情報セキュリティについて、解説します。以下について、知ることができます。
・情報セキュリティとは
・情報セキュリティの必要性と課題
・セキュリティ侵害行為
・セキュリティ対策
■情報セキュリティとは
情報セキュリティとは、組織や個人で管理された情報を保護することを言います。組織には、会社や非営利団体、国や地方公共団体などが含まれます。
人はコミュニケーションをとることで、情報を交換します。コミュニケーションをとる相手によって、交換する情報は変化し、特定の相手だけの間でしかやり取りすべきではない情報も含まれます。
たとえば、新製品の設計情報は社内の特定部門だけが知るべき情報ですし、
個人の病歴は個人だけが知るべき情報です。
このように、知るべき人、あるいは、知っても良い人だけが情報にアクセスできるようにコントロールすることを情報セキュリティと言います。
■情報セキュリティの必要性
以前までは、情報は、資料などで紙媒体として記録されていました。
物理的に紙の情報を持ち出されることを禁止するため、資料を入れたキャビネットやロッカーを施錠していました。
書類がなくなっていれば、盗まれたかどうか見ればわかります。これも情報セキュリティの対策の一つです。
このような機密情報は、知らない人にとって金を生む源泉となり得ます。
たとえば、顧客リストがあればコンタクトをとって顧客を奪うことができますし、
製品の設計資料があればそれをマネて、同じような機能・品質をもつ製品を短期間でつくることもできます。
現在では、情報は、コンピュータによって管理されていること多くなってきています。
特に企業では、すべての情報はコンピュータに保管されていて、
その情報へのアクセスもネットワークを経由したコンピュータによって行われます。
ネットワークは、社員だけがアクセスできる会社内のネットワーク(イントラネット)だけではなく、
誰でもアクセスできるインターネットが使われることも当たり前になってきています。
その結果、情報にアクセスしやすくなった半面、知るべき人、知ってもいい人以外の「不特定の誰か」からも
情報に近づくことことができるようになりました。
これは、IT化によって業務の効率化・合理化を追求したことによる「副作用」と言えます。
つまり、便利さと安全性はトレードオフの関係にあって、利便性が向上すると、セキュリティが低下します。
利便性を上げる一方で、セキュリティを維持する対策を講じる必要があるのです。
インターネットやスマホなどの普及によって、モバイル環境が整備され、
いつでも、どこでも、必要な情報にアクセスできるようになりました。
しかし、その反面、知るべき人、知ってもいい人以外の「不特定の誰か」へも
無意識に情報にアクセスできるチャンスを与えてしまっています。
利便性に潜むダークサイドを無くすには、セキュリティ対策を講じることをセットで考えなければならないという必然性がIT化にはつきまといます。
■セキュリティ侵害行為
セキュリティを侵害する行為とは、ソフトウェアやシステムの機能の内、設計されにくい盲点をついて、
意図的に攻撃をすることを言います。以下のものがあります。
1)不正アクセス
許可されていない場所にある情報にアクセスし、不正に情報を入手する
2)盗聴
ネットワーク上に流れる情報を無断で入手する
3)営業妨害・迷惑行為
アクセスを集中させ、インターネットのサイトを使用不可にする
4)なりすまし
本人ではないにもかかわらず、本人のふりをしてアクセスする
5)詐欺行為
本物と見せかけ、偽のサイトに誘導して情報や金銭をだましとる
これら以外にも、故意に偽情報(フェイクニュース)を流し、企業や個人の評判や評価を低下させるようなことも行われています。
■セキュリティ対策
セキュリティ対策とは、以下の3点を考えて実施することです。
・「何の情報を守るのか?」
企業においては、顧客情報、個人情報、仕入先情報、会議情報、設計情報、会計情報・・・など、企業HPや広告などで明らかにしている情報以外、すべて機密として扱われるべき情報です。個人においても、住所、電話番号、メールアドレス、クレジット番号、口座番号、病歴など、機密として扱われるべき情報があります。これら情報の詳細まで明確にし、各々の機密レベルを分類していきます。
その際、万一、盗聴や不正アクセスが発生したとき、社会的影響の大きさを勘案することが必要になります。
・「どこを守るのか?」
情報は、データベース、ファイルなどに蓄積されるデータと、メールやWebによってネットワーク上を流れるデータに分かれます。これらの両方をを守る必要があります。
・「どうやって守るのか?」
セキュリティ対策には、技術面と運用面の2つの対策を施します、
技術面の対策とは、ログインプロトコルやワンタイムパスワードの採用、データの暗号化・復号化、アクセスログの記録と管理、
ネットワークの分離、フィルタリング、不正アクセスのパターン検出などがあります。運用面の対策とは、アクセスログの定期的な確認、パスワードの定期的な変更、サーバなどが設置された場所の施錠管理、バックアップの実施などがあります。
セキュリティ対策を実施するには、利便性以外にも、セキュリティ対策にかけられる費用、
セキュリティ事故が発生したときに与えるインパクトまで含めて検討する必要があります。
セキュリティ侵害行為が「予測不可能」であること、それがセキュリティ対策を実施する上での最大の課題です。
そのため、100%確実なセキュリティ対策は存在せず、後手に回ることも多々あり、
その度に対策が考えられて、改善されていくことが繰り返されています。ソフトウェアやシステムは、人が考えたアイデアをロジックとして具現化したものです。したがって、意図しないことを意図することは、文字通り不可能であり、できることは先人の失敗に学び、
そこから得られた解決策を事前に計画して実行することにつきます。少なくとも、一般的なセキュリティ対策をきちんと継続していけば、
ほとんどのセキュリティ事故は防ぐことができます。