情報セキュリティ管理とは? 重要性や実施時のプロセスを解説
企業が保有する個人情報や機密データを保護するために、情報セキュリティ管理の取り組みは不可欠です。情報セキュリティを適切に管理できていない場合、企業の社会的信用や事業継続にも深刻な影響を与える可能性があります。では、情報セキュリティ管理は具体的にどのように実施するのでしょうか。
本記事では、情報セキュリティ管理の基本的な知識や重要性、導入・運用の手順、実施時のプロセスなどを解説します。
情報セキュリティ管理とは、企業が保有する重要な情報を守るための一連の方針や手段
情報セキュリティ管理とは、企業にとって重要な個人情報や機密情報などを守るための方針や手段を指します。内部不正による情報漏洩、不正アクセス、ウイルス感染など、様々なリスクに対応して情報資産の安全性を維持・強化するためのルールづくりや対策は、すべて情報セキュリティ管理に含まれます。
近年はサイバー攻撃の手口が年々巧妙化しており、企業に対する攻撃リスクはますます高まっている状況です。一度でも情報漏洩などのインシデントが発生すると、企業の社会的信用が損なわれ、経営面にも打撃を受ける可能性があります。そのため、インシデントを防ぐための情報セキュリティ管理は、あらゆる企業にとって重要です。
情報セキュリティを適切に管理するには、下記の情報セキュリティの3要素を理解しておく必要があります。
- 情報セキュリティの3要素
-
- 機密性(Confidentiality):許可された人だけが情報にアクセスできる状態を保つ
- 完全性(Integrity):情報が改ざんされず、正確であることを保証する
- 可用性(Availability):必要なときに情報へアクセスできる状態を保つ
企業における情報セキュリティ管理は、上記3点のバランスを保てるように検討しなければなりません。また、情報セキュリティ管理で管理する対象は、下記のように多岐にわたります。
- 情報セキュリティ管理の管理対象
-
- ハードウェアの管理(パソコン・USBメモリなどの外部デバイス)
- ソフトウェアの管理(OS・アプリケーションなど)
- ネットワークや端末への対策の導入
- 情報を扱う業務・運用手順の管理
- 情報システムを利用する従業員の教育
こうした幅広い領域について、業務の効率性を維持しながら、情報漏洩などのインシデントを防止できる仕組みを構築することが情報セキュリティ管理の基本です。
情報セキュリティ管理の導入時に必要になること
情報セキュリティ管理を導入する際に明確にしなければならないのが、組織としてどのような情報をどのように守るかという基本的な方向性です。そのために、下記2点を最初に検討しましょう。
下記2点はいずれも、情報セキュリティ管理の中核を成す重要なステップで、セキュリティ体制の運用や改善を行っていく上での基盤となります。
情報セキュリティポリシーの策定
情報セキュリティ管理の第一歩は、情報セキュリティポリシーを策定することです。情報セキュリティポリシーとは、組織としての情報セキュリティに対する基本的な姿勢と取り組み方を文書化したもので、すべての対策を導入・運用する際の基本方針となります。
情報セキュリティポリシーは、下記の3つの要素で構成されるのが一般的です。
- 情報セキュリティポリシーの主な要素
-
- 基本方針:情報セキュリティに関する組織の考え方や目的をまとめたもの
- 対策基準:基本方針を具体化するために、従業員が何を守るべきかを明確にしたルール
- 実施手順:対策基準に従って、実際にどのように業務を行うのかを定めたもので、セキュリティ教育の頻度やインシデント発生時の対応手順などを示す具体的な行動指針
この3要素を基に、現場で実効性のある情報セキュリティ体制を構築していくことになります。なお、策定したポリシーは定期的に見直し、組織や技術の変化に応じてアップデートしていくことも必要です。
管理項目の特定
情報セキュリティ管理を効果的に行うためには、守るべき情報やリスクの対象を明確にする管理項目の特定も欠かせません。その際の判断軸となるのが、情報セキュリティの3要素である「機密性」「完全性」「可用性」です。これらの観点から、自社の情報資産に対してどのような対策が必要かを洗い出すことで、的確な管理が可能になります。
下記は、それぞれの観点ごとの代表的な管理項目です。
- 機密性に関する管理項目の主な例
-
- 顧客情報や従業員の個人情報へのアクセス制御
- USBメモリや外部ストレージの使用制限
- 社内ネットワークへの外部からの接続ログの記録と制限
- 個人情報や機密情報の暗号化
- 完全性に関する管理項目の主な例
-
- システムの設定変更を防止する設定
- システムの設定変更が必要な場合の手順の策定や承認フローの構築
- データ改ざん防止のためのアクセスログの記録
- 変更履歴の記録・管理
- アカウント情報の適切な管理
- 可用性に関する管理項目の主な例
-
- サーバーやシステムなどの状態のモニタリング
