セキュリティリスクに対する組織構成
企業活動はさまざまなビジネスプロセス、対応する組織、人の活動から行なわれます。
情報セキュリティリスクの洗い出しや対策は、企業活動全般にわたって対応していく必要があるのです。
個々の組織やビジネスプロセスに対する状況の把握やアクションプランを経営者が一つ一つ指示すことは出来ません。
そのため、企業全体の情報セキュリティ対策を実施するためには、能力とスキルを有する專門家を配置する必要があります。
專門組織は個別に設置されることもありますが、経営企画部、内部統制担当、情報システム部に設置されることもあるでしょう。
情報セキュリティ委員会などを設置し、定期的に関係部局を集めて対応する場合も、この專門組織が全体を取りまとめ必要な措置を経営層に上申、判断を仰ぎ、必要な予算措置、アクションを関連部局に配分、実行管理までを行ないます。
情報セキュリティリスクに対応するために、社内全体の状況把握、対策の優先順位決定、実施をするための体制が求められます。
脆弱性が狙われる
なぜ情報セキュリティ対策はこんなにも難しくなってきているのでしょうか。
そもそも情報セキュリティとは「組織の情報システム及び情報そのものに対する、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を保証するもの」と定義されます。
頭文字から、情報セキュリティのCIAといわれています。
守るべき対象は、情報システムと情報そのもので、この両者を合わせて情報資産ともいいます。
企業活動の拡大に伴い、ITシステムへの依存率が高まるほどに、守るべき情報資産は増えていきます。
「機密性」の対象は、顧客情報、社員を含む個人情報、営業秘密、製造秘密などです。
情報資産の取得、処理、蓄積あるいは送信の過程で情報が漏えいする可能性が出てくるため、漏えいを防ぐには情報の暗号化や情報の種別に応じたアクセス権の設定などが必要になります。
ショルダーサーフィンは、PCの画面やパスワードの書かれたメモからの盗み見を意味します、トラッシングは企業や組織のゴミをあさって役に立つ情報や廃棄された機密情報を盗み見ることです。
離席中は必ずPCのスクリーンセーバーを起動する、パスワードを安易にメモしない、重要書類は必ず溶解ボックスで処理する、などといった日常の情報セキュリティ管理の徹底も必要です。
「完全性」とは、正当な権利をもつ人だけが情報資産を使用できる状態にしすることです。
受発注処理や振り込み処理などの請求先、振込先、口座情報や金額といったものが改ざんされないようにする対策が必要です。
改ざんによる不正な金銭窃取行為は、内部犯によるケースが多いようです。
外部からの攻撃者が、マルウェアや論理爆弾(特定の時間、あるいは外部からの指示をトリガーとして、コンピューターの破壊活動を行なうプログラムの総称)を仕込み情報システムに不正にアクセス、機密情報を窃取するためにアカウント情報や構成情報を改ざんするケスもあります。
特に最近は標的型攻撃と呼ばれる攻撃が機密情報の搾取を目的に公的機関や企業を狙って行なわれる事例が増えてきています。
「可用性」とは、情報資産を必要なときに利用可能な状態にしておくことです。
システム障害や災害、外部からの処理を妨害、情報システム内部に侵入してファイルシステムやハードディスクを破壊したりする行為などがあります。
内部犯行の場合は、何らかの意図をもって業務を妨害するケースが考えられます。
サイバーセキュリティとは、「サイバー空間を経由して行なわれる、情報システムと情報に対する侵害からの保護」を意味します。
サイバー空間=インターネットと誤解されることがあるかもしれませんが、このサイバー空間は単にインターネットだけを意味するものではありません。
電話網や專用線、閉域網など、コンピュータシステムが繋がれている環境の総称であると考えてよいでしょう。
製造業での製造ライン制御システム、インターネットに接続されていないバンキングシステムや電力会社などの電力制御ネッ卜ワークもこれに含まれます。
情報の処理と蓄積を行なう複数のコンピュー夕システムが相互に接続されて、互いに協調して情報の処理と蓄犢を行なう分散コンピューティングシステムと捉えてください。
したがって、もし一つのコンピュータが何らかの侵害を受けると、他のコンピュータにも伝搬し、最終的にはシステム全体に侵害が及ぶ事態にもなりかねません。
分散コンピューティングシステムの利用が拡大し、その規模が拡大すればするほど、攻撃側から見れば侵入可能な箇所が増え、侵害を受ける確率が高くなるのです。
インタネットが発達した現代では、世界中で瞬時に情報が共有され、インターネットに接続されていればあらゆる地点へのアクセスが可能になっています。
汎用的に使われているWindowsOSや、その上で動くアプリケーションソフトウェアなどに脆弱性が見つかると、即座に世界中で共有され、悪意をもった攻撃者がインターネットに接続されているあらゆるシステムにこの脆弱性を突く攻撃を仕掛けてくるような状況が生まれています。
情報通信技術が発達し、これを活用する企業活動が拡大、ITへの依存度が高まれば高まるほど情報セキュリティヘの脅威が増す一方、対策は複雑化していきます。
このことが、ますます情報セキュリティが難しくなっていく要因であると考えられます。