情報セキュリティとは？押さえておきたい3つの基礎知識を紹介！

現代社会において「情報セキュリティ」がなぜ必要なのでしょうか。「情報」という無形資産は企業経営にとってまさに命綱だからです。「情報セキュリティ」という言葉を知っているだけでは企業の資産を守ることはできません。そのため、情報セキュリティを怠るとどんな被害を及ぼすのかを知って危機意識を持つことは最重要課題といえます。 

ここでは情報セキュリティに関する基礎知識をご紹介していきます。 

企業における「情報セキュリティ」とは、顧客、従業員データなどの企業活動に必要な情報資産（無形財産）を第三者から守ることです。「情報資産」には企業独自のノウハウや統計データ、技術情報なども含まれます。これらが悪意ある第三者に渡ってしまうと最悪、企業活動の停止、廃業に追い込まれるケースも珍しいことではありません。 

近年では大企業だけでなく中小企業を狙ったサイバーテロも頻発しており、情報セキュリティに対する注目度は年々増加しているのが現状といえます。 

とはいえ、企業からすれば「いつ襲われるかわからない脅威に対して備えるのは難しい」というのが正直な気持ちでしょう。コストを払ってまで情報セキュリティを整備する価値はあるのでしょうか。 

サイバーセキュリティについては、「サイバーセキュリティとは？進化する攻撃手法とその対策法を解説！」をご覧ください。 

国内セキュリティ上の脅威となるインシデントの発生件数は、2019年から2021年にかけて右肩上がりに増加しています。しかし、把握されているインシデントがすべてとは考えられません。外部に公開しないケースも考えると目に映っているのは氷山の一角だと思われます。気が付かないうちに不正アクセスを許してしまっている組織・企業はもっと多いと考えたほうがよいでしょう。 

近年では自動車メーカーの関連取引企業がサイバー攻撃されて工場が一時的にストップした事件があります。攻撃対象は大企業ではなく中小企業にシフトしつつあるのもトレンドといえます。こういった背景もあって企業の情報セキュリティ対策費用は増加傾向となっています。歴史的に見てもその脅威は年々増してきているのです。 

情報セキュリティの歴史は1990年前後から始まっています。インターネットの普及によって企業ネットワークが拡大し、それに伴ってセキュリティの需要が増加してきました。2000年に入るとコンピューターウィルスが猛威を振るうようになります。「I LOVE YOUウィルス」「トロイの木馬」「ニムダ」など聞いたことがある人もいるのではないでしょうか。 

トロイの木馬について、「トロイの木馬とは？実際の被害事例から考える対策とは？」で紹介しておりますのでぜひご覧ください。 

2000年には企業や組織から顧客情報が大量に流出するといった事件が目立つようになりました。2003年、個人情報保護法が成立し、国が不正アクセスの取り締まりに乗り出します。2010年ごろになると標準型攻撃（業務メールを装ったウィルス攻撃）で不特定多数ではなく具体的な企業に狙いを定めて情報を盗み出すような事件が増えていきます。 

このように、情報資産を狙った攻撃は年々増加するだけでなく手口も巧妙化、複雑化しているのです。 

ここからは情報セキュリティの基礎知識として 

• 情報セキュリティを構成する3つの要素「CIA」 
• 情報セキュリティにおける4大脅威
• 情報セキュリティを脅かす３つの要因 

の3つについて解説していきます。 

「CIA」とは機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の頭文字を合わせた用語です。企業で情報セキュリティを構築する際にはこの3つの要素を理解しておく必要があります。 

「機密性」とは、特定の人間が特定の情報にアクセスできる状態のことを指します。機密性が低いと権限のない部外者が情報にアクセスしてしまったり、簡単にセキュリティが破られてしまったりすることになります。 

機密性を高い状態に保つには、複雑で高度なパスワードを設定する、頻繁にパスワードを変更するといった対策を盛り込むことで実現可能です。そういう意味では、機密性は情報セキュリティの最初の要であるといえるでしょう。 

「完全性」とは、情報が不正に改ざんされたり、破壊されたりしないこと。つまり情報が完全に保たれている状態のことを指します。悪意のある第三者によって情報が盗み見られたとしても、完全性が高ければ改ざん、破壊を防止可能です。 

完全性を高めるためには、情報の編集権限を持つユーザーを限定する、もしくは情報を暗号化しておくといった手段が有効です。データのバックアップを取っておくことも大切でしょう。 

