インターネットは便利ですが、大切な情報が外部に漏れたり、悪意ある第三者に不正アクセスされたり、コンピューターを乗っ取られたり、様々なリスクも潜んでいます。
業務で個人情報を扱う以上、ビジネスにおいて情報セキュリティに取り組むことは必須であり、避けることができません。
ですが、情報セキュリティと聞いても、具体的にどんなことをすればいいのか、どのように情報セキュリティを学べばいいかわからないという方も多いのではないでしょうか。
今回は、情報セキュリティとは一体なんなのか解説し、身近な具体例や、情報セキュリティが理解できる映像を紹介します。
新入社員やアルバイトに対する教育に、ぜひお役立てください。
また、こうした教材を利用した従業員セキュリティ教育のやることをまとめたToDoリストを無料で配布しています。
併せてご利用ください。
「情報セキュリティ」とはそもそも何なのか?
情報セキュリティはサイバーセキュリティとも呼ばれ、インターネットを安心して利用できるよう、情報の「機密性」「完全性」「可用性」を維持し、情報の安全な状態を確立することです。
総務省は、情報セキュリティを以下のように定義しています。
情報セキュリティとは、私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それが情報セキュリティ対策です。
総務省:安心してインターネットを使うために 国民のための情報セキュリティサイト
情報の「安全な状態を維持する」って、具体的にどうするの?
「安全な状態を維持する」とは、具体的にどういうことをするのでしょうか。
それを知るためには、まず「情報セキュリティの三大要件」について理解する必要があります。
「情報セキュリティの三大要件」とは、情報セキュリティに関する取り組みをおこなうにあたって必ず対応しなければならない3つの要素である、
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
のことを指します。
それぞれの頭文字を取って「CIA」と表現されることも多いです。
それぞれ解説します。
機密性(Confidentiality)
機密性とは「情報が漏れないように対策する」ということです。
「情報セキュリティ」=「機密性を確保すること」と考えている人も多いかと思いますし、三大要件の中で一番みなさんがイメージしやすいのではないでしょうか。
身近な例を挙げてみましょう。
例えば、あなたのスマートフォンには「ロック」がかかっていると思います。
それは数桁のパスコード、指紋認証、顔認証など様々な種類がありますが、そのロックを付けている理由は何でしょうか。
その理由は「自分以外に勝手にスマートフォンを利用されて、個人情報を見られたくないから」ですよね。
もし、ロックがなければスマートフォンを落とした時、名前や電話番号、SNS やメールといった個人情報が簡単に見られる状態になってしまいます。
このように、情報が第三者に勝手に閲覧できないように対策することを機密性といいます。
完全性(Integrity)
完全性とは、「情報が間違っていたり、改ざんされたりしない状態を維持すること」です。
例えば、あなたが普段利用している SNS アカウントの ID とパスワードを、スマホのパスワード管理機能に保存していたとします。
しかし、その保存した ID とパスワードが間違っていたとすればどうでしょうか。
改めてログインをしようとしても、その ID とパスワードは間違っているので、ログインすることができません。
パスワードを変更したり、場合によっては別でアカウントを作りなおしたりしなければいけないかもしれません。
このような状態のとき、あなたのID/パスワードの情報は「完全性が保たれていない」と言えます。
完全性を保つためには、「間違った情報を登録しない」「第三者が勝手に情報を書き換えられないようにする」といった対策が必要です。
可用性(Availability)
可用性は「情報を利用したいとき、いつでも利用できるように管理しておくこと」です。
例えば、あなたはゼミの教授からレポート課題を出されたとします。
提出期限に向けてコツコツとレポートを作成し、そのデータはUSBメモリで管理していました。
8割ほどレポートが完成していたある日、残りの2割を書くためにUSBメモリ内のデータにアクセスしようとしたところ、USBメモリが壊れ、データが消失していました。
