情報セキュリティとは?
業務の遂行にはコンテンツが欠かせません。多くのコンテンツが日々生成され、利用されています。予算のスプレッドシート、雇用契約書、製品開発のブレーンストーミングの記録、購入者のペルソナなど、あらゆるコンテンツがビジネスを支えています。このように重要なコンテンツが流出した場合の影響はどのようなものでしょうか?競合が優位に立つ、ハッカーに顧客の個人情報を盗まれる、会社の財務に損害が生じるなどの事態が生じるおそれがあります。
情報セキュリティ(InfoSec)とは、企業の情報の無許可での利用・アクセス、改ざん、悪用、利用不能化、破壊から保護する一連の方法とプロセスを意味します。情報セキュリティの保護対象となるデータやコンテンツには、コンテンツクラウドに保存されているデータのように電子的なものと、印刷された契約書や文書ファイルのような物理的なものがあります。
情報セキュリティ
企業の情報を保護するための一連の方法とプロセス
情報セキュリティとサイバーセキュリティの違い
サイバーセキュリティと情報セキュリティ(infosec)は、同義で使用される場合があります。しかし、それぞれ別の意味を持っています。情報セキュリティはサイバーセキュリティの一部であるという点が、違いの1つとして挙げられます。サイバーセキュリティは、コンテンツや情報だけでなく、IT資産全体を第三者の攻撃から守る、より広範なプロセスや方法を意味します。情報セキュリティとサイバーセキュリティの基礎について、次のセクションで解説します。
サイバーセキュリティの基礎
サイバーセキュリティは、情報セキュリティよりも広い概念を表す用語です。サイバーセキュリティは、不正アクセスや悪用などの脅威からプログラムやサーバー、ネットワークを保護する目的で導入する方法やプロセスをさします。サイバーセキュリティは、ITセキュリティ(情報テクノロジーセキュリティ)とも呼ばれます。情報セキュリティが主にデータとコンテンツの保護に関する概念であるのに対し、サイバーセキュリティには、デバイスとネットワークの保護も含まれます。
サイバーセキュリティの主なカテゴリ
アプリケーションセキュリティ
情報セキュリティ
ネットワークセキュリティ
オペレーショナルセキュリティ
ディザスタリカバリ
サイバーセキュリティの主なカテゴリは次のとおりです。
- アプリケーションセキュリティ:デバイスやソフトウェアプログラムを脅威から保護する。例として、暗号化などのセキュリティ機能を備えたソフトウェアプログラムの設計および、脆弱性が発見された場合の修正パッチの発行などが挙げられる。
- 情報セキュリティ:保存中・転送中のデータを保護する。
- ネットワークセキュリティ:企業のコンピュータネットワークを保護し、ネットワークを標的とするマルウェアやハッカーによる侵入を防ぐ。
- オペレーショナルセキュリティ:ユーザー権限やパスワードの設定などの手法により、特定の種類のコンテンツやコンピュータネットワーク自体へのアクセスを制御する。
- ディザスタリカバリ:組織が攻撃される、業務が停止する、データにアクセスできなくなるなどの事態が生じた場合の対処方法を策定し、脅威に備える。
サイバーセキュリティ対策は、次のような脅威から組織を保護します。
- フィッシング:本物のメールやメッセージに見せかけて個人情報を開示させようとする行為。
- マルウェア:デバイスに損害を与える、あるいは、コンピュータプログラムやデータへの不正アクセスを行う目的で作成された、ウイルスやトロイの木馬などのコンピュータプログラム。
- ランサムウェア:デバイスをロックし、デバイスの所有者が身代金を支払うまでファイルやプログラムへのアクセスを不能にするマルウェア。身代金を支払ってもロックが解除されないケースも多い。
情報セキュリティの基礎
情報セキュリティの基礎的な役割は、不正使用や不正アクセスからデータを保護し、EUの一般データ保護規則(GDPR: General Data Protection Regulation)をはじめとする規制へのコンプライアンスを確保することです。GDPRは、世界で最も厳しいといわれているセキュリティとプライバシーに関する規制です。EU市民の保護を目的としたもので、EU市民からデータを収集する組織は、所在する国・地域を問わず、この規制に従う必要があります。
情報セキュリティの原則
秘密性(confidentiality)、完全性(integrity)、可用性(availability)
情報セキュリティの原則
情報セキュリティには、秘密性(confidentiality)、完全性(integrity)、可用性(availability)という3つの基本要素があります。情報セキュリティポリシーは、このうち少なくとも1つを確実にすることを目標とします。これらは「CIAの3要素」と呼ばれます。それぞれの要素について、以下に詳しく解説します。
- 秘密性
