確実なデータ消去ならピーシーキッド

フリーダイヤル東京/0120-56-2982 大阪/0120-25-2982

最新情報NEWS

企業におけるセキュリティコンプライアンスの重要性

スマホを扱う男性のイメージ画像

近年の情報漏洩やサイバー攻撃が頻発している現状は、企業におけるステークホルダーへの信頼性、及び企業の健全な経営や成長、存続を脅かしかねない大きなリスクの一つと言えます。

企業経営にとって、「セキュリティコンプライアンス」の遵守は、企業を構成する全ての人間に必要とされる行動規範であるため、企業は有効なコンプライアンスプログラムを時間をかけて構築し、教育や研修を通して企業全体に周知させる必要があります。

「リスクアセスメント」は何故定期的に行うべきか。

企業において業務利用する情報資産(個人情報、研究データや商品開発データ、人材情報、売上データ、顧客情報などの機密情報)に対してどのようなリスクが想定されるか、対応策にはどのようなものが考えられるかなどを分析・評価し、練り上げる作業が「リスクアセスメント」です。分単位でサイバー攻撃や偽サイトなどを使った情報奪取の手法は巧妙化していますので、経営側も、リスクアセスメントを経営対策の重要事項と捉え、定期的に行うことが重要です。

情報セキュリティ3要素

情報セキュリティとは、大切なIT資産である機密情報や個人情報のデータ群が外部に漏れたり、破壊されたりしないようにすることです。データの不正奪取や情報漏洩を「セキュリティインシデント」と呼びますが、企業のリスクアセスメントにおいては、セキュリティインシデント対策として、事前対策「予防」と事後対策「対応」を講じる必要があります。

一般的に事前対策の必要性ばかり声高に叫ばれていますが、ビジネスの維持・存続にとって大切なのはむしろ事後対策「対応」ではないかと考えています。

情報セキュリティ対策に有用な「CIA」をご存じでしょうか。

これは、情報セキュリティマネジメントシステム(ISMS)の国際規格ISO27000で定義されている情報セキュリティの3要素である「Confidentiality(機密性)」、「Integrity(完全性)」、「Availability(可用性)」の英字の頭文字をとったものです。これら3要素全てが完全に機能しないと、情報セキュリティ対策は不十分であり、全てをチェックする必要があると言われています。

  • Confidentiality(機密性)
    許可された者だけがデータにアクセスできるようになっていることで、アクセス権限が適切に設定されていれば、そのファイル(データ)は、機密性が高いと言えます。特定の端末からのアクセスのみ許可することや、2段階認証を取り入れることなどで、より一層高い機密性を維持することが可能になります。
  • Integrity(完全性)
    改ざんやデータの破壊が行われていない、完全にオリジナルな状態が保たれていることが、「完全性」です。ネットワークを経由する際に情報が欠損していないか、ファイルの中身が不正に書き換えられていないかを検証する必要があります。ハッシュ値などを見ることで検証することができます。
  • Availability(可用性)
    例えばシステムなどに、サイバー攻撃を受けても、障害を最小限に食い止め、すぐに復旧することができれば、そのシステムは、可用性が高いと言えます。CIAの他の二つの項目である完全性と機密性が高くても、肝心のシステムが使えないようでは、無意味です。何があってもすぐに復旧し、使える可用性が高いシステムであることが重要なのです。
会社で残業中の女性のイメージ画像

リスクアセスメントのフロー

  1. 1. どのようなリスクがあるかを洗い出す「リスク特定」
  2. 2. 洗い出されたリスクが企業に対してどの程度の影響を及ぼすかを「リスク分析」
  3. 3. 分析されたリスクが発生する確率や影響の度合いなどを判断する「リスク評価」

リスクアセスメントのフローは、端的に言うと上記のようなものになります。

  • 「リスク特定」
    ISMSによる情報セキュリティのCIAの「機密性」を損なうリスクは例えば次のようなシチュエーションが挙げられます。
    • セキュリティコンプライアンス意識が低いワーカーによる無意識の情報漏洩
    • 機密データやファイルの暗号化がされていない
    • 内部者の不正によるデータの持ち出し
    • メールの誤送信や誤ったファイル共有
    同じく「完全性」を損なうリスクは具体的には、次のようなシチュエーションが挙げられます
    • ハードウェアが物理的に壊れてしまう
    • サイバー攻撃でファイルシステムやデータベースが不正に書き換えられてしまう
    • 人為的なミスにより、オリジナルデータが壊れてしまう
    同様に「可用性」を損なうリスクは具体的には、次のようなシチュエーションが挙げられます
    • バッファオーバーフロー攻撃により、サーバーがダウンしてしまう
    • HDDが寿命を迎える、故障するなどで、ファイルにアクセスできない
    • データへアクセスするためのIDやパスワードを忘れ、バックアップもとっていない
  • 「リスク分析」
    特定されたリスクを全てリストアップし、それらに対して現状何らかの予防や対応をしているかの確認も行います。何も対策を打っていなければ、その項目に対しての分析結果は「0」とします。経営者・管理者が、経営存続を脅かすリスクにはどのようなものがあり、予防策を講じているか、抜けているかを分析し、把握と共有を行い、しっかりと「リスク評価」につなげることが大切です。
  • 「リスク評価」
    分析されたリスクをリスト化し、その全てに対し発生する確率や及ぼされる影響の度合い、もたらされるダメージなどを数値化するなどして可視化。対応すべきリスクの優先度や考えられる対処法を提示し、実施につなげます。

企業が直面する課題の一つであるセキュリティコンプライアンスへの理解と遵守は、法的な問題のみならず、全てのステークホルダーへの信頼失墜のリスクひいては、企業存続がむずかしくなるほどのダメージを被るリスクにもつながります。腰を据えて取り組むべき課題であることは間違いありません。適切かつ詳細なポリシーの策定と研修・教育を行うことが求められます。同時に、定期的なサーバーやシステムの健康診断(ペネトレーションテストや、脆弱性診断)を行うことをおすすめします。

PAGE TOP