今やビジネスにおいて情報セキュリティに取り組むことは必須であり、避けることができません。そのため、企業も日夜どういったセキュリティ対策に取り組むか検討したり、従業員にセキュリティ教育を実施したりと、対応を進めています。
しかし、ビジネスの世界でも業界によってはまだまだ情報セキュリティという概念が浸透していないところもありますし、まだ社会に出たことのない学生さんなどは、情報セキュリティという言葉を聞いてもピンと来ない人も多いようです。
そこで以下では、大学生アルバイトや新入社員に向けた情報セキュリティの説明と、情報セキュリティを身近に感じていただくためのお話をしたいと思います。
また、情報セキュリティの方法についてはこちらの記事でご確認いただけます。あわせてお読みください。
「情報セキュリティ」とはそもそも何なのか?
就活生に「情報セキュリティって何かわかりますか?」と聞くと、曖昧な返事をもらうことが多いです。「SEC●MやALS●Kみたいなことですか?」「ウイルス対策とか、そんな感じのやつですよね…?」といったものです。
たしかに「情報」も「セキュリティ」もイメージがつきにくい単語ですし、それらが合体してしまった「情報セキュリティ」に至っては、いよいよイメージがしづらいかもしれません。
デジタル大辞泉で「情報」という言葉を検索すると、「ある物事の内容や事情についての知らせ。インフォメーション」と出てきます。
わたしたちの身近なところで「情報」の例を挙げてみると、
- スマホに登録されている連絡先
- LINEや各種SNSでのやり取り(メッセージやチャット、DMなど)の履歴
- 写真や動画
- 位置情報
- スマホや各種アプリなどにアクセスするためのID/パスワード
といったものが存在します。
あくまで例ですので、本当はもっとたくさん存在します。
また、ビジネスの世界での「情報」というと、例えば
- 従業員の履歴書
- 社内/社外でやり取りしたチャットやメールの履歴
- 新発売予定の製品情報
- 取引先の社名、担当者名、連絡先
- 契約書
といったものが挙げられます。
では、「セキュリティ」という言葉はどうでしょうか。
こちらはデジタル大辞泉で検索すると、「安全。また、保安。防犯。防犯装置」と出てきました。
つまり情報セキュリティとは、「ある物事の内容や事情についての知らせを”安全な状態で維持すること”」と言えます。
情報の「安全な状態を維持する」って、具体的にどうするの?
とはいえ「安全な状態を維持する」とは、具体的にどういうことをするのでしょうか。
それを知るためには、まず「情報セキュリティの三大要件」について理解すると良いでしょう。
「情報セキュリティの三大要件」とは、情報セキュリティに関する取り組みをおこなうにあたって必ず対応しなければならない3つの要素である、
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
のことを指します。
それぞれの頭文字を取って「CIA」と表現されることも多いです。
機密性(Confidentiality)
これは要するに、「情報が漏れないように対策しておきましょう」ということです。
「情報セキュリティ」=「機密性を確保すること」と考えている人も多いかと思いますし、三大要件の中で一番みなさんがイメージしやすいのではないでしょうか。
身近な例を挙げてみましょう。
みなさんがお持ちのスマートフォンは、ロックがかけられるようになっているかと思います。指紋認証・顔認証や、パスコードを設定するあれです。
それを設定すれば、指紋や顔の情報が登録されている人、もしくはパスコードを知っている人しかスマホのロックを解除して操作したり、スマホ内の情報を確認することができません。
一方でスマホにロックをかけていなければ、どうなるでしょう。スマホを拾った人などが、気軽にスマホを開き、あなたになりすましてSNSに投稿したり、LINEやDMのやり取りを盗み見たりするかもしれません。
つまり、スマホにロックをかけている状態は、かけていない状態に比べて機密性が高いと言えます。
完全性(Integrity)
こちらは、「情報が間違っていたり、改ざんされていたりしないようにしましょう」ということです。
例えば、普段あなたが利用しているSNSアカウントのIDとパスワードを、あなたはスマホのパスワード管理機能に保存していたとします。
しかし、その保存したIDとパスワードが間違っていたとすればどうでしょうか。改めてログインをしようとしても、そのIDとパスワードは間違っているので、ログインすることができません。パスワードを変更したり、場合によっては別でアカウントを作りなおしたりしなければいけないかもしれません。
