情報システムセキュリティとは、
情報システムの機密性、保全性及び可用性を確保することを目的として
自然災害、機器の障害、人間の故意、人間の過失等のリスクを
未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図ること
と定義されています。
何を守るのか
とかく情報セキュリティというと、ウイルスや不正アクセスなどが話題になりますが、それはインターネットセキュリティであり、非常に狭い概念だといえます。また、上の定義は、コンピュータシステムを対象にしたもので、これも狭義の概念です。広義には、紙の文書なども含めた情報資産全体を守ることが目的であり、リスクには、書類の紛失や盗難なども含まれます。
個人情報漏洩が大きな話題になっていますが、個人情報は情報資産の主要な一部です。情報セキュリティ対策のうち、対象を個人情報に特化したものが個人情報保護だと考えるのが妥当です。それで、情報セキュリティ対策と個人情報保護とは矛盾するものではなく、一方で重視される事項は他方でも重要事項です。その推進方法もほぼ同じです。
また、事業継続計画(BCP:Business Continuity Plan)が重視されています。サービス全般の継続が目的ですが、業務の多くで情報システムを利用しているため、情報セキュリティ対策はBCPの主要な一部になっています。
何から守るのか
- 自然災害
- 地震、水害、火災などの脅威です。自然災害以外でも、インフルエンザの流行や大規模停電などの場合、操作員が出社できない、電源がないなどのためにシステムが稼働できなくなります。発生頻度は小さいのですが、発生したときの影響は非常に大きくなります。
- 機器の障害
- 重要なハードウェアやネットワークは二重化しておき、障害が起こっても最低限の処理ができるようにすることです。データを複数の記憶媒体に記録する程度のことから、2系統のコンピュータで処理する、さらには、複数のコンピュータセンターを設置するまで、多様な対策があります。
これは社員にもあてはまり、担当する社員の病欠や退社に対処できるように、重要任務には2人を任命しておくべきです。
- 人間の故意
- ウイルス、不正アクセス、不正漏洩などです。
- 人間の過失
- プログラムミス、データの誤入力、誤配送、文書やUSBメモリの紛失など非常に多様です。情報漏洩のトラブルでは、これが大多数を占めています。
守るとはどのようなことか
- 未然防止
- これが最重要なことはいうまでもありません。地震対策でコンピュータを耐震構造の建物に設置すること、ウイルス対策でアンチウイルスソフトを用いること、不正アクセス対策でファイアウォールを設置すること、関係者全員がセキュリティについて高い認識をもつことなどがこれにあたります。
- 影響の最小化
- 未然防止には限度があります。ウイルスに感染したパソコンは直ちにLANケーブルを外して他のパソコンに伝染するのを防ぐこと、個人情報が漏洩したときは関係先に正しい情報を伝えて信用を維持することなどです。
- 回復の迅速化
-
- データのバックアップをとっておくこと、予備の機器を用意しておくことなどがこれにあたります。ここで重要なことは、実際に事故が発生したときに対応する手順を周知しておき、演習訓練をしておくことです。これが徹底していないと、回復作業が長引くだけでなく、2次災害を引き起こすことが多いのです。
守るにはどうすればよいか
- 機密性(守秘性)(Confidentiality)
- 許可された者が許可された方法でのみ情報にアクセスできることを確実にすること。
- 完全性(Integrity)
- 情報及び処理方法の正確さ及び完全である状態を安全防護すること。
このインテグリティは、完全性、保全性、一貫性など多様な訳語がありますが、どうも適切なものがなく、専門家は訳さずにインテグリティといっています。
- 可用性(Availability)
- 許可された利用者が、必要なときに情報にアクセスできることを確実にすること。
機密性、保全性、可用性の英語の頭文字をとってCIAといいます。このCIAが不十分なことを、脆弱性といいます。
脅威(リスク)そのものをなくすことはできません。しかし、CIAを確保すること、すなわち、脆弱性を減らすことにより、脅威が事件や事故(インシデント)になるのを防ぐことはできます。すなわち、情報セキュリティ対策とは、
脆弱性を減らして、リスクがインシデントになるのを減らすこと
だと定義できます。