情報システムやインターネットは、企業や組織の運営に欠かせないものになりました。しかし、利便性の向上と引き換えに、大きな危険性を抱え持つことになってしまいました。情報システムの停止による損失、顧客情報の漏洩による企業や組織のブランドイメージの失墜など、情報セキュリティ上のリスクは、企業や組織に大きな被害や影響をもたらします。また、多くの場合、被害や影響は取引先や顧客などの関係者へも波及します。
企業や組織にとって、情報セキュリティに対するリスクマネジメントは重要な経営課題のひとつと考えなければなりません。特に、個人情報や顧客情報などの重要情報を取り扱う場合は、これを保護することは、企業や組織にとっての社会的責務でもあります。
情報セキュリティの概念
企業や組織における情報セキュリティとは、企業や組織の情報資産を「機密性」「完全性」「可用性」に関する脅威から保護することです。
(情報資産には紙の資料も含まれます)
個人情報は必須ですが、企業や組織によって守るべき情報資産が異なるので、守るべき情報資産を特定してから、情報セキュリティ対策を行うことが重要です。(足りない、やりすぎを防ぐ)
保有する情報資産の特質をよく検討し、機密性、完全性、可用性のバランスを考慮しながら情報セキュリティ対策を行うことが大切です。
| 要素 | 要素の説明 | 保護できていないと 起こること |
| 機密性 | 権利を持った人のみ情報にアクセスしたり、情報を使ったりできる状態にしておくことです | 情報漏えい 不正アクセス |
| 安全性 | 情報が破損したり改ざんされたりしていない、元の情報のまま完全な状態が保たれていることです | 情報の改ざん |
| 可用性 | 情報をいつでも使える状態に保持することです、いつでも情報を利用できるようにします | システムや業務の停止 |
セキュリティ事故と企業活動への影響
以下のようなセキュリティ事故は、組織の規模に関係なく、どのような組織でも発生する可能性があります。
これらの事故を可能な限り防止・軽減するため、適切な情報セキュリティ対策を導入する必要があります。
| 主なセキュリティ事故 | 企業活動への影響 |
| 機密情報の漏洩 | 競争力や信頼を損なう可能性があります。ウイルスへの感染や社員による不正な情報の持ち出し、記録媒体の紛失など、さまざまな原因により、多くの組織で情報漏洩が実際に発生しています。 |
| 個人情報の流出 | 賠償や訴訟などの大きな問題にまで発展することがあります。企業のブランドイメージを大きく低下させ、顧客離れなど、経営に大きな影響が出る可能性があります。 |
| ホームページの改ざん | 企業イメージの毀損(きそん)につながります。ウイルスを埋め込まれてしまった場合には、ホームページの訪問者のコンピュータを感染させてしまうこともあります。 情報セキュリティ対策が不足しているということを露呈することにもなり、取引会社からの信頼を失い、取引停止などにつながるかもしれません。 |
| システムの停止 | すべての業務が停止してしまうことがあります。その間に顧客が競合会社のサービスに移動してしまい、販売機会を失うことになるかもしれません。 |
| ウイルスへの感染 | 様々なトラブルの原因になります。ウイルスは、既に感染したパソコンを使って、ウイルス自身を複製して他のパソコンに感染を広げたり、利用者が気づかないところでネットワーク上の他のパソコンを攻撃したりすることがあります。組織としてこうした情報セキュリティ対策の不十分なパソコンを保有することで、他者に損害を与え、社会的な非難や、損害賠償請求を受ける可能性もあります。 |
サイバー攻撃の糸口
組織や企業を脅かすサイバー攻撃には、様々な攻撃の糸口があり、必要な情報セキュリティ対策も多様です。
限られたリソースで最大限の効果を上げるために、自社の実情も考慮しながら、すぐに実行できる対策から進めて、対策レベルを上げていくことが重要です。
サイバー攻撃との戦いは、変化の激しい、終わりのない戦いです。「これさえやっておけば大丈夫」とはなりませんので、定期的な見直しを行ってください。
| 攻撃の糸口 | 情報セキュリティ対策 |
| ソフトウェアの脆弱性 | ソフトウェアの更新 |
| ウイルス感染 | セキュリティソフトの利用 |
| パスワード搾取 | パスワードの管理・認証の強化 |
