アクセス権限を持つ者だけにアクセス権限を付与する「機密性」とは
情報セキュリティ3要素の一つである『機密性』とは、企業や組織が所有する情報資産に対して、“決められた人以外は情報にアクセスできないようにすること”を言います。企業や組織が所有する情報資産には「顧客や従業員の個人情報」や「新商品や新サービスなどの情報」、「企業の財務情報」など第三者の目に触れてはいけない情報があります。
もし、不特定多数の従業員がこのような情報資産にアクセスできる
環境
になるとヒューマンエラーによる情報流出や悪意のある従業員からの情報改ざんなど情報セキュリティの不十分さから社会的問題に発展するケースがあります。
このようなリスクを回避するため、あらかじめ決められた人だけが情報にアクセスできる仕組みを導入することで情報資産を守ることができます。
目次
機密性の仕組みについて知る
なぜ、企業や組織が所有する情報は制限をするのか?
会社や組織が取り扱う情報資産には業務で使用する重要性の高い情報があります。例えば、製品にまつわる技術情報や会社の今後を有させる戦略情報、お客様の情報などさまざまです。これらの情報が不正アクセス等で外部に流出した場合、会社の株価や信用はもちろん、お客様の個人情報が悪用されてしまうなどのトラブルに発展してしまいます。
そのため、情報資産にアクセスできる人間を限定することで、情報流出などのリスクを最小限に抑える必要があるのです。アクセスできる人間を管理することで、もしトラブルが生じても原因解明も行うことができ、今後の厳重なセキュリティ構築も可能です。
「機密性」を維持することでどのようなトラブルを事前に防ぐことができるのか
近年、企業の個人情報流出など情報セキュリティにまつわるトラブルが目立ってきました。なぜ、このような情報セキュリティにまつわるトラブルが生じてしまうのでしょうか。それは企業が持つ情報資産に対してアクセスできる人間が管理できていなかったり、情報資産の取り扱いに対してルールが決められていなかったりするからです。
例えば、社員全員に企業が所有する情報資産へのアクセスが許された場合、悪意のある社員による情報改ざんや流出、不正プログラムの埋め込みなど行われる可能性があります。昨今では派遣社員や下請けの会社の社員など自社の社員以外の出入りがある企業もあるでしょう。そのため、事前に情報資産へのアクセスできる人間を決めておくことで、被害を防ぐことができます。
不正アクセスの手口とは
不正アクセスとは悪意のある第三者が企業や組織が所有する情報資産にサーバーや情報システムに侵入することです。主な手口としては上記のなりすましやセキュリティの脆弱性をついた侵入があります。
なりすましは、悪意のある第三者が正規利用者のアカウント情報(ユーザーIDやパスワード)を盗み出して、本人になりすましてログインすることです。盗み出す手口としてはフィッシングサイトなどが有名で、大手サイトの偽物を用意し、そこでユーザーIDとパスワードを入力させて盗み出すわけです。パスワードの使い回しをしてしまうと悪意のある第三者はさまざまなサイトでログインを試みるので一網打尽にログインされてしまいます。そのため、パスワードの使い回しは危険であり、サービスやサイトごとに使い分けることが望ましいです。会社のシステムへのログインもこのようなパスワードの使い回しで侵入される可能性があります。
セキュリティの脆弱性をついた侵入は、企業のPCにウイルスを感染させてそこから侵入するという手口です。上記のユーザーIDとパスワードを盗み出す手段として使われます。
企業の場合はメールにウイルスが添付して送られるケースが多々あるので、知らないメールアドレスに対してむやみに展開しないことが理想です。
「機密性」を保つために
機密性を保つためには、上記の実施内容を行います。当然ですが、機密情報にはアクセスできる人間に権限を付与し、使用するPCなどの情報デバイスには最低限のセキュリティ対策が行われているのかを確認します。その上で機密情報の種類(紙媒体あるいは電子データ)ごとに保管先を決めて、アクセス許可者・アクセス権限など「アクセス権の管理方法」について企業や組織でルールを策定しましょう。そのルールに従い、アクセス権管理者がシステム運用・維持を行います。
電子データの保管について
IT企業を中心に多くの企業が機密情報を電子データで取り扱う様になってきました。電子データにしたことで気軽にデータにアクセスできる反面、窃取・紛失、盗聴など悪意のある第三者がファイルにアクセスすることで見知らぬうちにデータを盗み出すことも用意になっています。このような事態を防ぐためにファイルやフォルダにアクセス権を付与することで、機密性を高める必要があります。
アクセス権限の設定方法については、パソコンの利用環境やファイルサーバーの導入の有無、ユーザー認証システムの導入の有無など企業や組織が取り扱う情報資産の管理方法によって異なります。
クライアントPCでのセキュリティ対策
情報を管理するサーバーにアクセスできるクライアントPC。サーバーのセキュリティだけ高めていてもクライアントPCが悪用されてしまえば意味がありません。そのため、普段利用するPCのセキュリティを高めることも重要です。
主なセキュリティ対策方法としては、セキュリティ対策ソフトの導入やOSやアプリケーションを常に最新の状態にしておきます。また、クライアントPC同士でファイルのやり取りをする場合は、直接やり取りするのではなく、サーバーを介して行いましょう。
パスワードの重要性
機密情報にアクセスする際に必ず必要なパスワード。これが第三者に知られてしまうと悪意のある第三者が本人になりすまして機密情報にアクセスすることが出来てしまいます。これは企業だけの問題ではなく、個人でインターネットを利用する際にも同様のことが言えます。
パスワード管理で注意すべきこと
- パスワードは設定可能な限り、「英小+英大+数字+特殊記号」のように色々な文字を組み合わせ、10桁以上にします。
- 辞書にある単語や電話番号、パスポート番号、誕生日など推測されやすい文字の組み合わせは避けます。
- パスワードの使いまわしはやめましょう
- パスワード管理ソフト(パスワードジェネレーター)を利用する場合、信頼できる提供元のソフトを選びます
- パスワード情報をクラウドに保存するソフトは、流出リスクを伴うため、提供元のリスク対策についての確認が必要です。
- パスワードはブラウザに保存しないようにしましょう。
- パスワード情報は「256 ビット AES」 で暗号化
パスワード文字の組み合わせと桁数
例1. 「asd4hvb9nm」(10桁)
英数字を含めて8文字以上ですので、漏洩リスクが極めて低いように見えますが、専用解析ツールを使うことで、以下のように「4日」で解析できるといわれています。
| 英小(or英大)+数字 10桁 | 解析時間 4日 |
|---|---|
| 英小(or英大)+数字 12桁 | 解析時間 3000日 |
例2. 「a#Pty%s7」(8桁)
| 文字数: 英小+英大+数字+特殊記号 10桁 | 解析時間 6年 |
|---|---|
| 文字数: 英小+英大+数字+特殊記号 12桁 | 解析時間 3万4千年 |
| 文字数: 英小+英大+数字+特殊記号 8桁 | 解析時間 9時間 |
※解析ツールやコンピュータの精度によって解析時間は異なりますが、精度が高ければさらに短時間で解析されます。
まとめ
情報セキュリティ三大要素の中でも基本的な対策である「機密性」。企業や組織のデータベース以外でも個人が使用するアカウントにも共通して言えることはあるのではないでしょうか。
昨今ではIT企業以外にも情報を電子で管理する企業は業種の枠を超えて増えており、情報セキュリティに関する知識も高めないといけません。面倒だから共有アカウントを不特定多数で使い回すという危険なことはできるだけ避けて、個々人が情報セキュリティの意識を高めて企業の情報資産を守る必要があるのです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい