日々のニュースでは、「〇〇企業、〇〇〇万人分の個人情報が流出」「顧客情報紛失」「従業員が顧客の機密情報を保存する会社のパソコンを顧客訪問中に紛失」など情報漏洩に関する事件・事故についての報道が多くなりました。セキュリティ・インシデントを防止するための対策、つまり情報流出による企業信用の失墜や損害など企業活動において不利益を被ることのないよう情報資産を適切に維持管理することが「情報セキュリティ」です。
企業が守るべき情報を明確にし、自社の資産情報を脅かす具体的な 脅威 について洗い出し、攻撃の手口など理解した上で適切な対策を講じなければなりません。

JIS規格における情報セキュリティとは?

JISQ27000:2019では、情報セキュリティとは情報の機密性完全性可用性を維持することと定義されおり、真正性 ・責任追跡性・否認防止・信頼性などの 特性 を含めることもあります。

機密性

組織の機密情報が外部に漏洩・不正アクセスされないよう情報にアクセス制限をかけ、利用許可のない者やIT機器・ソフトウェア/社内システム等に情報(データ)を使用させいないこと。

完全性

保有する情報に重複・欠落・不整合がなく「正確・完全」で、かつ「最新の状態」にあることを保証するもの。

可用性

アクセス許可された者が、必要なときに、組織が運用する情報システムを利用でき、必要な情報(データ)を入手・操作できるようにすること。

真正性

利用者・情報・ソフトウェア・ITデバイス・物理的メディア等その正当性を証明できるようにすること。

責任追跡性

操作履歴やログイン履歴などをログから情報操作・動作状況など遡及できるようにし、利用者やシステム管理の責任を明確にすること。

否認防止性

情報操作可能なものが操作事実や発生した事象を、後から否認できないようにすること。

信頼性

ソフトウェアや情報システムが仕様的欠陥や不具合なく正常に稼働し、安定していつでも利用できる状態にあること。

組織における情報セキュリティ

情報セキュリティにおける脅威は、IT機器やインターネットなどの利用環境や情報の機密性、ユーザーの立場等によって異なりますが、一人一人のユーザーがそれぞれの状況の中で、情報セキュリティに対する意識やリテラシーを向上させることが大切です。

情報セキュリティは広範囲なので、優先順位をつけて対策を

【情報セキュリティの被害】

数人程度のオフィス・ショップでもない限り、企業では規模にかかわらず社内ネットワークを利用しており、ネットワークには複数台のコンピュータが接続されています。ウイルスの感染は一瞬です。セキュリティ対策が不十分な環境下では、たった1台のコンピュータからウイルスが感染拡大します。また企業で取り扱う企業情報は、多種多様な形で社内や社外とやりとりされています。ユーザーの故意・不注意にかかわらず社外に情報が流出した場合、大きな損害に発展する可能性もあります。

【情報セキュリティ対策は効率・効果的に実施】

情報セキュリティ対策は組織全体で取り組まなければなりませんが、情報を取り扱うすべての媒体/通信回線、人、仕組みに対しセキュリティ対策が必要となり、非常に広範囲となります。セキュリティ対策は優先順位をつけて、効率・効果的に実施しましょう。
   
≪優先順位のつけ方≫

  • 情報セキュリティの3要素である「機密性」「完全性」「可用性」のバランスを考慮した対策を実施する。
  • 情報セキュリティ基本対策の実施 *1 
    ウイルス対策ソフトの導入/パスワード管理の強化/セキュリティパッチ適用、(Microsoft社から提供される更新プログラムなど)/Web閲覧やメールのフィルタリング機能をもつセキュリティ製品の導入/Web改ざん対策/標的型攻撃対策/スマートフォン・タブレット端末への対策 *2

*1 (当サイトの「【2020年】情報セキュリティ10大脅威とは」参考)
*2 スマートフォンが普及し、積極的にBYOD(Bring Your Own Device)を導入する企業が増えているものの、特に中小企業では私物端末利用の管理が難しく、黙認・放置されているのが実情で、BYODへのセキュリティ対策が急務となっています。
そこで、サードベンダーが提供するMDM(Mobile Device Management)サービスの導入や、自社で「利用ルール」を策定し、紛失・盗難時の対策とてし「紛失・盗難時のデータ消去アプリ」の導入をご検討されては如何でしょうか。
※MDMの価格は、1台あたり月額300円、初期費用0円が業界標準です。

  • IPAでは、年度ごとに情報セキュリティに関するさまざまな調査報告書が公開されていますので参考にされると良いでしょう。
    ※例「情報セキュリティ10大脅威」「情報セキュリティに対する意識調査」等

企業情報のデータ保全

突然サイバー攻撃を受けて業務データが改ざん・削除されるなど業務データの復元が必要になるかもしれません。人的操作ミスでデータが消失することもあります。
そのようなトラブル時に迅速に復元できるよう、業務テータは必ずバックアップしておきましょう。

企業が保有する業務データは、一般的には毎日あるいは定期的にクラウドサービスや
オンプレサーバー等を利用してバックアップしています。

情報システム管理者への要求

自社にIT管理部門があり情報システム管理者(あるいはIT管理者)がいる場合、上記情報セキュリティ基本対策の他、情報セキュリティポリシーやセキュリティに関する社内規定の策定、情報資産への詳細なアクセス権管理(設定)、IT機器管理(撮影機能をもつデバイス含む)やメディア管理、従業員への情報セキュリティ教育、内部不正や不正侵入・ハッキングへの対策など、さまざまな情報セキュリティ対策が要求されます。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。