| 設定不備 | 設定の見直し |
| 誘導(罠にはめる) | 脅威・手口を知る |
| 機器の障害 | 定期的なバックアップ 無停電電源装置の設置 |
情報セキュリティ対策の体制
経営層は、組織的に情報セキュリティ対策を行う体制を整備し、継続的に活動できるようにしなければいけません。
継続的に活動するには、以下が必要になります。
- 専門知識を持つ情報セキュリティ担当を配置する
- 継続的に情報セキュリティ対策の予算を確保する
- 専門知識を持つ社員・職員を増やす
サイバー攻撃は終わる事のない戦いです。自社に合った戦い方を考えて、「いざという時」に備える必要があります。
情報セキュリティマネジメント
情報セキュリティの確保に組織的・体系的に取り組むことを 情報セキュリティマネジメント と言います。
情報セキュリティマネジメントを行うには、情報セキュリティ対策の方針と規則を定めることが必要です。規定化された対策の方針や行動指針を 情報セキュリティポリシー と言います。
情報セキュリティポリシーを定めたら、すべての社員や職員に教育を行い、情報セキュリティポリシーに沿った行動が実行されるよう、意識の向上を促します。
| 策定のポイント | 進め方の注意事項 |
| 策定に参加する人 | 情報セキュリティポリシーは、企業や組織の代表者が制定するものです。可能な限り、代表者や幹部が策定の作業自体にも関わるようにしてください。 |
| 情報セキュリティポリシーの概要 | 情報セキュリティポリシーは、「基本方針」「対策基準」「実施手順」 から構成されます。 <基本方針> 企業や組織の代表者による 情報セキュリティに対する方針・宣言 を記載します。 <対策基準> 基本方針を実践するために、守るべき情報資産を特定し、想定されるリスクに対する対策を規定します。遵守事項や判断基準も記載します。 <実施手順> 全組織共通の手順や、業務・システム個別の手順と運用方法を記載します。 |
| 策定の留意点 | 形だけのものにならないように、以下を留意して策定してください。 ・守るべき情報資産を明確にする ・対象者の範囲を明確にする ・できる限り具体的に記述する ・社内の状況を踏まえて、実現可能な内容にする ・運用や維持体制を考慮しながら策定する ・形骸化を避けるために、違反時の罰則を明記する |
| 情報セキュリティ教育 | 全社員や職員に、定期的な情報セキュリティ教育が必要です。 分厚い資料を渡したり、形だけの方針や指針を伝えたりするだけでは、情報セキュリティポリシーに則って行動してもらうことはできません。 情報セキュリティに関する同意書にサインしてもらう、違反時の規定を設けるなどの方法で、情報セキュリティポリシーを意識させる仕組みが必要です。すべての社員や職員が遵守するからこそ、情報セキュリティポリシーに意味があり、情報セキュリティ対策が効果的になります。 |
| トラブル発生を想定した演習 | トラブル発生を想定した演習を定期的に行うことも有効です。この演習は、情報管理のみが実施すればよいものではなく、経営層から一般社員まであらゆる立場の社員・職員の参加が望ましいです。 |
| 定期的な見直し | 情報セキュリティポリシーは、運用を開始した後にも、社員や職員の要求や社会状況の変化、新たな脅威の発生などに応じて、定期的な見直しが必要です。見直しを行った後には、社員や職員への周知と再教育が必要です。見直し作業を継続的に繰り返すことが、情報セキュリティ対策の向上に役立ちます。 |
| 事故やトラブル発生時の対応 | 情報セキュリティに関わる事故やトラブルが発生した場合は、情報セキュリティポリシーに記載されている対応方法に則して、適切かつ迅速な処理を行うことことで、被害や損失を最小限に抑えることができます。 昨今ではBCP(事業継続計画)を策定することも多いですが、その観点で事故やトラブルの対応方法を策定しておくことも有効です。しかし、実際にトラブルが発生した場合は、事前に策定した手順通りにはいかないことも多々あります。その際は、経営判断が求められることとなります。 復旧のために通常業務をいつまで、どの範囲まで止めるのかといった判断や、ランサムウェアの被害に遭った際、通常は支払うものではないとされる身代金について、人命がかかっている等の緊急時には敢えて支払う判断もあり得ます。これらの判断は、被害のあった部署や情報セキュリティ担当に任せるものではなく、経営側が判断を下す必要があります。 |