自社のコンテンツ保護について考えるときにまず重要になるのは、コンテンツに含まれるデータや情報の秘密性をいかに保つかということです。従業員の契約書、顧客情報など、重要なコンテンツの管理においては、許可されていないユーザーによるアクセスや閲覧を防止しなければなりません。CIAの3要素の1つである秘密性は、データの秘密保護を目的としています。必要な権限を持つ人だけが、特定の形式のコンテンツを閲覧できるようにすることを意味します。
企業の秘密情報を
保護するための手段
パスワード
暗号化
二要素認証
侵入テスト
企業の秘密情報の保護に役立つ手段の例を以下に示します。
- パスワードによる保護:推測されにくい強力なパスワードを設定することで、特定の種類のデータの閲覧を、許可された人だけに限定する。
- 暗号化:暗号化は、ある場所から別の場所に送信されるデータ(メール、クラウド上のデータなど)を、一見無意味に見える文字・数字列を埋め込んで加工することでデータを保護する。複合化する(元の状態に戻す)にはキーが必要。
- 二要素認証:二要素認証(2FA)は、ログインプロセスのユーザー認証をもう1段階追加し、2つの要素を組み合わせてセキュリティを強化する手法。本人確認として、ユーザー名・パスワードに加えて別の要素(例えば、テキストメッセージで送信される4桁のコードや秘密の質問に対する答えなど)の入力を求める。
- 侵入テスト:侵入テスト(ペネトレーションテスト)は、ハッカーが秘密データへのアクセスを試みる際の手口を用いて模擬ハッキングを実施し、コンテンツのプライバシーを強化すべき領域を特定する手法。
- 完全性
完全性とは、データやコンテンツの正しい状態を意味します。権限のないユーザーによるコンテンツ改ざんの防止はきわめて重要です。例えば、ハッカーにレシピの材料の量を改ざんされたとしたら、飲料製品が危険な毒物に変わってしまいます。そのような事態を確実に防止しなければなりません。また、従業員の契約内容が改ざんされて給与の額が変わってしまうような事態も避けなければなりません。
組織の内部不正からデータの完全性を保護することも重要です。同僚に嫉妬した従業員が、相手の個人ファイルにアクセスして勤怠報告の内容を変更したり、虚偽の記述や懲戒記録を追加して経歴を改ざんしたりするようなことがあってはなりません。
暗号化やパスワード保護など、コンテンツの秘密性を維持するための手段も、コンテンツの完全性の維持に役立ちます。さらに、実際に被害が発生した場合に必要となる、原状回復のための手段があります。前述のようなレシピやスプレッドシートへの不正なアクセスによって情報を改ざんされた場合でも、コンテンツを元の状態に復元する機能によってダメージを修復し、完全性を回復できます。
- 可用性
コンテンツの可用性とは、権限を持つユーザーによるコンテンツへのアクセスを維持することを意味します。必要のある人が、コンテンツをいつでも利用できるようにすること(ダウンロード、オープンなど)、特定のコンテンツへの迅速・即時のアクセスも、可用性の領域に含まれます。例えば、権限を持つユーザーが、待ち時間なしでファイルをオープンできる、面倒な手順を踏まずにコンテンツにアクセスできるなどの状況が、すなわち可用性の高い状況だといえます。
情報セキュリティの種類
情報セキュリティ対策で重視すべきポイント
ニーズに最適な情報セキュリティを選択し
脆弱性や不正アクセスからコンテンツを保護
情報セキュリティにはさまざまな種類があり、攻撃や不正アクセスに対するデータやコンテンツの脆弱性にそれぞれフォーカスしています。以下に例を示します。
アプリケーションセキュリティ
アプリケーションセキュリティは、ソフトウェアとハードウェアを保護するためのセキュリティ対策をさします。アプリケーションやソフトウェアプラットフォーム、ハードウェアの内部からコードやデータが盗まれるのを防止することを主な目的としています。例としては、コンピュータのIPアドレスを隠すルーターや、ユーザーの認証・認可を必要とするソフトウェアプログラムなどが挙げられます。誰がどのコンテンツにいつアクセスしたかを記録するログも、アプリケーションセキュリティの一種です。
インシデント対応
情報セキュリティには、侵害の防止を主な目的とするものの他に、インシデント対応を目的とするものがあります。インシデント対応では、発生した事象を分析したうえで将来的な防止計画を策定します。被害の最小化とコスト削減が、インシデント対応の主なポイントです。また、攻撃者を発見して告発したり、警察に証拠を提示したりする行為もインシデント対応に含まれます。
暗号化技術
データは、保存時も、他のユーザーへのメールの送信やデバイスへのダウンロードの際の転送中も保護が必要です。暗号化により、コンテンツのデータの完全性と秘密性が保護されます。暗号化技術は、コンテンツを第三者が解読できない形式に暗号化する技術をさします。複合化のための正しいキーを持たない、権限のないユーザーがファイルにアクセスしたとしても、ファイルの内容は意味をなしません。デジタル署名は、コンテンツの真正性と内容の中身の正当性を確認するもので、これも暗号化技術の1つです。
クラウドセキュリティ
