近年の情報漏洩やサイバー攻撃が頻発している現状は、企業におけるステークホルダーへの信頼性、及び企業の健全な経営や成長、存続を脅かしかねない大きなリスクの一つと言えます。

企業経営にとって、「セキュリティコンプライアンス」の遵守は、企業を構成する全ての人間に必要とされる行動規範であるため、企業は有効なコンプライアンスプログラムを時間をかけて構築し、教育や研修を通して企業全体に周知させる必要があります。

「リスクアセスメント」は何故定期的に行うべきか。

企業において業務利用する情報資産(個人情報、研究データや商品開発データ、人材情報、売上データ、顧客情報などの機密情報)に対してどのようなリスクが想定されるか、対応策にはどのようなものが考えられるかなどを分析・評価し、練り上げる作業が「リスクアセスメント」です。分単位でサイバー攻撃や偽サイトなどを使った情報奪取の手法は巧妙化していますので、経営側も、リスクアセスメントを経営対策の重要事項と捉え、定期的に行うことが重要です。

情報セキュリティ3要素

情報セキュリティとは、大切なIT資産である機密情報や個人情報のデータ群が外部に漏れたり、破壊されたりしないようにすることです。データの不正奪取や情報漏洩を「セキュリティインシデント」と呼びますが、企業のリスクアセスメントにおいては、セキュリティインシデント対策として、事前対策「予防」と事後対策「対応」を講じる必要があります。

一般的に事前対策の必要性ばかり声高に叫ばれていますが、ビジネスの維持・存続にとって大切なのはむしろ事後対策「対応」ではないかと考えています。

情報セキュリティ対策に有用な「CIA」をご存じでしょうか。

これは、情報セキュリティマネジメントシステム(ISMS)の国際規格ISO27000で定義されている情報セキュリティの3要素である「Confidentiality(機密性)」、「Integrity(完全性)」、「Availability(可用性)」の英字の頭文字をとったものです。これら3要素全てが完全に機能しないと、情報セキュリティ対策は不十分であり、全てをチェックする必要があると言われています。

• Confidentiality(機密性)

  許可された者だけがデータにアクセスできるようになっていることで、アクセス権限が適切に設定されていれば、そのファイル(データ)は、機密性が高いと言えます。特定の端末からのアクセスのみ許可することや、2段階認証を取り入れることなどで、より一層高い機密性を維持することが可能になります。

• Integrity(完全性)

  改ざんやデータの破壊が行われていない、完全にオリジナルな状態が保たれていることが、「完全性」です。ネットワークを経由する際に情報が欠損していないか、ファイルの中身が不正に書き換えられていないかを検証する必要があります。ハッシュ値などを見ることで検証することができます。

• Availability(可用性)

  例えばシステムなどに、サイバー攻撃を受けても、障害を最小限に食い止め、すぐに復旧することができれば、そのシステムは、可用性が高いと言えます。CIAの他の二つの項目である完全性と機密性が高くても、肝心のシステムが使えないようでは、無意味です。何があってもすぐに復旧し、使える可用性が高いシステムであることが重要なのです。

企業が直面する課題の一つであるセキュリティコンプライアンスへの理解と遵守は、法的な問題のみならず、全てのステークホルダーへの信頼失墜のリスクひいては、企業存続がむずかしくなるほどのダメージを被るリスクにもつながります。腰を据えて取り組むべき課題であることは間違いありません。適切かつ詳細なポリシーの策定と研修・教育を行うことが求められます。同時に、定期的なサーバーやシステムの健康診断(ペネトレーションテストや、脆弱性診断)を行うことをおすすめします。