個人情報取扱事業者の責務
個人情報保護法は、2005年4月から全面施行された法律で、個人の権利と利益を保護するために、個人情報を保有する事業者が遵守すべき義務などが定められています。
個人情報取扱事業者 とは、個人情報保護法第2条第5項において、「個人情報データベースなどを事業の用に供している者」と定義されています。また、個人情報とは、生存する個人に関する情報のことで、氏名、生年月日などのデータによって特定の個人を識別できる情報、または 個人識別符号を含む情報のことを指しています。
個人情報保護法では、個人情報取扱事業者に対し、以下のことを義務付けています。
- 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えてはいけない
- 個人情報を取得する場合には、利用目的を通知・公表・明示しなければならない
- 個人情報を安全に管理し、従業員や委託先も監督しなければならない
- あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない
- 事業者の保有する個人情報に関し、本人からの求めがあった場合には、その内容を開示を行わなければならない
- 事業者が保有する個人情報に関し、本人から個人情報の訂正や削除を求められた場合、訂正や削除に応じなければならない
- 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない
漏えい等発生時の報告の義務化
2022年4月施行の改正個人情報保護法により、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が義務化されました。
虚偽報告等の場合、行為者・法人等に対し50万円以下の罰金が科せられます。
漏えい等の報告に基づき、個人情報保護委員会から出される命令に違反した場合は、行為者に対して1年以下の懲役又は100万円以下の罰金、法人等に対して1億円以下の罰金が科せられます。
漏えい等の報告が必要な事案は以下の通りです。
| 類型 | 報告を要する事例 |
| 要配慮個人情報の漏えい等 | 従業員の健康診断等の結果を含む個人データが漏えいした場合 |
| 財産的被害のおそれがある漏えい等 | ・送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合 ・個人データであるクレジットカード番号の漏えい (住所、電話番号、メールアドレス、SNSアカウント、銀行口座情報といった個人データのみの漏えいは、直ちにこれに該当しない) |
| 不正の目的のおそれがある漏えい等 | 不正アクセスにより個人データが漏えいした場合 |
| 1,000件を超える漏えい等 | システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合 |
漏えい等の報告の期限は以下の通りです。
| 時間的制限 | 報告内容 | |
| 速報 | 報告対象の事態を知ってから「速やかに」 (当該事態を知った時点から概ね3~5日以内) | 報告をしようとする時点において把握している内容 |
| 確報 | 報告対象の事態を知ってから30日以内 (不正の目的によるおそれがある漏えい等の場合は60日以内) | 全ての報告事項(合理的努力を尽くしても、全ての事項を報告できない場合は、判明次第、報告を追完) |
最新の情報セキュリティ対策
情報セキュリティ対策を確実に行っていても、万が一は起こり得ます。従来のウイルス検出ソフトだけでは、侵入と拡散は防げません。最新の情報セキュリティ対策は以下のとおりです。
EDR(Endpoint Detection and Response)
情報端末(エンドポイント)の挙動を監視する仕組みです。各端末にEDRを導入すると、不審な挙動を検知して管理者へ通知します。管理者はマルウェアのデータやログを解析して侵入経路や原因を特定し、感染の恐れがあるエンドポイントのネットワークを遮断して攻撃を防ぐことができます。従来のウイルス検出ソフト(アンチウイルス)では防げなかった未知の脅威も検知できますが、ウイルス自体の感染は防げないため、ウイルス検出ソフトとセットで導入します。
