最新情報セキュリティ対策総覧（第1回）保存版！対策が見えてくる「脅威の分類」

　情報漏えいは企業における情報セキュリティのリスクの1つにすぎない。企業を取り巻くさまざまな情報セキュリティリスクの排除、および低減が情報セキュリティ対策の基本になる。

　それでは、企業の情報セキュリティに関わる脅威にはどんなものがあるのか考えてみよう。大きく分けて「環境的脅威」と「人為的脅威」がある。

　環境的脅威は、地震や台風、水害、落雷、火災などの要因により、企業活動に欠かせない情報資産を毀損するリスクとなるものだ。例えば、「地震による建物の倒壊でオフィスのサーバーやパソコンが破損しデータが消失する」「水害でオフィスのサーバーが水浸しになり、保存されたデータが使えなくなる」「落雷による過電流でパソコンのディスクが破壊される」が該当する。

　一方、人為的脅威は、悪意のない偶発的な脅威と、悪意のある意図的な脅威に分類される。偶発的な脅威には、突然の「システム障害」と、そのほかには顧客情報が保存されたノートパソコンやスマートフォン、パソコンに装着するUSBメモリーの紛失や、電子メールの誤操作による情報漏えいなどの「人為的ミス」がある。

　意図的な脅威では、従業員や契約社員の「内部犯行」による情報漏えいや、インターネットを介した不正アクセスやウイルス感染、情報の改ざん・盗聴、なりすましなど「外部からの攻撃」がある。

　これらの環境的脅威と人為的脅威を勘案し、総合的に企業の情報資産を保護するための対策が必要になる。 

リスクと対策例のマトリクス

　情報セキュリティリスクに対する具体的な対策を考えてみよう。前述した「災害」「障害」「人為的ミス」「内部犯行」「外部からの攻撃」の5つの脅威に対する主なリスクとして、「データ消失」「システム停止」「情報漏えい」の3つの側面から、それぞれの対策を例示した。

[caption id="attachment_16608" align="aligncenter" width="650"] 情報セキュリティリスクの対策例[/caption]

 

　例えば、「災害」から情報資産を守るための対策としてバックアップがある。オフィスに設置したサーバーのデータを別の場所に分散保管しておけば、万一、災害などでデータを消失しても、バックアップデータを利用して業務を継続できる。システムや電源の障害に対しては、予備の装置を配置してシステムを稼働させたり、突然の停電時に一定時間、機器に電力を供給する無停電電源装置を導入したりする方法もある。

　「人為的ミス」による情報漏えいなどを防ぐ対策として、USBメモリーなどの使用を制限するデバイス制御、メール送信などの誤操作を防ぐためのマニュアル作成や従業員教育もポイントになる。また、「内部犯行」を抑止するためのアクセス制御やログ管理などに加え、「外部からの攻撃」を防ぐ対策として、社内ネットワークへの攻撃を遮断する不正アクセス防御やウイルス対策などがある。

　これら複数の対策を組み合わせてサイバー攻撃や情報漏えいを防ぐ。企業のIT担当者の中には、情報セキュリティ対策を施すべき要因が増え、どこから手をつければよいか悩んでいるケースも多いだろう。これまで述べてきたように、情報セキュリティ対策はリスク軸で分類すると分かりやすい。環境的なものと人為的なもの、人為的なものの中で偶発的なものと意図的なものに分ける。さらに、「災害」「障害」「人為的ミス」「内部犯行」「外部からの攻撃」とブレークダウンしていけば、自社が対策すべき優先事項が見えてくる。

　企業を取り巻くさまざまなリスクから自社の情報資産を守ることはもちろん、顧客・取引先に対して安全なビジネスを遂行するための情報セキュリティ対策の強化は、経営者の責務であることを肝に銘じたい。

※掲載している情報は、記事執筆時点のものです