「可用性」とは、いつでも情報にアクセスできる状態を指します。たとえば外部から「DDoS攻撃」を受けてサーバーダウンした際に自動的にバックアップサーバーが稼働を引き継ぐ、停電が発生した場合に予備電源でサーバーが稼働し続けられる状態にすることです。外部からの攻撃に耐えられる可用性を担保することは事業の継続性に大きく影響します。 

情報セキュリティには対処しなくてはいけない「4大脅威」と呼ばれるものがあります。それが 

• 情報の盗難 
• 情報の改ざん 
• なりすまし
• サイバー攻撃  

の4つです。それぞれ解説していきます。

第三者によって情報が盗み見られてしまうケースです。典型的なパターンとしては従業員が持つPCやスマートフォンを盗まれた、もしくは簡単なパスワードで不正ログインされてしまった、といったものが挙げられるでしょう。 

特に最近はリモートワークをする機会が増え、カフェなどで不用意にPCを置いて離席する人が散見されます。ロックもかけずにPCが盗難されれば重大なインシデントに発展する可能性が高いでしょう。 

Webサイトの情報や企業データベースが改ざんされてしまうケースです。たとえば自社ECサイトの商品情報が書き換えられてしまった、商品価格が操作されてしまってユーザーが購入してしまったなどが考えられます。 

企業は顧客対応に追われるだけでなく、同時に信用も失うことになるでしょう。また企業データベースに侵入、改ざんされた挙げ句にそのデータを戻すための「身代金」を要求されるといった事件も多発しています。 

第三者が本人になりすましてアカウントにログインするケースです。メールアカウントであれば顧客、従業員情報などにアクセスできるほか、どういうやり取りをしているかまですべて筒抜けになります。また、本人を装って関係者と連絡を取り合い、さらに被害が拡大する危険性もあります。 

インターネットを利用してサーバーに攻撃をしかけるケースです。攻撃手段は「DDoS攻撃」「標準型攻撃」「フィッシング詐欺」などがあります。サイバー攻撃の対象は個人や企業から政府機関まで幅広く、その目的も愉快犯から企業活動を阻害するものまでさまざまです。 

情報セキュリティはどのような要因によって脅かされるのでしょうか。それは主に3つの要因が挙げられます。 

• 技術的脅威
• 人的脅威
• 物理的脅威 

それぞれ見ていきましょう。 

「技術的脅威」とは不正プログラムによって技術的に引き起こされる脅威です。「標的型攻撃」「フィッシング詐欺」「コンピューターウィルス」「トロイの木馬」「ランサムウェア」などはすべて技術的脅威に分類されます。こういった技術的脅威にはセキュリティソフトによる対策が有効です。 

「人的脅威」とは文字通り人が原因で引き起こされる脅威です。人的脅威は2つのパターンに分けることができます。それは「意図的」「過失」の2つです。 

「意図的」な人的脅威は、悪意のある内部または外部の人間が情報資源を流してしまうパターンです。「過失」は内部の人間が機密情報の入ったPCやUSBメモリを紛失してしまうパターンです。カフェで不用意に業務用画面を開いてそれを盗み見られてしまうケースもあります。 

「物理的脅威」はサーバーや記録媒体などが物理的に破損、破壊されてしまうことで引き起こされる脅威です。とくに日本では地震や雷、火災などの災害リスクは考慮に入れておく必要があります。可用性でも説明しましたが、不測の事態でも事業が継続できるようなバックアップ体制を構築することも重要となります。 

「情報セキュリティ対策」とは、これまで説明してきた3つの基礎知識をベースに情報資産を外部から守れる企業・組織を作ることです。不正アクセス対策から情報セキュリティルールの策定、従業員へのセキュリティ意識の啓蒙までさまざまな分野で対策していきます。詳細についてはリンクを参照してください。 

情報セキュリティ対策については、「重要度が高まる情報セキュリティ対策｜過去の事例や基本的な進め方を紹介！」をご覧ください。 

これまでは「情報セキュリティ」は一部の大企業だけの課題とされてきました。しかし、近年のサイバー攻撃のトレンドを見ると中小企業だからといって油断はできません。企業の情報セキュリティ対策を進めたくてもどこから手を付ければいいかわからないものです。

クラウド型IT資産管理ツール「ISM CloudOne」なら高度なセキュリティパッケージを提供しています。お気軽にお問い合わせください。