多くの組織が、コンテンツ、データの保存にクラウドを利用し、インターネットに接続したデバイスからアクセスできるようにしています。クラウドに保存されたコンテンツの完全性と秘密性を確保するには、ソフトウェアやハードウェアと同様の保護対策が必要です。保護対策は、権限を持つユーザーにセキュアなアクセスを常時提供することにもつながります。
脆弱性対策
脆弱性対策は、潜在的な脆弱性の管理と低減を目的とした情報セキュリティです。例えば、ソフトウェアのアップデートによって新たな脆弱ポイントがもたらされるリスクや、古いアプリケーションが侵害・侵入の入り口となるリスクなどの潜在的な脆弱性を管理し、被害を最小化するための対策です。
情報セキュリティのポリシー
情報セキュリティのポリシー
コンテンツを保護するためのプロセスと手順を定義
情報セキュリティの3要素と情報セキュリティの全種類を含む包括的な情報セキュリティ対策を実施するにはどうすればよいでしょうか?効果的な情報セキュリティ対策のためのポイントの1つとして、コンテンツの保護に関するプロセスと手順をポリシーとして明文化することが挙げられます。情報セキュリティポリシーの内容は、規制の改正やテクノロジーの進歩、脅威の進化にあわせて定期的に更新する必要があります。セキュリティポリシーに含むべき主なポイントは次のとおりです。
目的と目標
ポリシーには、情報セキュリティの目的(顧客の保護や会社のレピュテーションの維持など)を明記します。さらに、情報セキュリティの施行によって達成したい成果や目標を明確にします。この目標は、CIAの3要素に沿ったものであることが重要です。例えば、データの秘密性を保持し、完全性を維持し、許可されたユーザーによるアクセスを保証するなどの内容が考えられます。
対象者の特定
ポリシーの対象者と非対象者を分類します。例えば、Boxのコンテンツクラウドにアクセスする従業員は全員が対象者となり得ます。一方で、クラウドにアクセスできない独立請負人(コントラクター)や、別のポリシーを持つ部署の従業員などは非対象者となる可能性があります。
利用規定
利用規定とは、従業員が自社のコンテンツをどのように利用できるかを示したものです。いつ、どこでファイルをダウンロードできるのか、ファイルの秘密性を守るために何をすべきかを明確に説明します。強力なパスワードとはどのようなものか、コンテンツの保護に必要なパスワードの設定ルールを定めたパスワードポリシーを含めることも有用です。
データのサポート方法
アクセス権を持つユーザーがデータやコンテンツをいつでも利用できるよう、データのサポートと運用に関するプロセスをポリシーの一部として定義します。定義する内容には、データの転送方法、暗号化をはじめとするデータ保護対策、データのバックアップとリカバリのプロセスなどが含まれます。
データの分類
企業活動では、一般に公開する文書から、企業の方針や業務の手順に関わる極秘情報まで、さまざまなコンテンツを扱います。データの分類の方針や方法も情報セキュリティポリシーで定義します。データを分類し、どのようなユーザーがアクセス権を持つのか、アクセス許可を得るにはどのような手順を必要かなどの詳細を明確にします。
役割と責任の定義
コンテンツに関して誰がどのような責任を持つのかをセキュリティポリシーで定義します。インシデント対応やデータセキュリティなどの役割の詳細および担当者・責任者を明確にすることが重要です。
情報セキュリティ対策
データのセキュリティを
維持するためのプロセスと手順
情報セキュリティ対策とは、組織が自社のデータのセキュリティを確保するために用いるプロセスや手順をさします。情報セキュリティ対策の主な観点としては次のものがあります。
- アクセスに関する対策:社内の特定の場所への立ち入りを一部の人のみに制限し、データへの物理的なアクセスを制御する方法と、クラウド上のコンテンツへのアクセスを制御する方法がある。
- 手順・プロセスによる対策:強力なパスワードの設定方法やインシデント対応の実施方法など、情報セキュリティに関するベストプラクティスについての社内教育を含む。
- 技術による対策:パスワードや暗号化、ファイアウォールその他、コンテンツを保護するソフトウェアやハードウェアのアプリケーションの導入を含む。
- コンプライアンスによるセキュリティ:GDPRやISO27001などの規制に従うことで、セキュリティを確保する。自社内に閉じたものではなく、主に外部機関による規制に対するコンプライアンスによるセキュリティ対策。
セキュリティ対策は、3つの面で情報を保護します。
- データ侵害の防止:パスワードや暗号化の機能、さらに、紙媒体のコンテンツを保護する物理的な手段などの防止策が含まれる。
- 脅威の検知:データ侵害やハッキングをリアルタイムで発見し、担当者に警告を出す。
- 是正・改善:実際にデータ侵害が発生した後に実施する。インシデント対応計画が一例として挙げられる。何が起こったのかを振り返ることが再発防止策につながる。
情報セキュリティに関する認定資格
情報セキュリティの分野には、さまざまな職責・役職があります。最高情報セキュリティ責任者(CISO)は、一般的に、組織の情報セキュリティプログラム全体を監督する責任者です。CISOという専任の役職を設ける場合と、最高セキュリティ責任者(CSO)やセキュリティ部門のVPが兼任する場合があります。
