サイバー脅威から企業を守る!覚えておくべき情報セキュリティの三要素
- ツイート
-
- 2018/05/11
近年では情報通信技術を悪用して情報を盗み取ったりシステムを破壊したりする、新たな形態の犯罪が増えてきています。そこで個人の情報はもちろん、犯罪から企業を守るために情報セキュリティを高めることが必要不可欠になってきています。 今回は近年企業を脅かしているサイバー脅威と、その脅威から企業を守るうえで常に意識しなければいけない情報セキュリティの三要素についてご紹介致します。
IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。
目次
情報セキュリティとは?
情報セキュリティは大きく分けて三つの要素から成っており、一般に「機密性」、「完全性」、「可用性」を確保することと言われています。「機密性」は限られた人以外には情報を非公開・使用不可にすること、「完全性」は改ざんを防ぎ情報の正確さ・完全さを保護すること、「可用性」は必要な時にアクセスが可能であることを意味します。そのため、「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の頭文字をとってCIAと略されることもあります。
機密性
企業は、社員の個人情報だけでなく顧客や新製品に関する情報など、多くの情報を管理しています。そこには重大な情報も含まれているため、企業は情報を利用する権利を持った人だけがその情報にアクセスできる仕組みを作る必要があります。企業内でも管理者が各ユーザーにアクセス制限をかけたり、情報にアクセスする際にパスワードを要求したりして情報の漏洩を防ぐためのシステムを作ることが大切です。
完全性
完全性を保つうえで大切なのが「情報に不足がないこと」と「情報に誤りがないこと」です。情報が破棄されてしまったり、改ざんされてしまったりしてはその情報を正しく利用することができません。第三者に故意に改ざんされてしまう場合以外にも社員が管理を誤ったり、地震や火災、落雷などで情報が破損してしまうことも考えられます。理由はどうであれ、顧客の重要な情報などが外部に流失、または破損してしまえばその企業は消費者からの信用を失ってしまうことになります。また、これは可用性に含まれますが、バックアップシステムを整えてそうした事態に備えることも情報の完全性を保つうえで重要です。
可用性
どんなに情報の機密性や完全性が保たれていても、その情報を必要な人が必要な時に利用できないのでは意味がありません。別のオフィスからはもちろん、在宅勤務や営業先でのアクセスを想定して社外からも含め、必要に応じて社内の情報にアクセスできるようにしておきましょうが。また、災害や停電などでシステムがダウンしてしまった場合には、素早いシステムの復旧が求められます。電源対策や、システムの二重化(同じ構成の回線や機器を二系統用意して耐障害性を高めること)を行うなどして、緊急事態に備えなければいけません。
近年の企業への脅威
今までご紹介した情報セキュリティの三要素を踏まえ、ここからは情報処理推進機構(IPA)がまとめた「情報セキュリティ10大脅威 2018」の中でも紹介されている事例3つをご紹介します。
標的型攻撃による被害
標的型攻撃(Targeted Attack)とは、組織の構成員宛てにコンピュータウイルスが添付されたメールを送るなどして、組織内の情報を狙うサーバー攻撃のことです。その組織内で別のサーバーやコンピュータに感染が拡大すると、個人情報や業務に関する重要な情報を盗まれてしまうことにつながりかねません。近年では価値の高い情報を扱う官公庁や公共サービス機関、民間団体を標的とした被害が多く発生しています。
ランサムウェアによる被害
ランサムウェア(Ransomware)とはコンピュータに感染し、暗号化やロックによってシステムへのアクセスを制限して、復旧のために身代金(ransom)を支払うように脅迫する犯罪行為に用いられるウイルスです。また、ランサムウェアは感染したコンピュータだけではなく広範囲にわたって組織内のファイルを暗号化することもあります。近年では感染した機器が接続しているネットワークから感染を拡大していく新しいタイプも出現しています。
ビジネスメール詐欺による被害
ビジネスメール詐欺とはランサムウェアや攻撃サイトへのリンクを添付したメールなど、巧妙に細工を施したメールをやり取りすることで、金銭を口座に振り込ませる詐欺のことです。この詐欺の前段階としてウイルスなどを使って企業内部の情報を入手しているケースもあります。近年では以前から標的になっていた海外の企業だけでなく、日本国内の企業も標的にされ被害を受けるようになっています。
終わりに
今回は情報セキュリティの三原則と具体的な脅威についてご紹介しました。企業に対するサイバー脅威に備える際には、まさに情報の「機密性」、「完全性」、「可用性」をバランスよく保つことが大切です。
インターネット・アカデミーでは企業様の情報セキュリティ関連の研修依頼を承っています。自社の情報セキュリティを高めるために社員に対する研修を検討しているご担当者様は、是非お気軽にお問い合わせください。