XDR(Extended Detection and Response)
情報端末だけでなく、クラウドサービス、メール、業務システムといった社内システム全体の挙動を監視し、攻撃されたエンドポイントの隔離・修復を自動で行います。ウイルス自体の感染は防げないため、ウイルス検出ソフトとセットで導入します。
UTM(Unified Threat Management)
統合脅威管理と呼ばれています。ネットワークに対する脅威を検知して阻止する事ができます。ファイアウォール、アンチウイルス、アンチスパム、Webフィルタリング、IDS(Intrusion Detection System/不正侵入検知システム)、IPS(Intrusion Prevention System/不正侵入防御システム)といった様々なセキュリティ機能を1つに集約したもので、個別に設置する必要があったものが1つで済むようになります。
見守り監視・運用サービス
EDR・XDR・UTMを導入しても、監視と適正な処置を行わないと、有効なセキュリティ対策とはなりません。機器の販売だけをおこなう業者も多いため、EDR・XDR・UTMの導入時、導入後のメンテナンスや問い合わせ対応ができる業者を選ぶことが重要です。
見守り監視サービスは、多くの場合が有償で、年間数十万円単位のランニングコストが発生します。専門性が高く、社内で要員を雇用するよりは安くなりますが、EDR・XDR・UTMの導入とセットになるので、セキュリティ対策にどこまでお金を掛けるのか、経営者の判断が必要です。
サイバー保険
ウイルス感染 や 情報漏えい、ラムサムウエアによる暗号化被害 が発生した場合、専門家の知識と技能が必要になります。専門性が高いため、調査費用+復旧費用で数千万円の費用が発生する場合もあります。合わせて、情報漏えいの被害に遭われた方への賠償金の支払い も考慮しないといけません。必ず入る必要はありませんが、選択肢の一つとして覚えておいてください。契約する場合は、掛け金の額だけでなく、何をどこまで補償してもらえるのか、必ず確認してください。
最新の情報セキュリティの脅威に注意を払う
情報セキュリティ上のリスクは、時間とともに変化します。現状の情報セキュリティ対策に満足するのではなく、最新の情報セキュリティの脅威に注意を払い、継続的に対策を見直すことが大切です。最新の情報は以下のサイトから入手できます。
| 提供組織名 | 情報サイト名 | 提供元の説明 |
| IPA 独立行政法人 情報処理推進機構 | 情報セキュリティ | 経済産業省のIT政策実施機関です。 情報セキュリティに関する最新の情報提供や啓蒙活動、相談窓口を開設しています。 |
| 総務省 | 国民のためのサイバーセキュリティサイト | 情報通信分野を所管する省で、サイバーセキュリティ統括官を配し、サイバーセキュリティ政策、情報化に関する施策の提言、電気通信施策の推進を行っています。 |
| JPCERT/CC | Japan Vulnerability Notes | JPCERTコーディネーションセンターの略称です。 特定の政府機関や企業からは独立した中立の組織として、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供しています。 |
| NOTICE | 最近の観測状況 | 総務省、国立研究開発法人情報通信研究機構(NICT)、インターネットサービスプロバイダー(ISP)が連携し、IoT機器のセキュリティ対策向上を推進するために設立されたプロジェクトです。NOTICEでは、サイバー攻撃に悪用されている、悪用される危険性があるIoT機器を観測し、ISPへ対策の要請を行っています。 |
| フィッシング対策協議会 | 緊急情報 | JPCERTコーディネーションセンター が事務局の協議会です。 違法なサイトの情報収集や情報提供、閉鎖向けた働きかけを行っています。 |
| 動画コンテンツ | 再生時間 | 提供元 |
| 今、そこにある脅威~内部不正による情報流出のリスク~ | 約18分 | IPA 独立行政法人 情報処理推進機構 |
| 今、そこにある脅威~組織を狙うランサムウェア攻撃~ | 約15分 | IPA 独立行政法人 情報処理推進機構 |
| ハケンが解決! 情報セキュリティ規程作成のポイント | 約12分 | IPA 独立行政法人 情報処理推進機構 |