企業において、もはやITの活用は必要不可欠な存在となっています。一方、情報セキュリティの「脅威」も、年々深刻化している状況です。
本記事では、情報セキュリティにおける「脅威」について、概要・具体例および対策について詳しく紹介します。
どの企業でも、情報セキュリティの「脅威」にあってしまう可能性はゼロではありません。万が一「脅威」にさらされたときのために、本記事をお読みください。
目次
脅威とは?
最初に、情報セキュリティ上の「脅威」の、定義・種類・具体例・影響について、解説します。
脅威の定義
脅威の定義は「システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因」とされています。つまり、ISMSにおいては、情報セキュリティに対して損害を与える何らかの要因を指します。最も代表的な例としては、「サイバー攻撃」「盗難」「紛失」などが挙げられます。
なお、脅威に関連した言葉には、「脆弱性」「リスク」があります。
脆弱性は「一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点」とされ、脅威によって狙われる度合いのことを指します。たとえば、情報システムやネットワーク、データに存在する欠陥や弱点が当てはまります。
リスクは「目的に対する不確かさの影響」とされ、脅威が脆弱性を悪用することで発生する、損害の可能性や影響の大きさを表しています。脅威が脆弱性を利用することで、リスクが発生するという関係性にあります。
脅威の種類
脅威を分類する場合、様々な分類の方法が考えられますが、ここでは「技術的脅威」「人的脅威」「物理的脅威」の3種類に分けてご説明します。
技術的脅威とは、不正なプログラムやソフトウェアなどによりもたらされる脅威を指します。わかりやすくいうと、ネットワーク経由でのサイバー攻撃や、不正・迷惑プログラムによる脅威の総称が、技術的脅威であると考えればよいでしょう。
人的脅威とは、文字通り人によって引き起こされる脅威を指します。人的脅威には、「人が故意に引き起こす脅威」「人が故意ではなく引き起こす脅威」があります。故意によらない脅威としては、過失や誤操作などがあります。
物理的脅威とは、自然災害(地震・台風など)や火災など、万が一の事態によって引き起こされる脅威を指します。
脅威の具体例
技術的脅威
技術的脅威の代表的な例としては、「コンピュータウイルス」「フィッシング詐欺」「ランサムウェア」などがあります。
コンピュータウィルスは、ターゲットとなるコンピュータに、悪意ある第三者が不正ファイルを送り、受信者がファイルを実行することで感染します。ウイルスに感染してしまうことで、コンピュータのデータ破壊や改ざんが行われる脅威です。
フィッシング詐欺とは、実在する金融機関を装った悪意ある第三者が、ターゲットに対してメールを送付することで、偽の公式サイトへ誘導させます。そして、クレジットカード番号などの個人情報を入力させることによって、個人情報を盗み出す脅威です。
ランサムウェアは、悪意ある第三者が社内ネットワークに侵入し、コンピュータを使用不能な状態にし、コンピュータを復旧させるために身代金を要求する脅威です。
人的脅威
故意による人的脅威としては、社員による機密情報の持ち出しによる情報漏洩や、データをわざと改ざん・削除してしまうといった行為があります。
故意ではなく、過失による人的脅威としては、個人情報や顧客情報といった、重要情報が保管されていたパソコンを電車内に置き忘れてしまい、重要情報が外部に流失してしまうといったケースなどがあります。
物理的脅威
物理的脅威の具体例としては、地震・洪水・火災などによってコンピュータが物理的に障害を発生してしまったり、停電によってシステムが利用できないといった脅威。また、コンピュータの盗難などがあります。
脅威の影響
脅威が実際に発生した場合には、組織に重大な影響を及ぼす可能性があります。機密データや個人情報データの漏洩にともなう自社の信頼性の失墜。システムで制御している製造ラインの停止にともなって引き起こされる経済的損失などがあります。
また、インフラ(電気・ガス・水道など)のサービスを支援するシステムの停止によって、国民生活に甚大な悪影響を与えるケースもありえます。
脅威に対する対策
これらの脅威に対する対策としては、大きく以下の4種類があります。
・組織的対策
・人的対策
・物理的対策
・技術的対策
それぞれの対策内容について、詳しくみていきましょう。
組織的対策
組織的対策とは、組織内に規程を整備する、管理者や責任者などの役割を決める、監査を行うなど、組織を挙げて対策を行うものです。
自分たちの組織にISMS(情報セキュリティマネジメントシステム)を導入することが、まさに組織的対策の一つといえます。
人的対策
人的対策とは、社員による意図的な不正(データ持ち出しなど)、偶発的な不正(データの誤削除など)を防ぐために行われる対策です。
具体的な対策としては、情報セキュリティに関するリテラシー向上のための社員向け教育の徹底や行動指針の制定。データ削除・更新作業時のダブルチェックの実施や、プログラムの修正・データ更新時の作業内容のマニュアル化や作業チェックリストの作成などがあります。
物理的対策
物理的対策とは、物理的な機器・設備を導入することによる、セキュリティ対策を指します。
たとえば、オフィス入室時の顔認証チェックや指紋認証チェックの導入。オフィスやシステムのハードウェアが設置されている場所への監視カメラの設置、警備員の配置などの対策があります。
技術的対策
技術的対策とは、ハードウェア・ソフトウェアのセキュリティ設定を強化する対策です。
ファイアウォールの設置、セキュリティツール(コンピュータウィルス対策ソフトなど)の導入、およびOS・ソフトウェアのパッチを常に最新化するなどの対策があります。
情報セキュリティ上の脅威に対して適切な対策を図ろう
本記事では、情報セキュリティ上の「脅威」について、概要・種類・具体例および脅威にあった場合の影響・対策について、詳しく解説しました。
脅威には、その性質によって「技術的脅威」「人的脅威」「物理的脅威」があること、またそれぞれの脅威に対して、さまざまな対策があることがわかったのではないでしょうか。
さらに、対策には「組織的対策」もあり、ISMS認証を受けることが対策例であることも解説しました。本記事を参考に、情報セキュリティ上の脅威に対して、適切な対策を図ることをおすすめします。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
