昨今、Webサイト、ECサイト、インターネットバンキング等、様々なWebシステムが活用され、私たちの生活が便利になってきています。
Webシステムは私たちの生活を豊かにしている一方で、悪意のある第三者がWebシステムの弱点をつき、機密情報の悪用、個人情報の流出等が日々起きています。
私たちがインターネットやWebシステムを安心して使い続けられるように、サイバー攻撃への対策を講じることが必要になっています。
サイバー攻撃への対策を講じる際に私たちは情報セキュリティの知識を習得することが必要不可欠です。
そこで、この記事では情報セキュリティについて詳しく解説していきたいと思います。
目次
1.情報セキュリティの3要素「CIA」
情報セキュリティとは価値のある情報資産をあらゆる脅威から守るための仕組みです。
情報資産とは、企業や組織などで保有している情報全般のことです。
顧客情報や販売情報などの情報自体に加えて、それらを記載したファイルや電子メールなどのデータ、データが保存されているパソコンやサーバなどのコンピュータ、CD-ROMやUSBなどの記録媒体、そして紙の資料も情報資産に含まれます。
情報セキュリティの脅威に対する有効な対策として機密性、完全性、可用性を確保するということが必要となります。
情報セキュリティは機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3要素の頭文字をとってCIAと呼ばれています。
この3要素を組み合わせることで、脅威から情報資産を守ることができます。
それでは機密性、完全性、可用性について見ていきましょう。
機密性(Confidentiality)
機密性とはアクセスを許可されたものだけが情報資産にアクセスできる状態のことです。
例えば、企業の場合、製品情報・顧客情報・社員情報は機密性が高い情報となります。
機密性が高い情報に誰でも自由にアクセスできないよう、流出や悪用のリスクがない場所へ保管する必要があります。
機密性を高める方法としてアクセス制御、パスワード認証、暗号化等が挙げられます。
このような方法で機密性を高めると安全性が高まります。
完全性(Integrity)
完全性とは情報資産が破壊・改ざん・消去されていない完全な状態のことです。
サイバー攻撃の対象が企業の場合、情報資産を破壊・改ざん・消去させることで、企業の信頼を陥れることを目的としていることがあります。
完全性を高める方法として保管ルールを徹底させる、バックアップをする等が挙げられます。
このような方法で完全性を高めると安全性が高まります。
可用性(Availability)
可用性とは情報資産を必要な時にいつでもアクセスできる状態のことです。
例えば、Webシステムがダウンして、復旧するのに時間がかかると、情報資産にアクセスできなくなります。
Webシステムがダウンした時でも、情報資産にアクセスできるようにWebシステムを分散・強化させる等、可用性を高める必要があります。
このような方法で可用性を高めると可用性が高まります。
情報資産を脅かす具体的な脅威として、機密情報の漏洩(ろうえい)や不正アクセス、データの改ざん、サービスの停止などが挙げられます。
私たちは保有する情報資産の特質をよく検討して、機密性、完全性、可用性のバランスを考慮しながら情報セキュリティ対策を行わなければなりません。
2.情報セキュリティのリスク要因
情報セキュリティが維持できず、情報資産に危害や影響が与えられる可能性をリスクと呼びます。
リスクを現実化させる要因である脅威と脅威に対する弱点である脆弱性の2つの要素が情報セイキュリティに対するリスクの度合いを決めます。
私たちは脅威と脆弱性の両面から情報セキュリティ対策を行う必要があります。
それでは脅威と脆弱性を見ていきましょう。
脅威
脅威とは情報資産に危害や影響を与える原因のことで、主に人為的脅威と環境的脅威の2つに分類されます。
人為的脅威
人為的脅威には人が意図して行う場合(意図的脅威)と意図せずに行われる場合(偶発的脅威)の2パターンがあります。
人が意図して行う場合、情報を盗んだり、コンピューターウイルスで攻撃する等の例が挙げられます。
一方、人が意図せず行われる場合、うっかりした操作ミスでWebシステムに障害をもたらす等の例が挙げられます。
環境的脅威
地震・雷・火事・台風・洪水等の自然災害によって危害や影響を与えられる脅威のことです。
環境的脅威は人為的脅威と比較して、リスクは高くないですが、リスクが顕在化した時、被害が大きいので、対策が必要になります。
脆弱性
脆弱性とは脅威によって被害が及ぶ可能性のある情報資産や管理体制の弱点のことです。
脆弱性の状態を放置しておくと、悪意のある第三者が情報資産を悪用、流出させる原因をつくってしまうので、対策を講じる必要があります。
脆弱性はプログラミングのミス、想定されていない動作等の原因から引き起こされます。
私たちは脅威と脆弱性を加味したうえで対策を講じていく必要があります。
そのため、日頃から情報セキュリティに関する知識を深めておく必要があります。
3.ポイント
- 情報セイキュリティは機密性、完全性、可用性の3要素から成り立っています
- 情報セキュリティのリスク度合いは脅威と脆弱性がどのくらいあるかで決まります