「情報セキュリティ」の解説
情報セキュリティの概念
企業では、顧客の個人情報や契約上の機密といった、各種の重要な情報を共有・管理しています。これらの情報は、企業にとっては大切な資産(情報資産)であり、顧客にとっても、不用意に公開されては困る重要な情報です。これらの情報が外部へ流出した場合のリスクは甚大です。企業は企業イメージの低下をはじめ、大きな不利益を被ることは免れません。のみならず、その情報が悪意ある第三者へ渡った場合、犯罪に発展することも考えられます。情報に対する危機管理は常に重要事項として捉えられる必要があります。
情報資産
企業における情報資産には、データそのものだけでなく、コンピュータなどの機器類も含まれます。例えば、顧客情報が保存されているノートPCが盗難されれば、大きなリスクとなります。また、USBフラッシュメモリのような小さな機器類に機密情報を保存して持ち歩けば、置き忘れや紛失などのリスクが高まります。情報資産は、データベースやクライアントコンピュータの内部に収められている各種データを指す「無形資産」と、上記の機器類に代表される「有形資産」とに分類されます。
無形資産の種類
- 顧客情報
- 顧客情報の中には得意先の住所や担当者の個人情報の他、支払い金額などの資産に関わる情報なども記述されています。
- 営業情報
- 営業担当者による得意先の分析や、担当者の情報、販売実績等の資産に関わる情報も記述されています。
- 知的財産権情報
- 新製品の開発情報や、設計図など、知的財産所有権に関わる情報が記述されています。
- 社員情報
- 社員の個人情報や家族構成、所得などの情報が記述されています。
- 個人情報
- 小売り業などでは、個人顧客の個人情報をはじめ、クレジットカード番号や銀行口座番号などが記述されています。
代表的な有形資産
- 印刷データ
- データを印刷した紙類にも無形資産の情報が印字されているケースがあります。破棄する機会が多く、盗まれやすい媒体と言えます。
- 人的知識
- 開発者のアイデアや、ベテラン営業職員の知識には資産価値のある情報が詰め込まれています。
脅威と脆弱性
企業が活用しているシステムの多くは、インターネットやイントラネットで外部ネットワークに接続されています。これらは利用者がいつでもシステムを活用し、業務の効率化を図れるというメリットがあります。他面、外部ネットワークを経由して、システムに侵入されたり、コンピュータウィルスやマルウェアなどに感染することにより、情報を外部に流出させられたりするリスクもあります。
リスクとなり得る脅威の種類や手法を理解し、また、セキュリティ事故を発生しやすくする要因になりやすい「脆弱性」に対して正しい処置を取る必要があります。
人的脅威の種類と特徴
人間が起こしやすいミスや誤認などの心理的な隙につけこんで情報を取得しようとする行為を「ソーシャルエンジニアリング」と呼びます。これらは人的脅威と言えるでしょう。
- 破損・誤操作
- 何らかの理由により、データが記録されているコンピュータや補助記憶装置を破損したり、誤操作によってデータの消去などが実行されてしまい、重要なデータの復旧ができなくなることが考えられます。
技術的脅威の種類と特徴
Webサーバやメールサーバなどを経由して外部からシステム内部に侵入されたり、悪意あるプログラムが埋め込まれたりするリスクがあります。人的脅威に対して、これらは技術的脅威と呼べるでしょう。
利用者は、ファイル共有のための、公開しても支障のないファイルのみをファイル交換ソフトに登録します。しかし、設定ミスやコンピュータウィルスなどによって、意図しない範囲のファイルが公開ファイルに登録されると、情報漏洩が起こります。ファイル交換ソフトウェアを狙ってランダムな情報のアップロードを引き起こすコンピュータウィルスも登場しています。
ファイル交換ソフトでの流出
物理的脅威の種類と特徴
物理的な脅威としては以下のようなものがあります。
- 破壊・妨害行為
- 第三者の手によって、システムに物理的なダメージが加えられ、業務妨害が行われるケースも考えられます。