コロナウイルスという感染症の流行で、オフィスに出社しないで仕事するテレワーク(在宅勤務)が広く普及するようになった。
企業の機密事項などがネット上を飛び交うことになるわけだが、ここで大事なのはそれらが外部に漏れないようにすることである。
「セキュリティ」が重要なのである。
今回は情報処理における最重要分野、情報セキュリティについて観てみたい。
・情報セキュリティマネジメント
情報セキュリティとは何か?
近年、情報は重要な資産であると考えられている。
そんな重要な資産である情報の安全・安心を管理することだといえるだろう。
情報セキュリティのC.I.A
情報セキュリティ規格である JIS Q27001 では、情報セキュリティを、情報の機密性、完全性、可用性を維持することと定義している。
機密性(confidentiality)
認可されてない個人、エンティティ(団体など)またはプロセスに対して情報を使用させず、また、開示しない特性。
完全性(integrity)
正確さ及び完全さの特性。
可用性(integrity)
認可されたエンティティーが要求したときに、アクセス及び使用が可能である特性。
この3つが特に情報セキュリティにとって重要なことである。
JIS Q 27000 では情報セキュリティについて、さらに次の4点を含める場合もある。
真正性
エンティティは、それが主張するとおりのものであるという特性。
責任追跡性
あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性。トレーサビリティーのことである。
否認防止
主張された事象または処置の発生、及びそれを引き起こしたエンティティを証明する能力。
信頼性
意図する行動と結果とが一貫しているという特性。
・JIS Q 27000シリーズ
情報のCIAを維持するとともに継続的に改善する仕組みを情報セキュリティマネジメントシステム(ISMS:Information Security Management System)という。
JIS Q 27000シリーズはISO/IEC27000シリーズを基に策定された情報セキュリティに関する規格群であり、次のような規格が制定されている。
JIS Q 27000
情報セキュリティマネジメントシステム・・用語
JIS Q 27001
情報セキュリティマネジメントシステム・・要求事項
JIS Q 27002
情報セキュリティ管理策の実践のための規範
・情報セキュリティインシデント
サービスの停止や情報の漏えいなど、予期しない又は望まない情報セキュリティを脅かす可能性が高い出来事(イベント)を情報セキュリティインシデントまたは単にインシデントという。
このインシデントの潜在的な原因を脅威といい、一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点を脆弱性という。
脅威には盗聴やシステムのクラッキング、誤り、地震などが該当する。
脆弱性には、プログラムのセキュリティ上のバグ(セキュリティホール)、暗号化されていないデータ、施錠されてない入口などが該当する。
・リスク管理
組織におけるリスクを特定し、リスクの除去や最小化といった管理を行う一連の活動をリスクマネジメントという。
リスク識別→リスク分析とリスク評価→リスク対応
の手順でマネジメント(管理)していくのである。
リスク識別
情報資産、脅威、脆弱性の識別をして、現状の管理策(対策)の確認をする。
リスクが現実化した場合の影響(発生頻度や金額)の想定もしていく。
リスク分析と評価
特定されたリスクが実際に発生した場合に起こり得る結果と、特定されたリスクの現実的な起こりやすさについて分析し、これらの結果からリスクの大きさ(リスクレベル)を決定する。
リスクの大きさは次の2つの式で評価できる。
#リスクの大きさ=発生確率✖️被害額
#リスクの大きさ=情報資産の資産価値✖️脅威✖️脆弱性
ただしすべてのリスクが具体的な数値で評価できるわけではない。
リスク分析の手法としては、
定量的な分析・・具体的な金額でリスク評価
定性的な分析・・相対的な数値や等級でリスク評価
リスクの算定に重要なのは、すべてのリスクに客観的、統一的な評価をすることである。
リスク対応
リスク対応はリスクを修正するプロセスである。
| リスク低減 | 適切な管理策を用いてリスクが現実化する可能性や、 リスクが現実化した場合の損害の低減。 |
| セキュリティ技術の導入 入口の施錠 スプリンクラーの設置 | |
| リスク回避 | リスクの発生源となる業務や情報資産を放棄し、リスク の発生自体を回避する。 |
| セキュリティリスクの高い事業から撤退 重要度の高くない個人情報放棄 | |
| リスク移転 | 資産の運用やセキュリティ対策の委託、情報化保険など、 リスクを他者に移転する。 |
| システム運用をアウトソーシング 情報化保険により損失補填 | |
| リスク保有 | 識別され受容可能なリスクを意識的、客観的に受容する。 リスクが顕在化したときは、その損害を受け入れる。 |
| リスク現実化の影響が小さいときは、会社が損失額負担 |
・緊急事態計画(コンティンジェンシープラン)
大災害やテロ、戦争などの、まれにしか発生しないが発生すると莫大な被害を被る、ような事態を緊急事態(コンティンジェンシー)と呼び、緊急事態の発生に備えた計画をのことをコンティンジェンシープランという。
コンティンジェンシープランは以下の3つに区分される。
「緊急時対応計画」
緊急事態が継続してる間の対応をまとめる。二次災害の防止や影響の拡大防止が目標である。
「バックアップ計画」
システムが完全復旧するまでの計画。どのようなバックアップ施設で運用するかを考える。
「復旧計画」
通常業務に復旧するための計画である。
・終わりに
情報処理試験において、基本、応用ともに午後試験は情報セキュリティ必須となっている。
この分野は非常に重要だと国が認識している証拠だと思う。(情報処理試験は国家試験)
概要だけでも理解するのは有意義ではないだろうか。
