情報セキュリティのリスクと対策
今回は情報セキュリティのリスクと対策についてのコラムです。
情報セキュリティの対策のご検討の際にお役立てください。
1.情報セキュリティとは
企業や組織における情報セキュリティとは、企業や組織の情報資産を「機密性」、「完全性」、「可用性」に関する脅威から保護することです。
情報資産とは、企業や組織などで保有している情報全般のことです。顧客情報や販売情報などの情報自体に加えて、それらを記載したファイルや電子メールなどのデータ、データが保存されているパソコンやサーバなどのコンピュータ、CD-ROMやUSBメモリ、SDカードなどの記録媒体、そして紙の資料も情報資産に含まれます。
機密性
機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
完全性
完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。
可用性
可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。
情報資産を脅かす具体的な脅威として、機密情報の漏洩(ろうえい)や不正アクセス、データの改ざん、サービスの停止などが挙げられます。
企業や組織においては、保有する情報資産の特質をよく検討して、機密性、完全性、可用性のバランスを考慮しながら情報セキュリティ対策を行うことが大切です。
2.情報セキュリティのリスク
情報セキュリティのリスクは、組織や個人が情報を保護する際に直面する可能性のある損失や被害のことを指します。主なリスクは以下となります。
機密性の侵害のリスク |
機密情報が不正なアクセスや盗難によって漏洩されることで、”機密性”が侵害されます。これにより、秘密の情報が競合他社や悪意のある者に利用されたり、組織の評判や信頼が損なわれる可能性があります。 |
完全性の侵害のリスク |
情報が改ざんされると、その情報の”信頼性”が失われます。改ざんされた情報に基づいて意思決定を行った場合、誤った結果や予測不能な結果が生じる可能性があります。 |
可用性の喪失のリスク |
システムやデータが意図せず利用できなくなると、業務の停止や遅延が生じ、業務継続性に影響を与える”可能性”があります。これは、サービスの停止や機能の制限などの形で現れる場合があります。 |
潜在的な法的および規制上の違反のリスク |
情報セキュリティのリスクは、法律や規制に違反する可能性があります。個人情報や機密情報の漏洩は、プライバシー法やデータ保護法に対する違反となる場合があります。 |
Reputation(評判)のリスク |
情報セキュリティの侵害は、組織や個人の信頼や評判に深刻な影響を与える可能性があります。顧客や取引先は、セキュリティが保護されていない組織や個人との取引を避ける傾向があります。 |
これらのリスクを最小限に抑えるためには、適切な情報セキュリティ対策が必要です。技術的な対策(暗号化、ファイアウォール、アンチウイルスソフトウェアなど)、組織的な対策(ポリシーの策定、トレーニングと教育、アクセス管理など)、そして物理的な対策(セキュリティカメラ、アクセス制御、災害復旧計画など)の3つに分類することができます。
また、情報セキュリティのリスクの脅威は、IPAで提示されている10大脅威が具体的な脅威となりますが、その脅威を防御するための技術的な対策について述べていきます。
3.2024年のIPA 情報セキュリティ10大脅威とリスク
リスクの具体的な脅威は、IPAが発表している2024年の情報セキュリティ10大脅威が代表的な脅威となります。
順位 |
「組織」向け脅威 |
初選出年 |
10大脅威での取り扱い |
1 |
ランサムウェアによる被害 |
2016年 |
9年連続9回目 |
2 |
サプライチェーンの弱点を悪用した攻撃 |
2019年 |
6年連続6回目 |
3 |
内部不正による情報漏えい等の被害 |
2016年 |
9年連続9回目 |
4 |
標的型攻撃による機密情報の窃取 |
2016年 |
9年連続9回目 |
5 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
2022年 |
3年連続3回目 |
6 |
不注意による情報漏えい等の被害 |
2016年 |
6年連続7回目 |
7 |
脆弱性対策情報の公開に伴う悪用増加 |
2016年 |
4年連続7回目 |
8 |
ビジネスメール詐欺による金銭被害 |
2018年 |
7年連続7回目 |
9 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
2021年 |
4年連続4回目 |
10 |
犯罪のビジネス化(アンダーグラウンドサービス) |
2017年 |
2年連続4回目 |
出展:IPA 独立行政法人 情報処理推進機構 情報セキュリティ10大脅威 2024
2023年、2024年で連続1位、2位のランサムウェアの攻撃者やサプライチェーン攻撃者は、攻撃者は組織の規模や業種に関係なく攻撃をしたり、「ビジネス上の繋がり」を悪用するため、自組織の対策のみの対策ではなく、関係組織も含めたセキュリティ対策が必要な脅威であり、適切な対策が必要です。
4.具体的な対策について
IPAが発表している2024年の情報セキュリティ10大脅威の上位5位に対して具体的にどのような対策が必要でしょうか?
連想ゲームのような方式で対策を考えてみます。
情報セキュリティの脅威から現セキュリティ対策は適切でしたか?足りない対策はありませんでしたか?
脅威に対するセキュリティ対策をご検討の際にお役立てください。