情報セキュリティとは

/セキュリティ

情報セキュリティとは

情報セキュリティとは、情報の機密性、完全性、可用性を維持することです。さらに、真正性、責任性、追跡性、否認防止、信頼性などの特性が含められることもあります。

ネットワークシステムのオープン化により、その利用範囲や利便性は拡大した反面、セセキュリティが大きな問題となってきています。インターネットに接続されている「入口」から誰でも接続を試みることができ、組織内のネットワークに侵入し、重要な情報にアクセスされる危険性が出てきているためです。

機密性 情報資産へのアクセスを、許可された者が許可された範囲内で操作(閲覧・書込み・印刷など)をできるようにすることです。
対策は、認証、アクセス制限、暗号化などです。
完全性 データの正当性、網羅性、一貫性を維持することです。
対策は、ハッシュ関数やデジタル署名を利用した改ざん検知などです。
可用性 情報システムが必要なときに、必要なサービスを提供できることです。
対策は、システムやネットワークの二重化、十分なリソースの確保、データバックアップなどです。

脅威と脆弱性

“脅威”とは、システムのセキュリティに危害を与える要因です。例えば、不正アクセスやマルウェアが該当します。

“脆弱性”(セキュリティホール)とは、システムに存在する欠陥や不備です。例えば、パッチの当っていないソフトウェアやセキュリティが考慮されていないプロトコルなどです。

“インシデント”は脅威と脆弱性が一致するところで発生します。”リスク”とはインシデントが発生した場合にシステムや業務に影響を与える可能性で、リスクが顕在化することを”セキュリティ侵害”(アクシデント)と言います。

セキュリティマネジメント

セキュリティマネジメントとは、セキュリティ侵害による被害を組織的に軽減することです。以下の4つのフェーズがあります。

ポリシの策定 組織としてのセキュリティ方針やルールを明確にする
リスクアセスメント システムの課題を洗い出す
対策の実施 見つかった課題で優先順位をつけ、セキュリティ対策を実施する
セキュリティ監視(SOC)やインシデント対応(CSIRT)などの運用も含まれる
対策の見直し 定期的にリスク対応の見直し、課題が見つかれば適宜フィードバックを行い、PDCAサイクルを回す

セキュリティ対策

セキュリティ対策は以下のように分類されます。

物理的対策 建物や設備などを対象にした対策で、耐震設備、防火設備、入退室管理などが該当します
技術的対策 情報システムやネットワークなどにおける対策で、アクセス制御、認証、暗号化、マルウェア対策、脆弱性管理、ログ管理などが該当します
組織的対策 組織運営や運用における対策で、ポリシ策定、監査、教育、訓練、セキュリティ監視、インシデント対応などが該当します

セキュリティ対策のタイミング

セキュリティインシデントの発生する前後で以下のように分けることができます。

事前
対策
インシデント発生前に行う対策で、インシデントの発生頻度を下げる役割があります
抑止 人の意識に対し犯罪や不正行為を思い留まらせることで、インシデントの発生を未然に防ぐ対策です
ポリシ策定、ログ管理、教育、監視カメラ設置などが該当します
予防 情報システムの脆弱な部分に対し予めセキュリティ対策を施すことで、サイバー攻撃や内部不正などを受けにくい状態にすることです
脆弱性管理、認証、アクセス制御、暗号化などが該当します
事後
対策
インシデント発生後に行う対処で、インシデント発生の影響度を下げる役割があります
検知 インシデントの発生を速やかに発見、通知し、その原因や影響範囲の調査に必要な情報を取得することで、損害を最小限に抑えることです
セキュリティ監視、ログ取得・解析などが該当します
回復 インシデントが発生し影響が出た場合に、情報システムやネットワークを正常な状態まで復旧させることです
バックアップからのリストアや手順書の作成などを行います

セキュリティ対策の方針

セキュリティ対策の方針は以下ように分かれます。

方針 発生頻度 影響度 内容
回避 発生頻度と影響度がともに高い場合で、原因の除去など発生頻度の低減の低減が重要です
低減 高~中 中~低 発生頻度と影響度がともに中程度の場合で、事前対策で発生頻度を下げ、事後対策で影響度を下げるバランスのとれた対策が必要です
移転 影響度が高いが発生頻度が低い場合で、アウトソーシングや保険での対処します(発生頻度が低いため、自分達では直接対策をしない)
受容 発生頻度と影響度が共に低い場合で、インシデント発生時の損失(残余リスク)を準備金等で負担します

 

タイトルとURLをコピーしました