IT導入のヒントブログ IT BLOG
情報セキュリティとは?|中小企業へのサイバー攻撃が増加しています
こんにちは、スミリオンの吉田です。
中小企業でもサイバー攻撃が相次いで起きており、こらから2020年の東京オリンピックに向けて、日本ではますます攻撃の拡大そして巧妙化が進むと言われています。しかし、中々自社においては危機感が薄く、他人事にように感じている企業も多いのではないでしょうか。
しかし、決して他人事ではなく、もしかしたらすでに、攻撃者に不正侵入されてPCにマルウェアを仕込まれたり、あなたの会社の大切なデータを奪っているかもしれません。しかも、そのことに気づかずにいる会社も少なくありません。
私が今、多くの中小企業に感じているのは、その他の経営リスクに比べて、セキュリティのリスクについては検討、対策が十分なされていないのでということです。費用をかけられないという話もありますが、それ以前に検討するにあたって必要な情報を入手し、検討している中小企業が少ないのが現状ではないでしょうか。
そこで、すこしでも分かりやすくセキュリティに関しての情報をこのブログで発信できればと思います。今回は、情報セキュリティの基本的なことについて書きたいと思います。
突然ですが、情報セキュリティって何ですか?と聞かれたらどう答えますか。
一般的には、価値ある情報資産をサイバー攻撃や人的ミス、ハードやソフトの故障や不具合などのあらゆる脅威から守ることです。
ISO/IEC27001では次のように定義しています。
「情報の機密性,完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。」
なんかよく分かりませんね。少し説明します。はじめに情報の「機密性、完全性、可用性」とあります。これらは情報セキュリティの3要素と言われ、英語では、「Confidentiality、Integrity、Availability」となり、頭文字をとって、情報のCIAともいわれています。
この3つを維持するとは、
機密性(Confidentiality)
許可された者だけが情報にアクセスできるようにすることです。
→許可されていない者からアクセスされないようにする
完全性(Integrity)
保有する情報が正確であり、完全である状態を保持することです。
→情報が破壊や消去、改ざんされないようにする
可用性(Availability)
許可された者が必要なときにいつでも情報にアクセスできるようにすることです。
→許可された者がエラーやアクセス禁止等にならず、常に情報を利用できるようにする
つまり、情報セキュリティとは情報の機密性、完全性及び可用性を維持することです。
真正性、責任追跡性、否認防止及び信頼性については、次回で書きたいと思います。