情報セキュリティにおけるリスクとは何か?
目次
1.情報セキュリティのリスクとは
情報セキュリティリスクとは、企業機密や個人情報をシステムの破損や不正アクセスから守ることを意味します。情報漏洩をしてしまうと、企業の社会的信用は大いに損なわれてしまいます。そのため情報セキュリティへの適切な対策は企業にとって必要不可欠です。
情報セキュリティのリスクは大きく「脅威」と「脆弱性」の2つに分けられます。
それぞれ具体的に見ていきましょう。
2.1.情報セキュリティにおける脅威
情報セキュリティにおける脅威とは、システムのやデータに関して何かしらの危険・被害がもたらされることを意味します。脅威には意図的脅威、偶発的脅威、環境脅威の3つがあります。
1.意図的脅威
意図的脅威とは、悪意ある第三者によってもたらされるリスクのことです。
- サイバー攻撃による不正アクセス
- 従業員による意図的な情報漏洩
具体的には、以下のようなことがあげられます。
発生するリスクは高くはありませんが、不正アクセスによって被害を受けた事例は多くあります。これらへの対策として、安全なセキュリティツールの導入や社内のデータにアクセスできる人を限られた人にするなどの対策が考えられます。
2.偶発的脅威
偶発的脅威とは、アクシデントにより人が意図せず起こしてしまうリスクです。
具体的には、以下のようなことがあげられます。
- メールの誤送信
- USBファイル、パソコン等の紛失
- 閲覧権限の設定ミス
これらへの対策として、社内で運用ルールをしっかりと定め、従業員全体に浸透させていくことが求められます。また、従業員自身の情報リテラシーを上げる教育も、求められるでしょう。
3.環境的脅威
環境的脅威とは、自然災害によってもたらされるリスクのことです。
具体的には、以下のようなことがあげられます。
- 地震
- 高気温、高湿度
- 落雷
- 台風
環境的脅威を、確実に防ぐのは難しいでしょう。特に、医療や航空など、人々の生活に大きく関与しているシステムがシャットダウンしてしまうと、甚大な被害が出てしまいます。
自然災害の被害が少ない地域に会社を設立したり、自然災害の被害を最小に抑えられるようなシステムを構築しておくことが求められます。
2.2.情報セキュリティにおける脆弱性
情報セキュリティにおける脆弱性とは、インターネット上のシステムの不具合や不備、また、情報の管理体制のもろさ等から生じるリスクです。
具体的には、以下の3つのようなリスクがあげられます。それぞれ見ていきましょう。
1.ソフトウェアの脆弱性
Webブラウザやofficeなどのソフトウェア、OSには時間の経過や設計ミスなどにより、欠陥が生じてしまうことがあります。悪意あるメールはこれを利用して、ウイルス感染、不正アクセス、フィッシング詐欺を試みます。メールの開封時やWebサイトの閲覧時には、注意することが必要です。
2.管理文書・体制の不備
管理文書・体制の不備とは、組織や人の管理における脆弱性です。ソフトウェア仕様書や操作手順書の不備、情報管理の体制の不備が原因となり、企業の機密情報や個人情報が悪意ある人に持ち去られてしまい、情報漏洩につながってしまいます。
3.災害やトラブルに弱い立地
自然災害が起きやすい場所や停電が起きやすい場所にデータセンターがある場合、サーバーの故障や破損でシステムが稼働できなくなる可能性が高くなってしまいます。
また海外では、侵入者が入りやすい環境であったり、デモや暴動が起こりやすい環境に位置していると、事件に巻き込まれる可能性が高いことから脆弱性が高いと言えます。
2.3.情報セキュリティにおけるリスク分析の必要性
情報セキュリティにおけるリスク分析とは、情報を抱えているデータサーバーが脅威にさらされた時に、どんなことが起こりうるかを事前に把握しておくことです。リスク分析を効果的に行っておくことにより、必要な対策や投資を講じることができます。
またリスク分析を行うことで、企業の全資産を把握しやすくなるという側面もあります。
このようにして、リスク分析を綿密に行うことで、企業の資産を守っていくことができます。
1.リスク分析の3つの評価指標
1つ目は保護すべきシステムや事業価値、考えられる被害の規模、その影響の分析です。これによって守らなければいけないものの重要性を再認識できます。
2つ目に、保護すべき対象に起こりうる脅威と、その可能性です。生じうる脅威やその可能性を把握し、ランク付けをしておくことによって、対策が必要な対象の優先順位をつけることができます。
3つ目は、考えられる脅威が生じたときの受容可能性です。受容可能性を分析しておくことで、そのシステムやサーバーの脆弱性を把握することができます。
2.リスク分析の4つの手法
リスク分析には4つのアプローチ方法があります。それぞれ具体的に見ていきましょう。
1.ベースラインアプローチ
ベースラインアプローチとは、まず一定の安全基準に達しているセキュリティレベルを目標として置き、今ある基準や標準を元にしながら、対象となるシステムに関して目標のレベルを達成するためにどんな対策が必要かを考える方法です。
ベースラインアプローチのメリットは、作業の工程が少なくて済むことです。既にある基準や標準を元に対策を考えるため、時間の短縮につながります。
反対にデメリットは、精密にリスク分析できないという点です。目標のセキュリティレベルが、自社環境を分析して置いた目標ではないため、詳細に分析したいときには向きません。
2.非形式的アプローチ
非形式アプローチとは、企業や組織の代表、セキュリティ担当者がこれまでの経験に基づいてリスクを分析することです。個人の経験に基づいた判断となるため、圧倒的に作業工程が少ないことがメリットとしてあげられます。