このような状態のとき、あなたのID/パスワードの情報は「完全性が保たれていない」と言えます。
完全性を保つためには、「間違った情報を登録しない」「第三者が勝手に情報を書き換えられないようにする」といった対策が必要です。
可用性(Availability)
最後に可用性ですが、これは「情報を利用したいとき、いつでも利用できるように管理しておきましょう」ということです。
例えば、あなたはゼミの教授からレポート課題を出されたとします。提出期限に向けてコツコツとレポートを作成し、そのデータはUSBメモリで管理していました。8割ほどレポートが完成していたある日、残りの2割を書くためにUSBメモリ内のデータにアクセスしようとしたところ、USBメモリが壊れ、データが消失していました。
これはつまり、「可用性が損なわれている」状態となります。このような事態を防ぐためには、USBメモリ以外の場所でもバックアップを取っておくなどの対策が必要です。
上記の三大要件を満たした情報管理は、情報セキュリティ対策の第一歩であり、最も重要なポイントとも言えます。
企業では、三大要件を満たすためのルールについて記したマニュアルなどの文書を作成し、従業員はそのマニュアルに沿って各自でセキュリティ対策をおこなっていく、というのが一般的です。
ルールとしては、例えば下記のようなものが挙げられます。
- 業務で利用するPCやスマホにはかならずパスコードロックをかける
- 業務で利用した書類を廃棄する際は必ずシュレッダーにかける
- 契約書が入っているキャビネットには鍵をかけ、部長以上でないと開けられないようにする
- 重要な書類を書き替えるときは、ダブルチェックをおこなう
上記はほんのあくまで一例で、実際にはもっとたくさんのルールがあることが多いです。
このようなセキュリティに関するルールを設け、それを実行していくことこそが「安全な状態を維持する」ことに繋がります。
「どういったセキュリティルールを設ければよいのか」といった詳細については、総務省などから出されている指針やNIST、ISMSなどのフレームワークを利用して検討することが多いのですが、その点については説明すると長くなるので、本記事では割愛します。
ISMSにおけるセキュリティきょういくについてはこちらの記事をご参照ください。
情報セキュリティは意外と身近な存在
多くの人が情報セキュリティに対して「難しい」「大変」といったイメージを抱いています。
もちろん本格的な取り組みをおこなう際には、専門的な知識が必要になりますし、手間もかかります。しかし、みなさんも普段から何気なく生活している中で、たくさんの「セキュリティ対策」と触れ合っています。
上で例に出した「スマホへのパスコードロック」などが良い例でしょう。決して情報セキュリティは他人事でもないですし、小難しいことでもないのです。
みなさんが普段見られているドラマや映画、YouTubeなどでも、情報セキュリティを題材にしたものや、情報セキュリティについて考えさせられるものは多々あります。
いくつか例をご紹介いましょう。
映画『スマホを落としただけなのに』
恋人がスマホを落としたことをきっかけに、身の回りで様々なトラブルが巻き起こるミステリー映画です。全体的に出てくるキャラクターのセキュリティ意識が極端に低く、正直なところ「誰か一人でもセキュリティ意識が高い人がいれば、こんなことにならないのでは…?」ということの連続です。
セキュリティについて考えるための入門としては、最適かと思います。
映画『イミテーション・ゲーム/エニグマと天才数学者の秘密』
第2次世界大戦でドイツが利用していた世界最強と言われる暗号「エニグマ」を解読した数学者アラン・チューリングの伝記映画です。
普段わたしたちが何気なく利用している暗号化技術の歴史を感じることができます。「複雑な暗号を解くことの難しさ」や「どれだけ複雑な暗号でも、それを超える技術の前では無力化する」ということをリアルに感じることができる映画です。
YouTube『【壮大ドッキリ】まさかの方法で東大生のスマホのデータ抜いてみた』
ウイルス対策ソフトで有名なシマンテック社による提供で、セキュリティに関するクイズとドッキリをおこなっている企画です。13分ほどの動画でセキュリティに関する知識を学ぶことができるだけではなく、情報漏えいの怖さも学べる内容となっています。
情報セキュリティについて詳しく勉強するのは大変ですが、こういったメディアコンテンツから考えることで、情報セキュリティをより身近に感じることができます。
こうしたコンテンツも活用しつつ、しっかりと適切な情報セキュリティ教育をして従業員のリテラシーを高めていきましょう。
