叡智の三猿

~情報セキュリティで森羅万象を捉える~

それが一番大事

情報セキュリティは大事だから個人情報の流出は絶対だめだよね。

情報セキュリティは「個人情報が流出しないようにする対策を立てること」という声をよく聞きます。確かに個人情報を適切に保護することは情報セキュリティの肝です。ただ、それは情報セキュリティに求める要素の一部です。

情報セキュリティは以下のように定義されています。

情報セキュリティとは

  • 情報セキュリティは、機密性、完全性、可用性(この3つをまとめて、情報セキュリティの3要素といいます)を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持すること。

情報セキュリティにはたくさんの要素や特性があります。「個人情報の流出を防ぐ」のは機密性の要素です。これが出来ただけで、情報セキュリティすべての要求を満たしていることにはなりません。

ただ、数多くある情報セキュリティの要素や特性をあらゆるシステムに同レベルで維持することは現実的ではありません。会社のヒト・モノ・カネは限界があるからです。

情報セキュリティのどの要素を重点的に確保するかの優先順位が必要です。それは、情報システムの特徴からある程度の判断ができます。

ここではEC(Electronic Commerce)を運営する会社をモデルとして、情報セキュリティの優先順位を考えてみます。

f:id:slowtrain2013:20201101120119p:plain
ECを運営する会社の関連システム

図のようにこの会社ではお客様(会員)にネットショップを提供するECシステムのほか、会社のバックオフイス機能(企業活動において顧客に直接に接する機会がなく、フロントの支援に回る業務)を支えるERPシステムと、お客様の購買頻度、購買総額、最近の購買状況から、顧客のランク付けを行い、顧客に必要なキャンペーンやサービスを企画するCRMシステムがあります。

ECシステム

f:id:slowtrain2013:20201101124823p:plain:w200
ECシステムは会社の売上の多くを支えています。ECシステムは24時間365日、お客様に提供できる必要があります。そのため、可用性の確保が重点施策です。可用性を確保するには、システムの冗長化が必要です。冗長というと、文章的には「だらだらして結論がない」というマイナスの語感ですが、システムではポジティブな言葉です。冗長化は情報システムの機能が障害による停止に備えて、システムの構成要素を二重化したり、バックアップシステムを用意することを含みます。

  • 可用性:情報が使用可能であること

また、ECを利用するお客様(会員)が、なりすましによるログインをされないように真正性の対策をすることが必要です。真正性を確保する手段として、認証があります。お客様IDとパスワードの組合せによる認証が多く採用されています。カード番号や指紋認証を組合せた多要素認証を提供すると、真正性は強化されます。

  • 真正性:通信相手や情報が本物であること
ERPシステム

f:id:slowtrain2013:20201101125209p:plain:w200
ERPシステムは会社の基幹業務を支えていて、多くの社員が利用します。ERPシステムから会社の財務諸表(決算までの年間の会社の財政状態をまとめた計算書)が出力されます。特に重要な貸借対照表損益計算書キャッシュフロー計算書は株主にも提供されます。そのため、完全性を確保することが必要です。完全性を損なうデータの改ざんを防止するためのアクセス制御や機器の物理的な保護が必要です。

  • 完全性:情報が正確な状態を保つこと

また、不具合が多く、社員の操作ミスを誘発するシステムは信頼性がありません。信頼性を確保するために、きっちりしたシステムの仕様を定め、提供にあたっては十分なシステムの検証が必要です。また、操作ミスを防ぐためのユーザインタフェースの向上や操作マニュアルの整備、ユーザ教育も必要です。

  • 信頼性:操作や処理が意図するどおりに動くこと
CRMシステム

f:id:slowtrain2013:20201101125327p:plain:w200
CRMシステムは顧客情報を使った戦略的業務に使われています。不正アクセスにより顧客情報が社外に漏えいすると機密性を著しく損ねます。そのためにはデータの暗号化は絶対条件です。また、戦略的業務の特性上、このシステムを利用する社員は限定的であるため、アクセス権の必要最小化することも必要です。

  • 機密性:権限を持つ人のみ情報にアクセスできること

また、システムへのアクセスをログとして記録することで、責任追及性を確保できます。ログは改ざんされたり、削除されないようにするため、ログ保管サーバを分け変更や削除が出来ないようにすることがより望まれます。

  • 責任追及性:動作や事象を追跡できること