セキュリティ施策とリテラシー

on security

情報の電子化によって、情報へのアクセスや再利用が便利になりその恩恵に今もこうして与っているわけです。 反面、情報の質を見極めることと、情報を秘匿し続けることは大変困難になっています。 多くの組織ではさまざまな方法で情報セキュリティ対策を行っていると思います。

どんなに高度なセキュリティ機能があったって、何もわかっちゃいない連中は自分の都合だけで台無しにしちまうんだ

情報セキュリティに取り組む立場であれば、このように思う場面に幾度か遭遇したことがあるのでは無いでしょうか。

情報セキュリティとは

情報セキュリティマネジメントシステム(ISMS)では以下のように定義されています。

3要件(REQUIREMENT)[ISO/IEC 27002]

  • 機密性 (Confidentiality)

情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること

  • 完全性 (Integrity)

情報が破壊、改ざん又は消去されていない状態を確保すること

  • 可用性 (Availability)

情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること

4特性(OPTIONAL)[ISO/IEC JTC 1/SC 27]

  • 真正性 (Authenticity)

ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。

  • 責任追跡性 (Accountability)

あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できる事を確実にする特性。

  • 否認防止 (non-Repudiation)

ある活動又は事象が起きたことを、後になって否認されないように証明する能力

  • 信頼性 (Reliability)

意図した動作及び結果に一致する特性

領域

情報セキュリティは大きく二種類に分類される

  • 「物理」セキュリティ

建物や設備など「物理」エンティティを対象にしたセキュリティ

  • 「論理」セキュリティ

情報やセキュリティを維持する仕組みなど「論理」エンティティを対象にしたセキュリティ。システムセキュリティ、管理的セキュリティ、人的セキュリティからなる。

セキュリティリテラシー

セキュリティ(security)とは、「有形無形の資産」を「内外部の脅威」から保護することです。

セキュリティ対策というと不正アクセスと考えられがちですが、10年程前は情報漏えいの原因のうち、紛失・置忘れ(29.2%)、盗難(19.0%)で全体の約半数を占めていました(2006 JNSA)。 システムの変化や情報セキュリティの浸透もあり、紛失・置忘れ(8.0%)、盗難(3.7%)となっています(2012 JNSA, 以下同)。 最も多い流出ルートは管理ミス(37%)、誤操作(34%)などによるものです。 それでも、不正持出し(2.5%)、内部不正行為(1.3%)や不正アクセス(1.5%)といった故意によるものよりも高いことには変わりません。

情報資産を持ち出すこと自体がインシデントに繋がる行為であることを知る必要があります。

セキュリティを維持するために

セキュリティを維持し、浸透させるためには、具体的にどの程度のリスクが存在するのかを知らなくてはなりません。

  • LITERACY

資産の種類、その価値、その脅威を知る

  • RISK

脅威によって齎される損失、資産の脆弱性

  • POLICY

資産を脅威に曝さない、リスク軽減のための行動基準

情報資産の種類と脅威

個人情報 (PII[Personal Identifying Information]) とは、個人を特定できる情報の「組み合わせ」をさします。

  • ある企業に在籍している人(氏名と企業名)

名刺や企業サイトなどで公開されている情報で、一定の公開情報といえます。

  • ある人がどのエリアに住んでいるか(氏名と市町村名)

秘匿できない、明らかな情報で公開済み情報です。

*ある人の病歴(氏名と病歴)

基本的に秘匿された情報 (SPI[Sensitive Personal Information]) で、情報の保有者が公開しない限り公開されません。

公開情報、公然の事実は漏えいに際してリスクが低く、センシティブな情報はリスクが高くなる

ポリシー

資産の性質を理解した上で、保護とリスク軽減のためのプランを策定します。

「すべての情報が情報資産」であることは疑う余地の無いところですが、「公開情報」まで保護するように行動制限を科してしまうと、スキームを作る側は楽*ですが実行する側は窮屈に感じ、やがて利便性を優先するようになります。

あらゆるルールがそうであるように、実行するのは人です。無関心にさせないように、定期的な啓発や教育等の人的セキュリティが欠かせません。

免責事項

このサイトの掲載内容は筆者自身の見解であり、必ずしも所属する組織の立場、戦略、意見を代表するものではありません。 また、記載された内容を行った或いは行わなかった場合、或いはこの文章を参照した場合に発生した損失について、著者及び所属する組織はいかなるの責も負いません