経営を脅かすリスクになる?!情報セキュリティの必要性

経営を脅かすリスクになる?!情報セキュリティの必要性

個人・法人にかかわらずインターネットで個人情報を始め様々な情報がやりとりされるようになりました。それに伴い、不正に情報を取得しようとするハッキングなどの犯罪も増え、個人・法人にかかわらず、被害にあう危険性が高まっています。企業などの組織においては、営業機密、顧客情報など重要な情報を保有しているため、情報漏洩しないようセキュリティ対策をすることが必要です。

情報漏洩などの被害にあうと、組織の信用にかかわるだけでなく、謝罪金や謝罪広告費、セキュリティ対策費などに莫大な費用がかかるケースが少なくありません。企業として存続不可能なほどの損失となる可能性もあるため、情報セキュリティのリスクマネジメントをすることは、企業にとって重要な経営課題のひとつといえます。

主な情報セキュリティ事故

企業における主な情報セキュリティ事故として、以下のようなものがあげられます。

・個人情報の流出
・機密方法の流出
・ホームページの改ざん

社用PCのウイルス感染、ネットワークのセキュリティホールからの侵入などハッキングが要因になることもありますが、社員による持ち出し、情報機器の紛失などの人的要因によって事故が起こるケースも少なくなくありません。IT環境の整備だけでなく、社員に対する情報セキュリティ教育も重要な情報セキュリティ対策であることがわかります。

情報セキュリティの7要素

情報セキュリティ対策を行う際に、押さえておくべき基本要素として「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」という3つの要素が定義されてきました。現在では先の3つに新しく4つの要素が加わり、情報セキュリティの7要素を対策していくことが必要といわれています。情報セキュリティの7要素とは具体的にどのようなものなのか、詳しく説明していきます。

機密性(Confidentiality)

権限を持たない人が情報を見たり利用したりできないようにすること。情報についてパスワードを設定する、パーミッションで利用権限を制限するなどの対策を行って機密性を維持することが必要です。

完全性(Integrity)

情報が正確で完全な状態であることを維持することです。情報の改ざんや消去などを防ぐため、暗号化やエスケープ処理を行う、履歴のログ取得などの対策を行います。

可用性(Availability)

情報を利用したいときにアクセスや利用が可能な状態にし、システムや業務が停止しないようにすること。情報について定期的なバックアップの取得や予備サーバーを準備するなどの対策を行います。

真正性(Authenticity)

動作を行ったもの(システム、ユーザー等)が本物であることを証明することです。デジタル署名や二段階認証などによって対策します。

責任追跡性(Accountability)

ある動作について一連の動作を追跡できるようにすることです。アクセスログを取得することで、いつ誰がどの情報を取得したか追跡できるようになります。

否認防止(Non-repudiation)

ある活動・事象が起こったことを後になって否認されないように証明することです。デジタル証明やログに不備がないようにして、責任追跡性が行えるよう対策します。

信頼性(Reliability)

システムやプロセスなど意図する行動が矛盾なく一貫して動作すること。システムが不具合を起こさないよう、設計や構築を行うことで対策を行います。定期的に脆弱性診断を行って信頼性を維持することも大切です。

情報セキュリティの7要素を満たすことで、情報セキュリティ事故を未然に防ぐことが期待できます。社内整備が終わればISMS(情報セキュリティマネジメントシステム)の認定審査を受けることも可能になり、審査に通れば取引先や顧客に対し信頼や安心を与えることができます。

キャレット合同会社では、ISMSの取得を検討されている企業様をサポートする「セキュリティコンサルティングサービス」を提供するほか、ベトナムの関連会社を活用した「脆弱性診断」も行っています。情報セキュリティについてお困りのことがありましたらぜひ一度ご相談ください。

お問い合わせ

キャレット合同会社へのお問い合わせやご相談などがありましたら、以下のメールフォームよりお気軽にご連絡ください。

情報セキュリティカテゴリの最新記事