デメリットとしては、個人には限界があるという点です。IT分野は常に進化しています。過去に生じていたウイルスと現在あるウイルス、将来起こりうるウイルスは大きく違います。非形式的アプローチでは、セキュリティレベルをあげていく事は難しいでしょう。
3.詳細リスク分析
詳細リスク分析とは、分析の対象を重要度、脅威、脆弱性という3つの評価指標で分析することです。詳細リスク分析のメリットは、1度分析しておけばそれをベースに継続的にセキュリティレベルの向上を図れるという点です。リスクがデータとして蓄積されることで、さらに高水準でデータ分析をすることができます。デメリットは3つを分析しなければならないので、工数が非常に多いことです。工数が多い分、どこに優先順位をつけて分析していくかなど、戦略性を考えることが非常に重要です。
4.組み合わせアプローチ
組み合わせアプローチとは、これまで紹介してきた3つのアプローチを組み合わせて分析する方法です。
メリットとしては、作業工程の多さや適合性などの観点から、柔軟にアプローチを変更することができ、業務をより効率的に進めることができる点です。また、それぞれのメリットを組み合わせることで、さらに高水準なセキュリティ制度を構築できるでしょう。
デメリットとしては、明確な組み合わせの指針がないという点です。企業によって最適な組み合わせは変わってきます。明確な組み合わせをいかに構築できるかが、非常に重要です。
2.4.詳細リスク分析をすべき理由
これまで紹介してきたアプローチの中で最もオススメなのが、詳細リスクアプローチです。
詳細リスク分析を用いることで、確かに作業数は多くなってしまうのかも知れません。しかし、分析対象に沿って基準を決め、脅威を分析してリスクを低減できるためメリットの方がはるかに大きいと考えられます。
詳細リスク分析には、資産ベースと事業被害ベースという二つの分析の進め方があります。それぞれ見ていきましょう。
2.5.資産ベースのリスク分析について
資産ベースでのリスク分析とは、システムサーバ、端末、通信機器の3つの資産について重要度、脅威、脆弱性の3つの観点から分析していくことです。
まず分析対象の重要性について理解し、次にその脅威を分析、最後に脆弱性を評価します。そして優先順位をつけ必要な対策を講じていきます。
資産を洗い出し、その脅威について分析することはできますが、資産間でその脅威を特定するのが難しくなるでしょう。
2.6.事業被害ベースのリスク分析について
事業被害ベースの分析とは、事業被害、脅威、脆弱性の3つの観点から分析していくことです。
まずは想定される事業被害をリストアップし、その被害レベルを評価します。次に、その事業被害を引き起こしそうな原因を洗い出します。原因が複数あった場合、そこに相関関係はあるのか、連鎖してしまわないかなどが分かるよう、体系的に網羅すると良いでしょう。最後に、その原因の起こりうる可能性を脆弱性の観点から評価します。
事業被害ベースのメリットは、被害をもたらすであろう原因の連鎖まで追及できる点です。こうして、被害を最小限に抑えることができます。デメリットは、原因を洗い出す段階で数が多くなると、それに対処する工数が多くなってしまうことがあげられます。
3.実施すべき情報セキュリティ対策
ここまで、リスク分析について詳細に説明してきました。最後に、リスク分析以外に企業が実施すべき情報セキュリティ対策は何があるのか、解説していきます。
3.1.認証システム
認証システムとは、ユーザーがアクセスした際に、利用権限やアクセス権限にあるユーザかどうかを確認しアクセスの許可を行うことです。認証システムを導入することで不正アクセスを防止することができます。
認証システムには様々な強度があります。パスワードや合い言葉などの個人の記憶情報に依存するものから、指紋や生体認証など個人の生理的特徴に依存するものまで、様々です。アクセス先のシステムに合った強度の認証システムを導入することが重要です。
3.2.セキュリティ運用
セキュリティ運用とは、セキュリティ機器やシステムを導入した際に、不正アクセスやサーバーの脆弱性などを監視し、セキュリティを安全に維持し続けることです。
新しいセキュリティシステムが増え続けていると同時に、新しいウイルスも増え続けています。ウイルスをどう探知し、システムをどう管理していくかがとても重要です。
3.3.クラウド化
サーバーをクラウド化することによって、クラウド上に保管されたデータがデータセンターで一元管理される事になるため、より安全に情報を維持できます。
多くの企業からデータが集まるクラウドサービスでは、知見を持った専門家をそろえるよりも、強固にシステムを運用している傾向があります。
以上より、安全なクラウドサービスの導入を検討することを強くオススメします。
3.4.ISMS認証の取得
ISMS認証とは、日本情報処理開発協会(JIPDEC)が定めた評価制度で、指定の監査機関が企業の情報セキュリティマネジメントを審査し、認証を得られるという仕組みです。
ISMS認証をしていることで、セキュリティ対策を十分に行っているという事を客観的に示すことができるため、新しく事業をするときに信用を得やすくなりビジネスの幅が広がります。
4.まとめ
いかがだったでしょうか?
本記事では情報セキュリティの脅威や脆弱性、それらへの具体的な対策案を徹底的に解説してきました。日常には様々な脅威が潜んでおり、リスク分析やISMS取得などを通して安全に管理していくことの重要性をお分かりいただけたと思います。
株式会社UPFでは、国内シェアNo.1の実績に元づくノウハウをもって、業界最安値、最速で、ISMS認証取得をご支援します。
ISMS取得を検討されている企業様、企業の担当者様はどうぞお気軽にお問い合わせください。
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
