2021.03.21  2021.04.09

情報セキュリティマネジメントとは。情報セキュリティについて詳しく説明。

皆さんこんにちは!マコブログです!
今回は、情報セキュリティマネジメントについて、情報セキュリティの詳細を紹介していきたいと思います。

情報セキュリティ

企業などの組織は、顧客情報や営業機密などの重要な情報資産をたくさんもっています。これらを盗まれたり流出させてしまったりすると、企業としての信用を失うなど、大きなダメージを受ける事になります。そのため、組織全体で情報資産を守るための対策を行う必要があります。情報資産を守ることを情報セキュリティといい、情報セキュリティとは、情報の機密性完全性可用性という3つの要素を維持することを指します。

機密性
情報が、許可された人のみアクセスできる状態にあること。機密性を維持するには、アクセス権を設定したり、データを暗号化したりして、情報漏洩を防ぐ必要があります。



完全性
情報が正確で、完全な状態にあることです。完全性を維持するには、情報が正確であるかをチェックする仕組みや体制を整えるほか、ウイルス対策などによってデータの改ざんや破壊を防ぐ必要があります。

可能性
利用者が必要とするときに、情報が利用できる状態にあることです。可用性を維持するには、システムに予備電源を確保したり二重化できるようにする必要があります。

真正性、責任追跡性、否認防止、信頼性

ISO27000では、情報セキュリティの要素として、機密性、完全性、可用性の三つに加えて、真正性、責任追跡性、否認防止、信頼性の4つを付加的な要素として定義しています。

真正性
情報やその利用者が、偽物やなりすましなどでなく、主張通りの本物であることを証明できる状態にあることです。ディジタル著名などによって対策することができます。

責任追跡性
情報に対して操作を行った利用者と、操作した内容を特定できる状態にあることです。アクセスログやデータの更新履歴などが記録されるようにしておき、後から追跡・特定できるようにします。

否認防止
情報に対して行った操作など、ある行為や発生した事象について後から否認できないよう事実を証明できる状態にあることです。ディジタル著名などによって対策することができます。

信頼性
情報システムが、故障や不具合なく稼働し、期待通りの処理を行う状態にあることです。ソフトウェアの不具合をなくす、故障しにくいハードウェアを使用するといった対策を行います。


情報セキュリティポリシ

企業は、情報セキュリティに関する仕組みを情報セキュリティポリシとして文書にまとめます。情報セキュリティポリシは、基本方針(情報セキュリティ方針)対策基準実施手順の3つで構成されています。
これらを公表することで、企業の信頼度を高めることができます。基本方針は組織全体で統一され、全従業員が周知している必要があります。

基本方針
情報セキュリティに関する基本的な考え方や取組み姿勢を示したもの。

対策基準
基本方針を実現するために、守るべき規則や判断基準を示したもの。

実施手順
対策基準で定めた規定について、実施する手順を示したもの。

リスクマネジメント

情報資産を守る為には、企業が保有する情報資産にはどのような危険があるのかを分析し、対策方法を考える必要があります。情報資産が抱える危険のことをリスクといい、リスクを管理することをリスクマネジメントといいます。リスクマネジメントは下記の流れで行われます。
①リスク特定→②リスク分析→③リスク評価→④リスク対応

①リスク特定
自社が保有する情報資産にまつわるリスクにはどのようなリスクがあるかを特定します。

②リスク分析
特定したリスクの発生頻度や、発生した場合の被害の大きさを分析します。



③リスク評価
組織の基準と、リスク分析の結果を比較し、各リスクの重大性によって優先順位つけを行い、対策方法を決定します。

④リスク対応
リスク評価で決定した対策方法に従って対策を行います。

尚、リスクの洗い出しから対応策の検討までの①~③のプロセスを、リスクアセスメントといいます。

リスク対策

全てのリスクに対して完全な対策を行おうとすると、膨大な費用がかかります。
そのため、「リスク分析」によって得られたリスクの発生頻度や発生した場合の損害額を評価し、優先度をつけて対策を行います。
対策方法には、下記のようなものがあります。

リスク回避…リスクの原因を排除する。発生率が高く、損害額も大きい場合にとる対策。

リスク共有…リスクを他者と分けたり、第三者に肩代わりしてもらう。発生率は低いものの、損害額が大きい場合にとる対策。

リスク軽減…対策を講じて、リスクの発生率や損害額を許容範囲に収まるよう小さくする。損害額は小さいものの、発生率が高い場合にとる対策。

リスク需要…リスクをそのままにする。発生率も損害額も小さい場合にとる対策。


情報セキュリティマネジメントシステム

情報資産を取り巻く環境は日々変わっていく為、情報セキュリティのレベルを維持、向上させるためには、組織全体で保護すべき情報資産を特定し、総合的、継続的に対策をとっていく必要があります。この取り組みを情報セキュリティマネジメントといいます。そして、情報セキュリティマネジメントをどのように行うべきかを示した枠組みとして、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)があります。
ISMSでは、PDCAサイクルを使った対策を行うことが推奨されています。
PDCAサイクルとは、物事を「Plan」「Do」「Check」「Act」という4つのステップに分けて、繰り返し実行する方法です。

ISMS適合性評価制度

企業における情報セキュリティマネジメントが、ISMSが定めている基準に適合しているかどうかを客観的に評価する制度にISMS適合性評価制度があります。
ISMS認証を取得している組織は、情報資産を適切に管理し、それを守るための取り組みをきちんと行っていると判断されます。

また、ISMS適合性評価制度のように組織が持つ全ての情報資産を評価対象とするのではなく、個人情報の取り扱いのみを対象とした制度にプライバシー制度があります。
どちらも、特定の機関により認定され、認定を受けた企業は情報セキュリティの信頼性が高い企業として認められます。


CSIRT(Computer Security Incident Response Team)

情報漏洩などのセキュリティ事故が発生したときに、被害額の拡大を防止する活動を行う組織をCSRIT(シーサート)といいます。
企業内で組織されるものや、国・地域で組織されるものなどがあり、日本ではJPCERT/CC(ジェーピーサートシーシー)などがあります。

まとめ

いかがでしたか?
今回は、情報セキュリティマネジメントについて、情報セキュリティの詳細を紹介しました。
是非こちらの記事も是非チェックしてみてください↓
データの暗号化、SSL(セキュアソケッツレイヤ)暗号化通信について説明

あなたにオススメの記事
マコブログ
Makoto
高校卒業と同時にプログラミングを学習しはじめ、今年で4年目になります。
普段はフロント周りで作業をしていて、WordPressの開発とSEO対策には自信があります。
マコブログでは、プログラミングやSEO対策についての情報を発信しています。

よく読まれる記事

S&P500研究所

【マコブログ 2nd】S&P500研究所がOPENしました!!

Read More →