクがあるのかを知っておくことが重要です。
今回は、情報セキュリティの 7 つの要素や情報セキュリティのリスク、企業が行うべき対策などについて解説します。
情報セキュリティとは?
情報セキュリティとは、企業の重要資産をさまざまな脅威から守ることです。情報は「ヒト・モノ・カネ」に次ぐ第 4 の企業の経営資源とされており、健全な企業経営のためには情報資産の適切な取り扱いが重要です。
情報セキュリティを脅かすリスクとしては、サイバー攻撃などの外部の脅威が思いつきますが、故意ではなくとも内部不正などもリスクになりえます。また、システム停止などによる情報の破壊などに備えるため、昨今増加している自然災害などへの対策も必要です。
不正アクセスなどで情報資産を守れなければ、情報漏えいにより顧客からの信頼を失う可能性があります。損害賠償やシステムの復旧などで多額の損失を受ける可能性もあるでしょう。場合によっては企業の存続が危ぶまれるような事態になりかねません。
企業が安定的に運営し続けるためには、情報セキュリティ対策が非常に重要です。
情報セキュリティの 2 つのリスク
情報セキュリティのリスクとは、情報流出やシステム停止などを引き起こすものを指します。情報セキュリティのリスクは、大きく以下の 2 つがあります。
脅威
脅威とは、情報セキュリティリスクが発生する原因のことです。「意図的脅威」「偶発的脅威」「環境的脅威」の 3 つに大別できます。
■ 情報セキュリティの脅威
| 分類 | 概要 | 例 |
|---|---|---|
| 意図的脅威 | 外部攻撃や内部不正など、人間が意図的に発生させる脅威 | 不正アクセスやウイルス感染など |
| 偶発的脅威 | ヒューマンエラーにより意図せず引き起こされる脅威 | 顧客情報が保存された USB の紛失、持ち出した PC の盗難など |
| 環境的脅威 | 自然や環境が原因となる脅威 | 地震、台風、家事、落雷などの自然災害 |
情報セキュリティの脆弱性とは、脅威を発生させる原因となるセキュリティ対策上の弱点のことです。情報管理体制の不備だけでなく、建物の耐震性の不足といった物理的なことも指しています。
■ 情報セキュリティの脆弱性
| 分類 | 概要 |
|---|---|
| ソフトウェアの脆弱性 | プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥 |
| 管理文書・体制の不備 | 組織や人、運用管理における脆弱性 |
| 災害やトラブルに弱い立地 | 環境的脅威に遭いやすい位置や、トラブルに巻き込まれやすい位置にオフィスやデータセンタがある |
情報セキュリティの 7 つの要素
情報セキュリティの 7 要素とは、情報セキュリティを守るために重要な要素として ISMS(情報セキュリティのリスクを管理する仕組み)で定義されているものです。以前は基本要素として 3 要素が定義されていましたが、近年は 4 つ追加され、7 要素になりました。これらの 7 要素を維持することが、情報セキュリティの重要なポイントとなります。
情報セキュリティの 3 要素
情報セキュリティの基本要素は、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の 3 つです。これらの 3 つは頭文字から CIA と呼ばれることもあります。
・機密性
権利を持つ者だけが情報にアクセスできること。適切なアクセス権限の設定や認証システムの利用などが対策となる。
・完全性
情報に誤りがなく完全である状態を保護して、維持すること。不正アクセス対策や文書管理の徹底などが対策にあたる。
・可用性
許可された者が必要に応じていつでも情報にアクセスできること。システムや電源の多重化や BCP などが対策となる。
情報セキュリティの追加の 4 要素
基本要素に加え、近年の情報セキュリティでは、「真正性(Authenticity)「責任追跡性(Accountability)」「否認防止(non-repudiation)」「信頼性(Reliability)」の 4 要素を加えた 7 要素が提唱されています。
・真正性
情報にアクセスしているユーザーやデバイスが、許可された人物やシステムであると明確にすること。多要素認証やデジタル署名などが対策にあたる。
・信頼性
