情報セキュリティとは|これだけは押さえたい基礎知識・決定版
情報セキュリティについて解説しています。情報セキュリティの7要素とそれぞれの意味、脅威とは何か、セキュリティ対策の具体的な方法、認証制度について説明します。情報の安全に関する基本的な知識をおさえておきましょう。
テックアカデミーマガジンは受講者数No.1のプログラミングスクール「テックアカデミー」が運営。初心者向けにプロが解説した記事を公開中。現役エンジニアの方はこちらをご覧ください。 ※ アンケートモニター提供元:GMOリサーチ株式会社 調査期間:2021年8月12日~8月16日 調査対象:2020年8月以降にプログラミングスクールを受講した18~80歳の男女1,000名 調査手法:インターネット調査
この記事では、IT/WEBをメインに働いている人は絶対に知っておかなければいけない情報セキュリティについて解説します。
おそらく多く人が、会社の導入研修として情報セキュリティの講義を受けているでしょう。しかしいざ実務ではあまり気にしていないという人も多いのではないでしょうか?これを機に改めて情報セキュリティについての認識を改めるようにしましょう。
なお本記事は、TechAcademyの法人向けIT・プログラミング研修での実績をもとに紹介しています。
今回は、プログラミングに関する内容だね!
どういう内容でしょうか?
情報セキュリティについて詳しく説明していくね!
お願いします!
目次
セキュリティとは
セキュリティは3つの要素で構成されています。
- 情報セキュリティ
- コンピュータセキュリティ
- ネットワークセキュリティ
の3つになります。詳しく解説していきます。
情報セキュリティとは
コンピュータやインターネットを安全に、安心して使うための対策です。日本の製品の規格を定めるJISおよび国際標準化機構のISOでは、
- 情報にアクセスできる人の制限
- 情報の欠損の防止
- 情報が必要な時に問題なく使える状況
という3つのポイントを維持することが定められています(JIS Q 27002: ISO/IEC 27002)。
コンピュータセキュリティとは
コンピュータを破損や破壊、間違った操作、不正アクセスから守ることです。破損・破壊の防止は、地震など自然災害からコンピュータを守ることはもちろん、盗難など悪意のある行為を防止することも含んでいます。
またコンピュータが使える場所へのアクセス制限や、ケーブルなど周辺機材の安全を確保することも重要です。不正アクセスには情報の改ざんやウイルスによるコンピュータの機能不全、メールを介した架空請求詐欺などが含まれます。
ネットワークセキュリティとは
コンピュータや家庭内LAN、社内LANなどの内部ネットワークと、インターネットからアクセスできる外部との境界線を守ることです。ハッカーによる不正アクセスや、ウイルスの侵入を防止することが一般的ですが、組織内部からの不正アクセスや誤操作を防ぐことも含まれます。
情報セキュリティの7要素とは
情報セキュリティ対策をするにあたり、維持すべきポイントのことです。JIS Q 27002(ISO/IEC 27002)では
- 機密性
- 完全性
- 可用性
の3点を、JIS Q 27001(ISO/IEC 27001)では加えて
- 正真性
- 責任追及性
- 信頼性
- 否認防止
の7点を維持すべきと定められています。
機密性
機密性とは認められた人だけが情報にアクセスし、操作できるようにすることです。アクセス制限には、
- コンピュータの操作ができないようにする
- 情報そのものを見られないようにする
- 情報を見られても書き換えられないようにする
など、いくつかの対策があります。これらの対策が不十分な場合、情報の改ざんや漏洩が発生します。
情報の機密性は、下記で解説する完全性、可用性とともに特に重要とされており、「情報セキュリティのCIA」と呼ばれています。
(※CIA: 機密性 (Confidentiality)、完全性 (Integrity)、可用性 (Availability)の頭文字)
完全性
情報が正確で改ざんや削除などが行われていない、完全な状態であることを指します。完全性の維持には、情報にアクセスできる人を制限する、情報の閲覧権限と編集権限を使い分ける、情報に行われた操作のログを残すなどの対策が必要です。
可用性
情報へのアクセスを認められた人が、必要な時に問題なく情報を見たり、操作したりできることです。サーバを管理してWebサイトがダウンしないようにするなど、情報やサービスが正しく提供されるための対策をします。
情報の可用性が維持できない場合、顧客がサービスを利用できなくなったり、必要な情報が使えずに社内業務が滞ったりといった問題が発生します。