これは「可用性が損なわれている」状態となります。
このような事態を防ぐためには、USBメモリ以外の場所でもバックアップを取っておくなどの対策が必要です。
上記の三大要件を満たした情報管理は、情報セキュリティ対策の第一歩であり、最も重要なポイントとも言えます。
企業では、三大要件を満たすためのルールについて記したマニュアルなどの文書を作成し、従業員はそのマニュアルに沿って各自でセキュリティ対策をおこなっていく、というのが一般的です。
ルールとしては、例えば下記のようなものが挙げられます。
- 業務で利用するPCやスマホにはかならずパスコードロックをかける
- 業務で利用した書類を廃棄する際は必ずシュレッダーにかける
- 契約書が入っているキャビネットには鍵をかけ、部長以上でないと開けられないようにする
- 重要な書類を書き替えるときは、ダブルチェックをおこなう
上記はほんのあくまで一例で、実際にはもっとたくさんのルールがあることが多いです。
このようなセキュリティに関するルールを設け、それを実行していくことこそが「安全な状態を維持する」ことに繋がります。
「どういったセキュリティルールを設ければよいのか」といった詳細については、総務省などから出されている指針やNIST、ISMSなどのフレームワークを利用して検討することが多いのですが、その点については説明すると長くなるので、本記事では割愛します。
ISMSにおけるセキュリティ教育については「ISMS 教育では何をすればいいの?求められている事から、具体的な実施方法まで」をご参照ください。
また、情報セキュリティにおける脅威については、「情報セキュリティ対策の種類とは?基本や代表的なサイバー脅威も解説」でも解説しているので、あわせて参考にしてみてください。
情報セキュリティは意外と身近な存在
「情報セキュリティ」という言葉だけ聞くと、多くの人が「なんだか難しそう」「大変そう」といったイメージを抱くのではないでしょうか。
もちろん本格的な取り組みをおこなう際には、専門的な知識が必要になりますし、手間もかかります。
ですが、先ほど例に出した「スマ―トフォンのロック」のように、皆さんは日常的にたくさんの「セキュリティ対策」と関わっています。
身近な「情報」の例を挙げてみると、
- スマホに登録されている連絡先
- LINEや各種SNSでのやり取り(メッセージやチャット、DMなど)の履歴
- 写真や動画
- 位置情報
- スマホや各種アプリなどにアクセスするためのID/パスワード
といったものが存在します。
また、ビジネスの世界での「情報」というと、たとえば、
- 従業員の連絡先
- 社内/社外でやり取りしたチャットやメールの履歴
- 新発売予定の製品写真や動画
- 取引先の社名、担当者名、連絡先、住所
- 契約書
といったものが挙げられます。
こうしてみると、かなり普段から関わっている情報と共通している点が多いと思うのではないでしょうか。
決して情報セキュリティは他人事ではなく、そして難しいものではないのです。
また、ドラマや映画、YouTube などでも、情報セキュリティを題材にしたものや、情報セキュリティについて学ぶことができる作品も存在します。
いくつか例をご紹介します。
映画『スマホを落としただけなのに』
恋人がスマホを落としたことをきっかけに、身の回りで様々なトラブルが巻き起こるミステリー映画です。
全体的に出てくるキャラクターのセキュリティ意識が極端に低く、正直なところ「誰か一人でもセキュリティ意識が高い人がいれば、こんなことにならないのでは…?」ということの連続です。
セキュリティについて考えるための入門としては、最適かと思います。
映画『イミテーション・ゲーム/エニグマと天才数学者の秘密』
第2次世界大戦でドイツが利用していた世界最強と言われる暗号「エニグマ」を解読した数学者アラン・チューリングの伝記映画です。
普段わたしたちが何気なく利用している暗号化技術の歴史を感じることができます。
「複雑な暗号を解くことの難しさ」や「どれだけ複雑な暗号でも、それを超える技術の前では無力化する」ということをリアルに感じることができる映画です。
YouTube『【壮大ドッキリ】まさかの方法で東大生のスマホのデータ抜いてみた』
ウイルス対策ソフトで有名なシマンテック社による提供で、セキュリティに関するクイズとドッキリをおこなっている企画です。
