企業の情報セキュリティと聞くと、高額なセキュリティ機器を導入したり、何かを禁止することで使いづらくなったりするイメージはありませんか?
まずは、安全な状態を維持するために必要なことは何か?を理解することから始めてみましょう。そのうえで、どのような考え方で取り組めばよいかを知ることが重要です。
理解が進んだうえで具体的に取り組むと、セキュリティの維持と仕事のしやすさは両立できることを実感できます。
本記事では、情報セキュリティにおける3要素を解説し、具体策や考え方も交えてご紹介します。
━━━━━━━━━━━━━━━━━━━━━━━━━━
CONTENTS
1. そもそも情報セキュリティとは?
2. ここが基本!情報セキュリティの3要素
3. 社内のセキュリティ担当者を決めよう
4. 情報セキュリティの向上ならJIMUKIにおまかせ
━━━━━━━━━━━━━━━━━━━━━━━━━━
1. そもそも情報セキュリティとは?
情報セキュリティとはパソコンやインターネットを使うなかで、大切な情報が破壊されたり、漏えいしたりしないよう、必要な対策をすることをいいます。
言い換えると、情報の安全を確保したうえで維持することをいいますが、具体的に何をすればいいのでしょうか?
まずは、情報セキュリティの基礎となる3要素について学んでいきましょう。
2. ここが基本!情報セキュリティの3要素
情報セキュリティは、「機密性」「完全性」「可用性」の3つの要素から成り立ち、これらを必ず確保しなければなりません。
3要素は、すべてが整備されていないと不完全であり、リスクが発生しやすい状況だといえます。
つまり、これらが備わった状況をつくりだし、もれなく対策を施すことが重要なのです。
では、それぞれの要素について具体的な事例に触れながら、詳しく解説します。
●機密性
社内の共有フォルダが誰でも利用できるようになっている、みんなで同じアカウント(ユーザーIDとパスワードのセットのこと)を使い回している、ということはありませんか?
以下の3つを守るようにすれば、おおよそ機密性は守られます。
- アカウントは1人につき1つ作る。
- パスワードは本人だけが知っているべきもの。
例え管理者であっても他人のパスワードを知らないようにする。 - パスワードを使いまわさない。パスワードを覚えやすいものにしない。
人間が覚えられるようなパスワードは簡単すぎると肝に銘じましょう。
「え、そんな事面倒くさくて出来ないよ!」
と思われましたか?
違うんです。面倒な事は人間が頑張らなくても良いんです。
パスワードの管理は人間が管理するのではなく、「パスワードマネージャ」に任せましょう。
昨今のインターネットブラウザ(Microsoft Edge、Google Chrome、Safari)は全てパスワードを保存する機能があります。
また、少し大規模な組織ではSSO(シングルサインオン)という仕組みを用意する必要があるかもしれません。
パスワードを使わなくても良い仕組みがあれば、それを使いましょう。
例えば指紋認証、顔認証などは大抵のスマホとノートPCで既に使えます。
それら生体認証を鍵にできる「パスキー」という新しい仕組みもこれから徐々に使えるようになっていきます。
面倒なパスワードの管理を人間がやるのではなく、楽をする事がセキュリティのアップに繋がるのです。
●完全性
情報セキュリティの完全性とは、データの改ざんや過不足がない状態で、正しい情報を維持していることをいいます。完全性が失われると、データへの疑念や不正確さを抱かれ、信用を失いかねません。
2022年に発生したセキュリティの事故や脅威のうち第1位になった事柄が、ランサムウェアによる被害です。
参照: 独立行政法人情報処理推進機構の「情報セキュリティ10大脅威2023」
ランサムウェアに感染するとデータの暗号化をされてしまい、復旧と引き換えに金銭を要求されたり、“窃取した機密情報を公開する”と脅されたりします。
万が一、データを暗号化されても対応できるよう、日頃から以下のような点に気を付けましょう。
- 3-2-1ルールに則った自動的なバックアップの仕組みを作る
- いつ、誰が、何をしたのか、ログ(履歴)を残す
これらの対策が結果的に完全性を守る事にも繋がります。
個人情報保護法が改正され、2022年春からは個人情報流出等の事故が起こった時には当局と被害者への報告が義務化されています。
アクセス履歴と変更履歴が残っていないと、報告すら満足に行えません。ログの種類にはいろいろありますが、例えばPCの操作ログを残すには、安価な
Lanscope などがオススメです。
●可用性
情報セキュリティの可用性とは、システムを使いたい時にいつでも使えるようにしておくこと。
前述した「機密性」と「完全性」が保たれていることが前提ですが、システムダウンや天災の発生時に、どうやって復旧するかを考えておきましょう。
システムのクラウド化をするととても便利になりますが、サービスの障害が起こった時に全て使えなくなってしまいます。
社内だけにシステムを置いておくと、リモートワークの時代に不便ですし、災害が起こった時に全て失ってしまいます。
1つの仕組みに全て頼り切りになるのではなく、常に代替手段を考えましょう。
また、セキュリティを厳格化しすぎると、従業員にとって利用しづらいものになってしまいます。
そうすると、楽な方法で利用できる抜け道を探したり、セキュリティ機器やソフトが形骸化したりしかねません。
利便性も兼ね備えたうえで、情報セキュリティも担保できるよう共存の関係を構築するとよいでしょう。
関連記事:「3-2-1ルール」って知っていますか?バックアップの方法と注意点を紹介
3. 社内のセキュリティ担当者を決めよう
セキュリティ機器を導入して満足しては意味がありません。
情報セキュリティを正しく保つために、まずは社内で担当者を決めましょう。
決定後は、前述した3要素が守られているか定期的にチェックし、その体制を継続していく必要があります。
気をつけたい不正アクセスなどは、日々巧妙化しアップデートを続けています。
担当者は世間で起きているセキュリティ関連のニュースや情報を収集しましょう。
そして、それらを社内の勉強会や社内広報を通じて定期的に発信し、社内全体の情報リテラシーを上げていくことが必要です。
4. 情報セキュリティの向上ならJIMUKIにおまかせ
セキュリティ機器やソフトは、前述したルールを守れているか、確認するためのもの。
そのために常日頃から、情報セキュリティのアンテナを張り、有事に備えた取り組みを着々と実行していきましょう。
目に見えないさまざまな脅威があらゆる場所に潜んでいますが、次のように思うことはありませんか?
- セキュリティの大切さを従業員と共有したい
- 情報セキュリティの具体策をもっと知りたい
- 不正アクセスや天災時に役立つサービスやツールを教えてほしい
JIMUKIでは、企業における情報セキュリティの向上のお手伝いも行っています。
「何からどう始めていいのかわからない」そうしたお気持ちでも、まずはお気軽にご相談いただけるとうれしいです。
▼社内のデジタル化についてご相談がある方は▼
まずは無料のご相談から承っております!