システムの処理やデータ操作が、欠陥や不具合なく実行されること。設計時のレビューやテストの徹底、マニュアルやルールの策定などが対策として挙げられる。
・責任追跡性
情報やシステムに対する操作が、誰によってどのように行われたのかを明確にすること。アクセスログや操作ログの監視・管理、デジタル署名などが対策となる。
・否認防止
情報資産に関する問題が発生した際、その原因となる人物が、後から否認できないよう証明すること。責任追及性と同様に、アクセスログや操作ログの監視・管理、デジタル署名などが対策となる。
企業が行うべき情報セキュリティ対策
情報セキュリティには脅威や脆弱性といったリスクがある中で、企業が対策を行うためには技術・物理・人の 3 方面での対策が必要です。ここでは具体的に企業が行うべき情報セキュリティ対策をご紹介します。
OS やソフトウェア、ウイルスソフトの最新アップデート
OS やソフトウェアにはどうしても脆弱性があり、サイバー攻撃などの攻撃者はその隙をついてきます。アップデートやセキュリティパッチなどで常に最新の状態に保つことが、情報セキュリティを保つためには重要です。
また、安全性を高めるためには、ウイルスソフトの利用が不可欠ですが、こちらも最新の状態にアップデートしておかなければ効力を発揮できません。日々ウイルスは進化していますが、アップデートによって最新のウイルスに対しても有効な機能が追加される場合があります。
ファイアウォールや IPS などの導入
ファイアウォールは企業の不正な侵入や未許可通信から企業のネットワークを守るシステムです。総務省の定義では「ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組み」とされています。すべての不審な通信を防御できるわけではありませんが、防御のための基本といえるでしょう。
また、IPS(Intrusion Prevention System)の導入も、不正な通信から情報資産を守るために有効です。IPS は侵入防御システムと呼ばれ、ネットワークを監視して不正アクセスやサイバー攻撃が疑われる通信を検知すると、自動的に遮断するシステムです。
不正アクセスについては、以下の記事もご覧ください。
データの暗号化とバックアップ
データを暗号化することで、万が一流出してしまっても不正利用されるリスクを軽減できます。また、バックアップを取っておくことで、ウイルス感染などでデータやシステムが使用不能になったり、自然災害で情報にアクセスできなくなったりしたときも安心です。
バックアップデータまで破損することのないよう、クラウドや外付けハードディスクなど、企業のネットワークから切り離した場所で保管するようにしましょう。
認証システムの導入
認証システムを導入することで、不正アクセスの防止に役立ちます。例えば、ワンタイムパスワードを利用することで、仮に ID とパスワードが流出したとしても、悪意のある第三者にアクセスされるリスクを軽減することが可能です。
認証システムを利用する場合は、操作性やデバイスへの導入のしやすさなどを踏まえて選んでください。
ワンタイムパスワードについては、以下の記事もご覧ください。
セキュリティ教育の実施
意図しない偶発的脅威を発生させないためには、従業員へのセキュリティ教育が必要です。不審なメールは開かない、パスワードは使い回ししないなど、基本的なことでもセキュリティに関する情報発信や研修を定期的に行い、従業員の情報リテラシーを高めましょう。
情報の取り扱いに関するマニュアルや重要度に合わせた管理方法、持ち出し規定などを策定し、運用することも、人為的なミスによる情報漏えいを防ぐために重要です。
情報セキュリティ対策を万全に
情報セキュリティとは、さまざまな脅威から情報資産を守ることです。対策を怠ると、顧客からの信頼を損なう可能性があり、場合によっては企業の存続にかかわることもあります。情報資産を脅かすリスクは年々増えています。情報セキュリティに対するリスクは身近にあるものと考えて、必ず対策を行いましょう。
「楽天モバイル法人向けサービス」なら、コスト削減や複数回線の一括管理、最新のセキュリティ対策で業務効率と安全性を飛躍的に向上できます。専用サポートや柔軟な料金プラン、MDMやDNSフィルタリングなど法人専用の機能も充実。信頼できる通信環境で、リモートワークや情報管理の課題を包括的に解決しましょう。
楽天モバイル法人向けサービスについて詳しくはこちら