真正性
情報を使用する人が間違いなく本人である、情報を処理するプロセスが不正に個人情報をだまし取るような偽物ではない、情報そのものが偽物ではないなど、「なりすまし」ではない状態のことです。
一般的な対策としては、特定の本人しかアクセスできないように、情報の入り口でIDとパスワードの入力を求めるシステムがあります。また情報の制作者を明確にできるデジタル署名も有効です。
責任追跡性
情報へのアクセスや操作が、誰によって行われたものかを明確にすることです。アクセスログを取れるようにしておくことは責任追跡性の維持に効果的で、いつ、だれが、どの情報に、何をしたのかを特定できます。
信頼性
行った操作に対して正しい情報・結果が返ってくることや、システムに故障がないことなど、情報処理が不具合なく行われる状態です。
例えばオンラインでの商品購入画面で、商品をカートに入れたにも関わらずその情報が反映されない場合、情報への信頼性が保てていない状態になります。
否認防止
情報の制作や操作をした人が、後程それらを否定できないようにすることです。例えば文書ファイルやメールにデジタル署名をつけ、制作者を明らかにすることは否認防止対策になります。また悪意のある情報の改ざんや破壊などを行った人が責任を否定できないよう、ログが残るシステムを作ることも有効です。
脅威とは
脅威とリスクの違い
脅威はリスクを引き起こす原因であり、リスクは被害や影響を与える可能性のことを指します。リスク分析とは起こってほしくないこと(脅威)の特徴や発生確率を決めることであり、情報セキュリティ対策で対応すべきものや優先すべきものを決定するのに役立ちます。
脅威の種類
脅威の種類は大きく3つです。
- 人的脅威
- 技術的脅威
- 物理的脅威
です。詳しく解説していきます。
人的脅威
人のミスや悪意のある行動によって、被害や影響が発生することです。人為的ミスにはシステムの誤操作や不注意による不具合があります。例えば
- メールの誤送信やサーバ内のデータの削除
- パソコンやSD・USBメモリーの紛失
- システムの脆弱性の見落とし
などが防ぐべき脅威です。
悪意のある行動には、情報漏洩やデータの改ざんなどが挙げられます。またIDやパスワードなどを不正に聞き出すソーシャルエンジニアリングは悪意のある人的脅威の代表です。
人的脅威を防ぐには、ミスや不正行為を防止するシステムを作ることも大切ですが、情報を使う人の情報に対するモラル教育も重要です。
技術的脅威
不正なプログラムなど、技術的に作り出されたものによって発生する脅威です。最も有名なのはコンピュータウイルスなどマルウェアによる被害です。マルウェアとはパソコンに有害な操作を行ったり、情報漏洩などの深刻な問題を発生させたりするプログラムの総称で、以下のような種類があります。
- ウイルス:プログラムやパソコンに寄生して広がり、システムの挙動に悪影響を及ぼす
- ワーム:単体で増殖を繰り返し、ネットワークを介して広がり、パソコンや情報に悪影響を及ぼす
- トロイの木馬:侵入先のコンピュータで、コンピュータの使用者が意図していない操作を秘密裏に行う
- スパイウェア:感染先に保存されている情報を盗み、外部に送信する
その他の技術的脅威には、なりすましメールによって偽のWebページへ誘導し、個人情報をだまし取るフィッシング詐欺があります。また標的のサイトやサーバに大量のデータを送り、システムをダウンさせるDoS攻撃(ドス攻撃)も有名です。
技術的脅威も人的脅威同様、被害を受けないためのシステムを構築することが重要です。同時に送信元の分からないメールを開かないなど、情報使用者の危機管理教育も不可欠です。
物理的脅威
情報システムやコンピュータに、物理的に発生する脅威を指します。物理的な脅威とは、
- 機材の老朽化
- 故障、地震・台風などの自然災害や事故による機材破損
- 機材の意図的な破壊、盗難
- パソコンやサーバがある施設への不正侵入
など、悪意のある人によって発生する脅威もあります。
物理的脅威の防止には機材の定期的なメンテナンスのほか、自然災害を想定した機材環境の整備や自然災害対策マニュアル作り、パソコンのID・パスワードの認証設定、機材のある部屋へのアクセス制限などが有効です。
情報セキュリティ対策の具体例
対策には比較的簡単に導入できるものから高度な技術を要するものまで、さまざまなものがあります。また目的によって適切な対策は異なります。リスク分析を行い、優先すべき脅威に対して簡単なものからでも導入していくことが大切です。
ベーシック認証
IDとパスワードによって情報利用者にアクセス制限をかける方法です。例えば
- パソコンやスマートフォンの使用時
- Webサイトの特定のページへのアクセス時
