組織、技術、人…“情報セキュリティ”の要とは?

IT・IT製品TOP > Key Conductors > 天野 哲也(パナソニック ソリューションテクノロジー株式会社) > 組織、技術、人…“情報セキュリティ”の要とは?
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

組織、技術、人…“情報セキュリティ”の要とは?

エンドポイントセキュリティ 2015/10/16

何から始めればいい?情報セキュリティ脅威への対策

  情報セキュリティ脅威といえば、最近では標的型攻撃メールや内部不正による情報漏洩が取り沙汰されています。他にも金融機関などを騙り、偽のメールを送ることによって偽のWebサイトへ誘導しクレジットカード情報等を盗むフィッシング詐欺や、入手したパスワードリストを用いて、攻撃対象のサイトでログインを試行するリスト型攻撃なども、相変わらずその被害が多い状況となっています。

  またパソコン以外の情報端末であるタブレットやスマートフォンが普及してきたため、それらを対象とした悪意のあるアプリにより、端末内の電話帳等の個人情報を盗まれたり、乗っ取られたりする被害も増えています。

  更にSNS(ソーシャルネットワーク)が身近になってきたため、気軽に情報発信が出来るようになり、設定ミスによる情報漏洩や炎上などの脅威もここ数年増加しています。右図のIPA(独立行政法人 情報処理推進機構)がまとめた脅威の変遷のように、情報セキュリティ脅威は攻撃者の手口が巧妙化かつ複雑化しており、更に新しい情報端末の普及やSNSの利用が普及したため、新たな脅威が発生しています。 

 次々と新たな脅威が生まれ、それにともない必要な対策が増え続けることによって「うちは何からやればいいのか…」と途方に暮れてしまう方も少なくありません。すべての脅威へ対策を行うことが出来ればそれに越したことはありませんが、それらは金銭的な面など、リソースで大きな負担となります。

脅威の変遷

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

脅威の変遷
IPA:2014年度版 情報セキュリティ10大脅威

  では本当にすべての脅威について、対策を実施する必要があるのでしょうか?

情報セキュリティ脅威から“守るべきもの”とは?

  すべての情報セキュリティ脅威に対する対策が実施できれば、それが一番望ましいでしょう。しかし現実的にそれは不可能だと思います。それでは、どの脅威に対してどのような対策を実施すべきなのか、それらを考えましょう。 

 ただし「どの対策を実施するか」を検討する前に、明確にしてほしいことがあります。 

 それは「どこにあるどんなものを守りたいのか」ということです。そもそも情報セキュリティとは多くの脅威から「守るべきもの」を守るために行なうものです。対策を実施する前に改めて確認をして下さい。事業を継続していくために「守るべきもの」とは一体何なのかということを。

  通販を主たる業務としている企業は「顧客情報」、メーカーでは「新製品の技術情報」や「試作品」など…業務内容によって守るべきものは違ってくるはずです。守るべきものが違ってくれば、それを守るための対策も自ずと変わってきます。画一的に世間と同じ情報セキュリティ対策を実施すればいいというわけではないのです。
 事業を継続していくために「本当に守るべきものを守れているのか」を精査することで、どの脅威にどのような対策を実施すべきかが明確化され、本当に必要な対策の範囲がはっきりと見えてくるはずです。

情報セキュリティの要は「人」だった!

  守るべきものとその範囲が明確化されたら、対策を実施していきます。その対策を実施する上でポイントがあります。それは組織的対策、技術的対策、物理的対策、人的対策の4つです。

・組織的対策
経営層が中心に構築していく情報セキュリティ方針や情報セキュリティ推進体制、規程などを整備すること
・技術的対策
情報システムのアクセス管理や、ログ監視やネットワーク監視などを行なうこと
・物理的対策
入退室のログ管理、監視カメラの設置、守るべきものを取り扱う場所の管理を行なうこと
・人的対策
従業員へ規程などのルールの周知徹底や継続的な教育を行なうこと

 これら4つの対策を行っていくことで、企業の情報セキュリティの意識を高めていくことができます。更に情報セキュリティの意識を高めていくために最も注力すべき対策は、人的対策となります。それは何故でしょうか?

漏えい原因比率

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

漏えい原因比率
JNSA:「2013年情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」図3-8:漏えい原因(件数)

  左図をご覧下さい。これはJNSA(特定非営利活動法人日本ネットワークセキュリティ協会)が個人情報漏洩事故を原因別に表した調査結果です。 情報セキュリティ事故の中でも特に個人情報漏洩事故の80%以上の原因がヒューマンエラー、つまり人に関わるものとなっています。

 極端な言い方をすれば、ヒューマンエラーを無くすことが出来れば80%以上の事故を防ぐことが出来るのです。つまり情報セキュリティの要は「人」ということになります。残念ながら「人」である以上、ヒューマンエラーを完全に防ぐことはできません。しかし「人」に継続的な教育を実施し、知識習得、意識向上から行動改善を促すことはできます。そうすることでヒューマンエラーを減らすことはできます。情報セキュリティの要は「人」ということを認識いただくことが情報セキュリティ対策のポイントとなります。

 このことをふまえた上で、次回以降は「情報セキュリティ対策のポイント」について、考えていきたいと思います。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008247


IT・IT製品TOP > Key Conductors > 天野 哲也(パナソニック ソリューションテクノロジー株式会社) > 組織、技術、人…“情報セキュリティ”の要とは?

このページの先頭へ

キーマンズネットとは
2008年から7年に渡り、品質管理業務と情報セキュリティを担当。CPO(個人情報保護管理者)として、プライバシーマークやISO27001の認証取得・運用・更新すべてを行ってきた経験を活かし、お客様や事業、従業員を守るための情報セキュリティ教育の重要性をセミナーや企業研修を通じ啓発している。趣味の台湾茶は師範代の腕前。

ページトップへ