13分ほどの動画でセキュリティに関する知識を学ぶことができるだけではなく、情報漏えいの怖さも学べる内容となっています。
情報セキュリティについて詳しく勉強するのは大変ですが、こういったメディアコンテンツから考えることで、情報セキュリティをより身近に感じることができます。
こうしたコンテンツも活用しつつ、しっかりと適切な情報セキュリティ教育をして従業員のリテラシーを高めていきましょう。
また、LRMがご提供している「セキュリオ」では、情報セキュリティ教材のサンプルを無料で配布しています。参考にしてみてください。
世の中で発生している情報セキュリティ脅威
では、実際に世の中で発生している情報セキュリティの脅威には、いったいどんなものがあるのか、IPA 独立行政法人 情報処理推進機構が発表している、「情報セキュリティ10大脅威2022」より一部抜粋して紹介します。
ランサムウェアによる被害
ランサムウェアとは、身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語で、ファイルを勝手に暗号化して使えなくしたり、削除できないポップアップを表示し続け、金銭を要求するソフトウェアです。
特にインターネット上のサイトにアクセスした際に仕込まれたり、メールで送られてきた添付ファイルから感染するケースが多いため、セキュリティソフトを導入したり、提供元が不明の怪しいサイトにはアクセスしないことが重要です。
フィッシングによる個人情報等の詐取
フィッシングとは、通販サイトやクレジットカード会社といった実在する組織からの連絡に見せかけ、個人情報の抜き取るものです。
例えば「アカウントが停止されています」「高額な請求が来ています」というように身に覚えのない文面で、関心を引き、本物のサイトに似せたサイトへアクセスさせ、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を入力させて、情報を集めます。
対策として、本当にそのサイトからそんなメールが来るのか、メールアドレスにおかしい点はないか、リンク先のサイトに、日本語が不自然だったり、デザインやURLに違和感はないか確認しましょう。
標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の組織や個人を対象に行うサイバー攻撃です。
無差別なサイバー攻撃ではなく、狙った相手へピンポイントに攻撃をするので、大手企業や銀行といった所有している個人情報が流出した場合、大きな被害につながる可能性が高い組織が狙われやすいです。
対策として、座学での標的型攻撃メールについての教育をしたり、実際にメールをテストで送り、社員がメールを開かないか確認し、注意喚起をするのが有効です。
サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、システム・サービスを構成するソフトウェア、ハードウェア、サービス、サーバといった各種システムの提供/利用の関係を表します。
例えば、自社でサーバーを保有せず、外部のサーバーをレンタルして顧客情報を保存していた場合、その外部サーバーを運営している企業をサイバー攻撃を受けると、自社の顧客情報が流出してしまう可能性があります。
対策として、「セキュリティ体制は万全か」「過去に情報流出の問題はあったか」サプライチェーン(委託先や委託元)の業務実態を把握し「この企業に個人情報や、機密情報を渡しても問題ないか」を精査しましょう。
テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウイルスの影響でテレワークの利用が広がっていますが、監視の目が行き届かないケースが多く、コンピュータウイルスに感染してしまったり、USBといった端末の紛失や盗難のリスクが高まります。
対策として、教育を徹底し、社員のセキュリティ意識を高めることが重要です。
まとめ
情報セキュリティについて解説しました。
セキュリティと聞くと、かなり難しいものと感じるかもしれませんが、苦手意識を持つ必要はありません。
セキュリティの基本は、「パスワードをかける」「定期的にパスワードを変更する」といった、決められた運用ルールを忠実に守ることです。
社員にセキュリティを守ることの重要性を伝え、企業全体のセキュリティ意識を向上させましょう。
情報セキュリティの教育に役立つサービスは、こちらの記事で紹介しています。
こちらもあわせてご覧ください。