CISOやセキュリティ部門のVP、CSOになるまでの道のりはさまざまです。情報セキュリティの分野でそのような役職に就く人を養成するための認定資格制度も複数存在します。採用の際に重視すべき資格は、情報セキュリティ部門にどのような役割を期待するか、どのようなベンダーと取り引きしているかなどの要件によって変わります。
情報セキュリティに関する
認定資格
情報セキュリティの分野で
主要な役割を担う人を養成するための
認定資格制度
情報セキュリティの分野の主要な認定資格には次のものがあります。
認定ホワイトハッカー(CEH)
認定ホワイトハッカー(CEH: Certified Ethical Hacker)は、EC-Council(電子商取引コンサルタント国際評議会)が認定する資格です。取得するには、EC-Councilまたは関連組織が提供するトレーニングプログラムを受講する必要があります。また、情報セキュリティ分野における数年の実務経験も求められます。侵入攻撃の防止に重点を置いた認定です。
公認情報システムセキュリティプロフェッショナル(CISSP)
公認情報システムセキュリティプロフェッショナル(CISSP: Certified Information System Security Professional)は、サイバーセキュリティプログラムの設計・管理・実装能力を有することを証明する資格です。情報セキュリティだけでなく、サイバーセキュリティ全般を対象としています。
公認情報システム監査人(CISA)
公認情報システム監査人(CISA: Certified Information Systems Auditor)は、ISACA(情報システムコントロール協会)が認定する資格です。情報セキュリティ分野における数年の実務経験が求められます。資格を得るには、厳しい試験に合格したうえで申請手続きを完了する必要があります。さらに、資格を維持するには、監査基準を遵守し、継続教育の要件を満たさなければなりません。
GIACセキュリティエッセンシャル
GIACセキュリティエッセンシャル(GIAC Security Essentials)は、情報セキュリティの実務に必要な知識とスキルを有することを証明する資格です。この分野での経験年数が短くても情報セキュリティの概念や手順に関する基礎知識を持つ人を対象とした、入門レベルの資格です。
公認情報セキュリティマネージャー(CISM)
公認情報セキュリティマネージャー(CISM: Certified Information Security Manager)は、CISAと同様にISACAが認定する資格です。上級職へのキャリアアップをめざす中堅の情報セキュリティ専門家向けに設けられています。リスク管理、インシデント管理、情報セキュリティガバナンス、情報セキュリティに関するプログラムの管理・開発に関する専門知識を有することを証明します。
システムセキュリティ認定プラクティショナー(SSCP)
システムセキュリティ認定プラクティショナー(SSCP: Systems Security Certified Practitioner)は、ベストプラクティスを理解し、ITインフラの管理・運用・導入能力を有することを証明する資格です。
Boxによるコンテンツ保護の仕組み
企業活動には、悪意のある者に妨害されることのない、自由でセキュアなコンテンツのフローが不可欠です。コンテンツの完全性を保護し、改ざんされていないことを保証する手段も必要です。さらに、従業員が必要なときに必要な場所でコンテンツを利用できる可用性も重要です。
Boxのコンテンツクラウドは、CIAの3要素を満たすセキュアなプラットフォームにより、コンテンツの完全性、秘密性、可用性の維持を可能にしています。コンテンツクラウドにアップロードするコンテンツは全て暗号化されます。各ユーザーの役割と責任に沿ったユーザー制御と認証の設定が可能です。Boxのセキュリティとコンプライアンスの機能は、GDPR、ITAR/EAR、FINRA、HIPAAなどの規制に常に対応しています。
Box Shieldは、自動分類、スマートアクセスポリシー、マルウェアの検知、内部・外部脅威の検知などのセキュリティ機能によって、コンテンツの完全性を強化し、コンテンツへのアクセスを許可されたユーザーだけに限定します。Box Shieldと他のセキュリティ関連のツールとの統合によるセキュリティ対策の強化も可能です。
Boxは、クラス最高のエクスペリエンスでお客さまのニーズに応えます。ご相談・お問い合わせを承っております。こちらのページからお気軽にご連絡ください。
**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、このブログ記事で提供される情報は、法的助言の提供を意図したものではありません。適用される法律に対するコンプライアンスを検証する際には、お客さまが自らデューデリジェンスを実施することを推奨します。