in

中小製造業へ向けた情報セキュリティ講座_その1_セキュリティリスクについて

 

はじめに

…突然ですが、あなたの会社の情報セキュリティは大丈夫でしょうか?

「うちは自社でシステムも持ってないし大丈夫だよ」
「大手じゃないんだから狙われないだろうし大丈夫だよ」
そう思う方もいらっしゃるかもしれませんが、それでも情報セキュリティについて考えなくて良いというわけではありません。
何か事が起きた後に、唇を噛みしめながら「何か対策しておけばよかった…」では遅いのです。

この講座で紹介する内容は、何も「ウン百・ウン千万かけて情報セキュリティを強化しよう」というものではありません。
情報セキュリティに関することを、皆さんに知って頂くことが目的です。

第一回として、今回はセキュリティリスクについてお伝えできればと思います。

セキュリティリスクを生み出す三つの要素について

セキュリティリスクは、情報資産・脅威・脆弱性によって構成されます。
有効な情報セキュリティを実施するには、自社にどのような情報資産・脅威・脆弱性があるかを把握しておくことが大事です。

情報資産とは

自社が持つ情報セキュリティの中で、保護されるべき対象を情報資産といいます。

情報資産の例としては、以下のようなものが挙げられます。

  • PC
    • OS情報
    • パッチ情報
    • ソフトウェア
  • ルーターなどのNW機器
  • USBメモリなどの記録媒体
  • 紙で保存している顧客情報

情報セキュリティの強化に向けて、これらの情報資産を、情報資産管理台帳にまとめてみましょう。
情報資産管理台帳の書き方については、以下の記事を参考にしてみてください。
【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方

脅威とは

物理的脅威

物理的脅威とは、直接的に情報資産が破壊される脅威のことを指します。

以下に、物理的脅威とその対策の例を挙げます。

  • 火災
    →防火壁、スプリンクラー、消火器、可燃物の持ち込み禁止
  • 地震
    →免震構造社屋、データの遠隔地保存、危機管理計画の策定
  • 落雷・停電
    →予備電源の確保、避雷針の設置、自家発電装置の導入
  • 侵入者による破壊・盗難
    →警備員の設置、入退室管理、機器・書類の施錠管理
  • 過失による機器・データの破壊
    →バックアップの取得、一般事務室とサーバールームの分離
  • 機器の故障
    →機器の二重化、予防保守の実施、ライフサイクル管理

技術的脅威

技術的脅威とは、論理的に情報資産が漏洩・破壊される脅威のことを指します。

以下に、技術的脅威とその対策の例を挙げます。

  • 不正アクセス
    →認証の設定、パスワードの適切な管理、ログの監視
  • 盗聴
    →データの暗号化
  • コンピューターウイルス
    →ウイルスチェックソフトの導入、パターンファイルの更新、OSやアプリのバージョンアップ
  • ソフトウェアのバグ
    →検収の規定、品質管理基準の導入

人的脅威

人的脅威とは、内部でのミス・内部犯による犯行によって、情報資産が漏洩したり失われたりする脅威です。
セキュリティ侵害のうち、最も大きな原因が人的なミスとなっています。

以下に、人的脅威とその対策の例を挙げます。

  • 内部犯
    →セキュリティリテラシーの向上、教育によるセキュリティ意識の醸成、権限分離、アクセス管理
  • 人的ミス
    →業務手順の明確化、チェック機能の充実
  • サボタージュ
    →教育によるセキュリティ意識の醸成、罰則規定

脆弱性とは

物理的脆弱性

物理的脆弱性とは、物理的な施策でコントロールが可能な脆弱性を指します。

以下に、物理的脆弱性の例を挙げます。

  • 耐震・耐火構造の不備
  • ファシリティチェックの不備
  • 機器故障対策の不備
  • 機器紛失対策の不備

技術的脆弱性

技術的脆弱性とは、システムの設定やアップデートによってコントロールが可能な脆弱性を指します。

以下に、技術的脆弱性の例を挙げます。

  • アクセスコントロールの不備
  • コンピューターウイルス対策の不備
  • セキュリティホール
  • テストの不備

人的脆弱性

人的脆弱性とは、人が介在する脆弱性です。
他の脆弱性と比較して、多くの要員が関連するためコントロールが難しいです。

以下に、人的脆弱性の例を挙げます。

  • 組織管理の不備
  • 過失
  • 犯罪を起こしやすい環境

おわりに

ここまで、情報資産・脅威・脆弱性に関する説明とその例を挙げてきました。

情報セキュリティは、強い会社づくりに必要不可欠と私は思います。

「こんなの当然知ってたし対策済みだよ」と思われた方は、継続して対策を続けていただければと思います。
「こんなのも脅威になるのか」と思われた方は、セキュリティ対策の実施を検討してみて下さい。

Written by Masahide Yasui

What do you think?

時代はクラウドなんですよ

日本の製造業が知らない世界標準「リーン/シックスシグマ」