情報セキュリティの入門の入門

(参考サイト)

さ行|用語辞典|国民のための情報セキュリティサイト
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/glossary/03.html#si11
 
MISSION 2-14 重要情報の洗い出し
https://cybersecurity-tokyo.jp/security/guidebook/198/index.html
 
【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方 (2/3) – ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/articles/1608/18/news011_2.html

セキュリティ委員会

セキュリティ委員会とは?

会社で扱っている情報を情報資産といい、それら情報資産を守る活動の計画、運用、施策、管理等を行う組織をセキュリティ委員会と言います。

情報資産

情報資産とは?

企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、紙の資料やUSBメモリなどのメディア自体も情報資産に含まれます。

特に個人情報、個人関連情報(調査すれば個人が容易に特定できる情報)の記載のある情報は最重要の情報資産と評価付けをおこない、最優先に対策が必要です。

情報資産台帳の作成方法

守るべき対象「情報資産」のリスト化をおこないます。すべての情報セキュリティの活動はここから始まり、これに終わると言っても過言でもありません。

情報資産のリストアップと台帳作成

日常業務活動で使用しているデータをリスト化することを心掛けましょう。最初は完璧なリスト化を求めず、業務に支障が出ないようにメモ程度でも構いません。

書式や項目等は特に決まっていませんが、IPAから提供されているものに従い台帳を作成すれば問題ないと思います。

リスク分析シート – IPA

Google検索「IPA リスク分析シート」でも結果上位で表示されます。

※注意点
「すべての情報資産が重要か?」すべての情報資産を適切に管理、防衛できることに越したことはありません。しかし、すべてが重要になれば文字通りすべてに適切な対策を一度に施さないといけません。日常業務に支障が出てしまっては本末転倒です。

類似性の高い情報資産をまとめて管理することで、一時的に利便性とセキュリティを高めることができます。しかし、セキュリティと利便性はトレードオフであり、このバランスを保っていう管理体制が必要です。

個人情報の有無のチェック

リストアップと台帳作成の際に「個人情報」の記載があるものは自分でわかるように目印を付けておいてください。以下の情報の記載がある場合は最重要の情報資産となります。

  • 氏名
  • 住所
  • 電話番号
  • メールアドレス
  • 生年月日
  • 性別
  • 各種会員の申し込み
  • 顧客の氏名が表記される売上伝票
  • 顧客氏名や会員コードが入っているもの
  • アンケートなど氏名を記入させるもの
  • 特定の個人を識別できるメールアドレス情報
  • 防犯・監視カメラに記録された本人と判別できる映像

などです。

各情報資産の評価付け

ひとつの情報資産について3つの観点から評価をおこないます。ここで情報資産のランク付けをおこないます。エクセルフォーマットでは0から2の点数付けとなっています。数字が高いほうが重要です。

「機密性、完全性、可用性」について点数を入力していきます。
 

【3つの観点「機密性、完全性、可用性」について】

説明対策の例
機密性アクセスを許可された者だけが情報にアクセスできる情報漏えい防止、アクセス権の設定
完全性情報と処理方法が正確でかつ完全である改ざん防止・検出
可用性許可された利用者が必要なときに情報と関連資産にアクセスできる電源対策、システムの二重化

最近ではこの3つに加え、次の4つを追加してさらにセキュリティを高める動きが当たり前になってきています。

  • 真正性(Authenticity)
  • 責任追跡性(Accountability)
  • 否認防止(Non-repudiation)
  • 信頼性(Reliability)

参考:Google検索「CIA 情報セキュリティ 責任 追跡」
https://wpmake.jp/contents/security/security-7elements/
https://www.smillione.co.jp/staffblog/2019/08/30/security02/

脅威と脆弱性について

【脅威について】

ひとつひとつの情報資産に対して「それが脅かされる状況」がセットでついてきます。情報資産は自動的に、また潜在的に常に脅威とセットで存在します。「脅威」と言うと取っつきにくい言葉ですが、次のようなものが「脅威」と言われています。あくまでも一例です。

【脅威の例】

事務所からの盗難、外出先での紛失・盗難、情報窃取目的の内部不正、サイバー攻撃、PCの故障、ランサムウェア感染による情報閲覧不可、自然災害などです。

もう少しかみ砕くと「モノは常に盗まれたり、紛失したり、壊れたりします」「ネットに繋がっていればサイバー攻撃を受けます」「人が操作する限り間違いが起こります。」ということです。脅威は常に存在します。

そしてさらにITセキュリティにおいて「脅威」という言葉には脆弱性という言葉がセットで扱われます。ここまでいろんなものがセットでくっついてきています。情報資産がひとつあれば、重要性の評価、脅威、脆弱性が内在されています。

【脆弱性について】

脆弱性とは、「弱点」や「~されやすさ」と考えていただいても構いません。例えばモノは「火」と脅威に対して「焼失する」結果を持っています。しかし、パソコンと書類ではその危険性が違います。もちろんパソコンも燃えてしまいますが、書類は火に弱いという「弱点」「燃えやすい」という脆弱性を持っています。

【脆弱性の例】

弱いパスワードや設定ミス、PCの持ち運びやすさ、書類保管庫の強度、ソフトウェアのバグ、人の操作などです。

上記の脅威と脆弱性を理解したうえで「脅威の状況シート」の数値を入力します。

対策を施す情報資産の優先順位を決める

このエクセルを埋めていけば組織にどんな情報資産があり、どれがどんな性質を持っているか少しは把握できたのではないでしょう?

この表をもとに情報資産のリスクを下げるための活動をおこないます。

さらに情報セキュリティの理解を高めるために以下の資料がとても役に立ちます。

「守るべき情報資産・情報リスクの考え方」
https://www.ipa.go.jp/files/000013297.pdf