- Wi-Fiなどの無線接続時に入力を求める
名前の通り基礎な機能なので簡単に導入できますが、セキュリティレベルは低いです。
ファイアウォール
インターネットを介した不正アクセスから、会社や家庭の内部ネットワークを守るシステムです。ファイアウォールはインターネットで送られてきた情報が安全なものかを判断し、不正なものであった場合は管理者に通報します。
物理的なアクセス制限
物理的脅威に対する対策です。許可された人のみがパソコンやサーバを使えたり、機材のある建物にアクセスできたりなど、機材を破壊や盗難から守ることに効果的です。
離席ロック機構
パソコンなどから一定時間離れる場合、自動的にロックがかかるようにすることです。組織内で運用する場合は、「〇分経ったらスリープ状態になる」など、具体的な基準を設けることがポイントとなります。
筐体管理
パソコンそのものに施す、破壊や盗難の防止策です。例えばパソコン本体のカバーが開けられたことを通知する警報の設置や、ケンジントンロックによる対策があります。ケンジントンロックは機材がワイヤーから切断されたときにブザーが鳴る仕組みで、家電量販店などでも使用されている盗難防止策です。
従業員に対する情報セキュリティ教育
情報を扱う人への教育は、セキュリティ対策システムの構築と同様に重要です。教育内容としてはパソコン、SD・USBメモリーの取り扱い方法や個人情報の扱い方、情報を使用するにあたってのモラル教育などがあります。
子どもに対する情報セキュリティ教育
タブレットやスマートフォンが身近な現在、子どもでも簡単に情報にアクセスできます。インターネットの脅威から子どもを守るために親ができることもありますが、子ども本人に自己防衛を教育することも、非常に重要です。
よくわからないメールやリンクを開かない、怪しいWebサイトにはアクセスしない、SNSに個人情報を出さないなど、大人にとって当たり前のことから教えることが大切です。
情報セキュリティに関する認証制度
情報セキュリティ対策が正しく行われていることを証明する方法として、認証制度があります。制度を管理している組織・団体が設定している条件をクリアすることで承認されます。
情報セキュリティ対策で何から始めるべきか分からない場合、認証制度への登録を目指すのが効率的です。認証制度の基準はそのまま対策すべき項目に繋がります。また承認状態を維持するために、定期的なメンテナンスも行います。認証制度の要綱には、情報を扱う人に対する教育も含まれているので、システム面の補強だけでなく、情報利用者のモラルも向上させることができます。
下記で紹介するISMSマークとプライバシーマークは、有名な認証制度です。認定されるとマークをWebページや名刺で使用することができ、組織内外に情報セキュリティ対策の取り組みや、信頼性をアピールすることができます。
ISMSマーク
個人情報などすべての情報資産に対し、セキュリティの適切な運用ができている法人・組織に付与されます。企業内の一部の組織(営業部、総務部など)単位での取得も可能で、2020年2月現在、公官庁や教育機関を含め6000の団体がISMSマークを取得しています。
承認の要件はJIS Q 27002: ISO/IEC 27002が定める情報セキュリティの要件同様、情報の機密性・完全性・可用性の維持がなされていることです。ISOは国際標準規格なので、ISMSマークは世界的に通用します。マークには3年に一度の更新審査と、毎年の維持審査があります。
プライバシーマーク
個人情報の取り扱いが適切な法人や組織に付与されます。ISMSマークとの違いは対象としている情報の範囲で、プライバシーマークは個人情報にのみ焦点を当てています。適用範囲は企業全体となるため、取得した場合は個人情報を扱っていない部署であっても、プライバシーマークの基準に沿った情報の管理・運営を行わななければなりません。
個人情報保護への意識が高まる中、取得団体は増加傾向にあり、2020年2月現在は16,400社が登録されています。しかし適用範囲はISMSマークと異なり、日本国内のみです。マークは2年ごとに更新審査があります。
内容分かりやすくて良かったです!
ゆかりちゃんも分からないことがあったら質問してね!
分かりました。ありがとうございます!
TechAcademyでは、従来の講義型研修とは違い、実務を想定したカリキュラムで実践的スキルを短期間で確実に身につけられる法人向けオンラインIT・プログラミング研修を展開しています。
1名〜数百名規模・業界を問わず、500社以上の企業様の研修を実施しています。
受講生一人ひとりに現役エンジニアのメンターが付き、皆様のニーズにあったサポートを行います。学習時の「わからない」を確実に解消いたします。