本記事は、株式会社ギックスの運営していた分析情報サイト graffe/グラーフ より移設されました(2019/7/1)
目次
IT企業にとって情報セキュリティは最優先事項
インターネットの爆発的な普及によって社会の情報伝達速度は飛躍的に向上しました。それはすなわち負の方向の情報伝達速度も加速していることを意味します。情報漏えいや改ざんなど、ネット上の危害は我々の回りいたるところに存在します。これは、事業運営における非常に大きなリスクとなります。
これらを防ぐために「情報セキュリティ対策」が不可欠となります。弊社ギックスもお客様から大切なデータをお預かりしている企業です。この為情報セキュリティ対策には細心の注意をはらって日々の業務を行っています。今日は企業が行うべき情報セキュリティ対策の概要を説明します。
情報セキュリティとは?
日本工業規格(JIS)の用語集である「JIS Q 27000」には、
情報セキュリティ(information security)
機密性、完全性、可用性を維持すること。
(日本工業標準調査会のサイトより引用 http://www.jisc.go.jp/)
とあります。具体的に上記を維持するとはどういうことなのでしょうか?
機密性:許可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性
(JIS Q 27000より引用)
データを取り扱う上での行為は以下の4つに大別されます。
- データを見る
- データを追加する
- データを変更する
- データを削除する
機密性の維持は上記の中で「A.データを見る」に関する不正な行為を禁止する事を目的としています。
取り組みとしては、
- ID/PW等の「鍵」を用いて利用者を識別する
- 上記「鍵」の適切な管理
- 識別された利用者に「参照が許可されたデータの範囲」を設定し許可されない範囲に対するデータの参照を排除する
- 利用者が使用する「通信経路」の暗号化を行い第三者が通信を傍受することを排除する
- ネットに接続するサーバ群に対して適切な通信経路の設定を行い不正な通信の傍受および送信を排除する
- ネットに接続するサーバ群に対してプログラム設定を行い、プログラムによる不必要な通信の傍受および送信を排除する
- セキュリティ事故発生時においてはその事実を迅速に各ステークホルダで連携し迅速で適切な対応を体制の確立
などが求められます。
完全性:正確さ及び完全さの特性
(JIS Q 27000より引用)
機密性の維持は上記の中で「B,C,D.データを追加する・変更する・削除する」に関する不正な行為を禁止する事を目的としています。取り組みとしては、上記機密性の取り組みに加えて「データを誤って追加・変更・削除してしまった場合、その状態からすみやかに正しい状態に戻す事」です。すなわち、
- 上記の取り組み
- バックアップの作成
- バックアップからの復旧手順の確立
などが求められます。
可用性:認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性
(JIS Q 27000より引用)
この「可用性」という言葉をかみくだいて説明すると「サービスを提供するもの」つまりシステムが利用者に対していつもサービスを提供できる状態にある事をいいます。不正アクセス等を受けてシステムが長期間ダウンしないような取り組みが求められています。取り組みとしては、上記機密性および完全性の取り組みに加えて「不正行為の痕跡やシステムの挙動を追跡可能とするための記録の採取」や「万が一不正なアクセスが行われた場合における被害の局所化・最小化」が求められます。
すなわち、
- 上記の取り組み
- アクセスログ・情報変更記録など各種記録の採取
- 上記の保管
- システム内に保管するデータそのものを暗号化等で変換し、不正アクセス時の実害を最小化する
などが求められます。
データ分析用語:索引
