解説記事
情報セキュリティ
情報セキュリティG 槌谷 祐一
タウンニュース横須賀版2023年3月17日号にサイバー攻撃「中小企業も対策を」との横須賀商工会議所の啓発記事がありました。同記事によると、パソコンやサーバーなどのネットワークに侵入し、システム破壊や情報搾取の被害が拡大し、近年セキュリティ対策が脆弱な中小企業が狙われており、大手企業を攻撃するための入口とするケースが散見されるという。同商工会議所では今年度に「YOKOSUKA情報セキュリティ・プロジェクト(仮称)」を立上げ、サイバー攻撃に対する防備を地域全体で推進する方針を打ち出しています。当会はかねて神奈川県印刷工業組合の会員企業様にPISM(Printing Information Management System)構築・審査等支援を行っていますが、広く中小企業様の情報セキュリティ支援もサポートしていきたいと考えています。
さて、情報セキュリティは、近年サイバー攻撃の脅威が目立ち、サイバー空間に注目されがちですが、過去の経緯(次ページ図1及び図2)を見ると10年前は紙媒体からの漏洩事故が多かったのですが、近年では、インターネットや電子メールあるいは不正アクセスなどサイバーセキュリティの事故が増加しており、サイバー空間の脅威が増大していることが分かります。
情報セキュリティとは、ISO27000(情報セキュリティマネジメントシステム)ファミリーでは情報資産の機密性・完全性・可用性を維持することと定義されています。情報資産には顧客情報・営業情報・財務情報・技術情報・各種情報機器・システムまた電子媒体化されていないノウハウ等の情報も含みます。情報は企業や組織運営の重要な財産で、経営資源です。最近ではサイバーセキュリティという言葉も多く見かけますが、広範な情報資産を対象にする情報セキュリティに対し、サイバー空間(インターネット・コンピュータネットワーク等)を対象にする用語です。現在では電子情報化が進んでいますので情報セキュリティの大部分が対象になるといえます。しかし、マイナンバー等の紙資料保存の場合、サイバーセキュリティの対象範囲ではありませんが、情報セキュリティの対象範囲であるといえます。
機密性:許可された者だけが、情報にアクセスできるようにすることです。
完全性:情報や情報処理の方法が、正確で完全であること。例えば、不正アクセスで情報が改ざんされたり変更されないように適切な保護を行うこと。
可用性:許可された者が、必要な時に情報や情報資産にアクセスすることを確実に行えること。コンピュータのウイルス感染や自然災害によるシステムダウンなどで情報が使えなくなるなどを防ぐことで確保されます。
情報セキュリティとは、情報を保護し、機密性・完全性・可用性の三要素を確保するための活動やプロセスを指しますが、そのため、機密情報が不正に閲覧されたり、改ざんされたり、削除されたりすることを防ぐために、情報を適切に管理することを目的にしています。
具体的には下記の活動が含まれます。
- リスクアセスメント:情報資産に対する脅威やリスクを評価し、適切なセキュリティ対策を実施する基盤を構築する。
- セキュリティポリシー策定:情報セキュリティに関する基本方針を定め、従業員が守るべき規定を策定し、情報セキュリティを促進する。
- セキュリティ対策の実施:リスクアセスメントの結果に基づき、情報セキュリティに関する技術的・物理的・組織的な対策を実施する。
- セキュリティ教育・訓練:従業員に対して、情報セキュリティに関する教育・訓練を行い、情報セキュリティ意識を高める。
- セキュリティ内部監査:セキュリティ対策の効果を確認するための監査を実施する。
以上
