情報セキュリティとは

情報セキュリティとは、情報の機密性、完全性、可用性を維持することです。さらに、真正性、責任性、追跡性、否認防止、信頼性などの特性が含められることもあります。

ネットワークシステムのオープン化により、その利用範囲や利便性は拡大した反面、セキュリティが大きな問題となってきています。インターネットに接続されている「入口」から誰でも接続を試みることができ、組織内のネットワークに侵入し、重要な情報にアクセスされる危険性が出てきているためです。

機密性	情報資産へのアクセスを、許可された者が許可された範囲内で操作（閲覧・書込み・印刷など）をできるようにすること。対策は、認証、アクセス制限、暗号化など。
完全性	データの正当性、網羅性、一貫性を維持すること。対策は、ハッシュ関数やデジタル署名を利用した改ざん検知など。
可用性	情報システムが必要なときに、必要なサービスを提供できること。対策は、システムやネットワークの二重化、十分なリソースの確保、データバックアップなど。

脅威とは、システムのセキュリティに危害を与える要因です。例えば、不正アクセスやマルウェアが該当します。

脆弱性（セキュリティホール）とは、システムに存在する欠陥や不備です。例えば、パッチの当っていないソフトウェアや、セキュリティが考慮されていないプロトコルなどです。

インシデントは、脅威と脆弱性が一致するところで発生します。リスクとは、インシデントが発生した場合にシステムや業務に影響を与える可能性で、リスクが顕在化することをセキュリティ侵害（アクシデント）と言います。

セキュリティマネジメントとは、セキュリティ侵害による被害を組織的に軽減することです。以下の４つのフェーズがあります。

１	ポリシの策定	組織としてのセキュリティ方針やルールを明確にする。
２	リスクアセスメント	システムの課題を洗い出す。
３	対策の実施	見つかった課題で優先順位をつけ、セキュリティ対策を実施する。セキュリティ監視（SOC）やインシデント対応（CSIRT）などの運用も含まれる。
４	対策の見直し	定期的にリスク対応の見直し、課題が見つかれば適宜フィードバックを行い、PDCAサイクルを回す。

情報セキュリティ対策

セキュリティ対策は、物理的対策、技術的対策、組織的対策の３つに分類されます。

物理的対策	建物や設備などを対象にした対策で、耐震設備、防火設備、停電対策、入退室管理など。
技術的対策	情報システムやネットワークなどにおける対策で、アクセス制御、認証、暗号化、マルウェア対策、脆弱性管理、ログ管理など。
組織的対策	組織運営や運用における対策で、ポリシ策定、監査、教育、訓練、セキュリティ監視、インシデント対応など。

セキュリティ対策のタイミングは、セキュリティインシデントの発生する前後で、事前対策と事後対策の２つに分けられます。

事前対策	インシデント発生前に行う対策で、インシデントの発生頻度を下げる役割。
	抑止	人の意識に対し犯罪や不正行為を思い留まらせることで、インシデントの発生を未然に防ぐ対策。ポリシ策定、ログ管理、教育、監視カメラ設置などが該当。
	予防	情報システムの脆弱な部分に対し予めセキュリティ対策を施すことで、サイバー攻撃や内部不正などを受けにくい状態にする。脆弱性管理、認証、アクセス制御、暗号化などが該当。
事後対策	インシデント発生後に行う対処で、インシデント発生の影響度を下げる役割。
	検知	インシデントの発生を速やかに発見、通知し、その原因や影響範囲の調査に必要な情報を取得することで、損害を最小限に抑える。セキュリティ監視、ログ取得・解析などが該当。
	回復	インシデントが発生し影響が出た場合に、情報システムやネットワークを正常な状態まで復旧させること。バックアップからのリストアや手順書の作成など。

セキュリティ対策の方針には、回避、低減、移転、受容の４つに分けられます。

方針	発生頻度	影響度	内容
回避	高	高	発生頻度と影響度がともに高い場合で、原因の除去など発生頻度の低減の低減を行う。
低減	高～中	中～低	発生頻度と影響度がともに中程度の場合で、事前対策で発生頻度を下げ、事後対策で影響度を下げるバランスのとれた対策を行う。
移転	低	高	影響度が高いが発生頻度が低い場合で、アウトソーシングや保険での対処する（発生頻度が低いため、自分達では直接対策を行わない）
受容	低	低	発生頻度と影響度が共に低い場合で、インシデント発生時の損失（残余リスク）を準備金等で負担する。