情報セキュリティの構成要素は、すべて確保されている状態にしておこう
情報セキュリティと言えば、ニュースなどから情報漏えいのことと思う方が多いのではないで
しょうか。
そこで、「情報」と「セキュリティ」に分けて考えてみます。
情報とは、情報資産をさしていて、情報の他、情報システムのハード、ソフト、ネットワーク
などを含めたものを言います。
また、セキュリティとは、安全のことで、情報や情報システムを安心して使い続けられるよう
に、または、普段使っているサービスが急に使えなくなったりしないように、必要な対策をす
ることです。
それでは、安全とはどのような状態なのか、客観的にみて安全であるためには、
大切な情報が外部に漏れたり、不正な情報の利用が行されないようにしなければなりません。
これを、機密性を呼んでいます。また、、情報は正確でなければいけません、
インテグリテイ(完全性)は、持っている情報を正確かつ最新の状態で管理することを指しま
す。
可用性とは、情報を使いたいときに使える状態にしておくことです。
例えば、普段利用しているパソコンが突然、壊れた時にパソコンのデータのバックアップが全
く取られていなければそのパソコンは、使えなくなってしまうので、安全なシステムとは言え
ません。
上記3つの機密性 、完全性、可用性、「情報セキュリティの3要件」と呼ばれ、事業者内における情報セキュリティ対
策を徹底する基本となり機密性を確保することだけを考えていたのでは不十分で、インテグリ
ティや可用性についても考慮し、必ず3つを確保する必要があります。
以下で、詳しく、機密性 (confidentiality)、完全性 (integrity)、可用性 (availability)詳しく
説明していきます。
情報資産を適正な権利を持った人だけが使用できる状態の機密性
機密性(Confidentiality)とは、業務上許可された者だけが、必要な情報のある場所の必要な
情報だけにアクセスできるようにすることです。
許可されていない利用者は、コンピュータやデータベースにアクセスすることができないよう
にしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
このように、必要な情報だけにアクセスできる状態にあることを言います。
人・時間・場所と分けて考えれば、情報へのアクセスが保護されているかどうかを考えやすい
と思います。
機密性が阻害されることとは、代表的なもので個人情報や機密情報の漏えい、
個人情報や機密情報が、不正や過失により第三者に流出したり、権限のない者によって、
情報が見られたり読まれたりしてしまう状態になることです。
このようなことが起きることがないように、情報にアクセスできる人を限定する対策が必要で
す。
内部犯行によるものと外部犯行によるものに、情報漏えいや情報の不正利用には分けることが
できます。
内部犯行とは、企業の情報セキュリティ管理た不十分である場合に発生することが多く、
例えば、ある自治体のシステム業務を委託していた先のアルバイト大学院生が、
乳幼児の健診データを不正にコピーして名簿業者に販売した事件、
教育関連の企業で外部委託先のシステム管理者がスマホを使って情報を窃取して販売した事
件、通信会社の販売代理店で顧客情報を窃取した事件など、いままで多数発生しています。
外部犯行としては、例えば情報システムの脆弱性を突いて外部からある企業や自治体などの組
織のシステムに侵入して情報を窃取したり、ホームページを改ざんしたり、サーバのシステム
の破壊、コンピュータウイルスに感染させて情報を漏えいさせたりとさまざまな被害を受ける
ことが考えられます。
電子メールを送信する時に、宛先をBCCにして送信しなくてはいけないところをCCにして送信
してしまい、メールアドレスが流出した事例など、故意に機密性を侵害する場合のほかに、個
人の過失によって機密性が阻害されるケースもあります。
完全・正確でなくてなならない、インテグリティとは?
インテグリティ(integrity)とは、情報の機密性、完全性、可用性を維持することで、
様々な訳があります。
インテグリティが阻害される事例として、請求の金額が間違っていた事件や、駅での乗越した
時の精算金額の設定に間違いがあった事件などがあります。
各種の取引を行なう場合に、住所、氏名、金額など取引上の基本的な情報に誤りがあれば、
業務を適切に遂行することができません。
そのため、インテグリティの確保が必須要件になります。
情報の正確性が強く求められている企業のインテグリテは、とても重要です。
例をあげれば、金融機関で扱う情報に間違えがあると、企業の信用失墜だけでなく
社会不安につながることもあるので、金融機関では、コストや手間を他の事業会社に比べて多
くかけてインテグリテイを確保しています。
また、医療機関でも、電子カルテなどの情報システムに誤って別の患者の情報を入力してしま
うと、患者の生命や身体に重きな影響を及ぼすことになります。
ですので、インテグリテイについて検討する場合、重要性が業種や企業によって異なることに
考慮しなければいけません。
人為的なミスは、様々な場面で発生します。
例えば、スーパーマーケットの商品マスターの登録ミス、POSレジへの入力ミス、
文字の変換ミスなど、入力ミスによるものもあります。
一般的に情報システムの不具合(バグ)が原因と考えられがちですが、人為的なミスもインテ
グリテイを阻害する原因です。
また、OCR入力には文字の認識ミスもあるので、二度読み取りさせるなどの対策が重要です。
いつでも、使えるのが当たり前の可用性とは?
可用性(availability)とは、「情報システムを普通に使える状態を、どれだけ維持してるか」
ということです。
会社に勤めていると、オフィスに出社して最初にパソコンの電源を入れて、情報システムにロ
グインします。
しかし、どうでしょう、例えば、情報システムにログインできなかったり、パソコンが起動し
なかったりした場合、業務を遂行することができずに、大変困った事態に陥ります。
また、最近では、海外からタブレット端末やスマホなどのモバイル端末を利用したり、
情報システムへアクセスも海外からおこなったりすることも少なくありません。
このような場合にも可用性が確保されなければ、例えば、顧客状況の照会、受注入力、
メールでの連絡等ができなくなります。
可用性を阻害する原因としては、ソフトウェアのバグ、システム運用の失敗、ハードウェアの
破損、ネットワーク障害、マルウェアへの感染などがあります。
このように、情報システムが企業活動の重要な基盤なっている昨今、ますます可用性の確保が
重要になってきています。
まとめ
個人情報漏えいのインパクトは、外部からの不正アクセスによるものよりも、
内部犯行によるインパクトのほうが大きいといいます。
ですので、保有する情報資産の内容をよく検討して、機密性、完全性、可用性のバランスを考
慮しながら情報セキュリティ対策していくことが重要です。
もし、3要件を満たしておらず、情報が漏れたりした場合は、事業者として大きな損害となる
ことが予想されます。
そういった事態が発生しないよう、事業者としてどう情報を管理するのかを再確認してみる必
要があるのではないでしょうか。