- サーバーやシステムのバックアップ体制の整備
- 障害発生時の復旧マニュアルの整備
- 事業継続計画(BCP)の策定
情報資産を洗い出した上で、上記の観点からどの情報資産に対してどの程度のセキュリティ対策を講じる必要があるかを明確にすることで、実効性の高い情報セキュリティ管理が実現できます。
情報セキュリティ管理を実施する際のプロセス
情報セキュリティ管理を実施する際には、PDCA(Plan・Do・Check・Action)の観点でプロセスを進めるのが一般的です。
PDCAサイクルに基づいた運用をするのは、情報セキュリティ管理では、常に組織全体の仕組みを改善させ続けることが必要になるためです。情報セキュリティに関する脅威は常に変化しているため、情報セキュリティ管理も一度管理体制を構築して終わりとするのではなく、継続的に改善を重ねていかなければなりません。
PDCAサイクルを活用すれば、計画の立案から実施、評価、改善までの一連の流れを体系的に進めることができ、組織としてセキュリティレベルを着実に向上させていくことが可能です。下記では、それぞれのステップで行うことについて解説します。
1.Plan(計画)
情報セキュリティ管理のPDCAサイクルにおける最初のステップがPlan(計画)です。このフェーズでは、情報セキュリティ対策の実施計画を立案します。自社の現状を正しく把握し、セキュリティ上の課題を明確にした上で、どのような状態を目指すのか、目標を設定しましょう。
2.Do(実行)
Plan(計画)の段階で実施計画を立案したら、セキュリティ対策を社内で実行に移すDo(実行)の段階に進みます。ここでは、計画に基づいたセキュリティ施策を各部署・担当者に割り当て、組織全体で必要な取り組みを推進していきます。
3.Check(確認)
Do(実行)の段階でセキュリティ対策を実行した後は、実行の成果を確認するCheck(確認)の段階です。セキュリティ対策が想定通りに効果を発揮しているか、どのような問題が発生しているかを、当初の目標に照らし合わせながら評価・検証します。
4.Action(改善)
Check(確認)が終わったら、Action(改善)の段階に入ります。このフェーズでは、Check(確認)の段階で明らかになった課題や問題点に対して、改善策を検討・実施します。必要に応じて、導入した仕組みそのものを見直し、セキュリティ体制全体をアップデートすることも視野に入れなければなりません。
情報セキュリティの脅威は日々変化しており、昨日まで有効だった対策が今日には無力になることもあるため、PDCAサイクルで常に組織全体のセキュリティレベルを引き上げていく姿勢が求められます。
情報セキュリティ管理を実施する上で押さえておきたい事例
情報セキュリティ管理は、実際の被害事例を参考にすることで、より実効性の高い対策へとつなげることができます。下記では、企業や組織にとって重大な影響を与えた代表的なセキュリティインシデントの事例を紹介します。
ランサムウェアによる攻撃
企業や医療機関、教育機関などを狙ったランサムウェアによる攻撃は後を絶たず、情報セキュリティ管理の重要性を認識させられる事例が近年も発生しています。ランサムウェアとは、感染したパソコンやサーバー内のデータを暗号化し、解除のために身代金を要求する悪質なマルウェアです。
代表的な事例として、国内の病院がランサムウェアに感染し、電子カルテを扱うシステムが使用不能となった事件があります。病院側は復旧までに2か月を要し、診療業務が制限される事態に陥りました。
このような被害を防ぐためには、定期的なバックアップの取得や未知のファイルを不用意に開かないようにするための従業員教育の徹底などが重要です。また、被害に遭った場合に備えた事業継続計画(BCP)の整備も求められます。
- 併せて読みたい
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアやシステムの脆弱性が修正される前に、それを悪用して行われるサイバー攻撃のことです。
実際に発生した事例としては、公的研究機関がVPN装置の脆弱性を突かれるゼロデイ攻撃を受け、職員の個人情報や研究データの一部が流出したケースがありました。この攻撃では、すでに公表されていた脆弱性に対する修正プログラムが適用される前に、脆弱性を悪用された攻撃が発生して、システムへの侵入を許したと報告されています。
ゼロデイ攻撃を防ぐには、既知の脆弱性に対して常に最新の修正プログラムを適用しておくことはもちろん、未知の脅威に備えた多層的な防御も不可欠です。
- 併せて読みたい
標的型攻撃
標的型攻撃とは、特定の企業や組織を狙い撃ちにして実行されるサイバー攻撃のことです。一般的な無差別攻撃とは異なり、事前に情報収集を行い、標的に合わせた手口で侵入を試みるといった特徴があります。攻撃者は、関係者を装ってメールなどを経由してマルウェアを送りつけます。
標的型攻撃で用いられる代表的なマルウェアの1つがEmotet(エモテット)です。2019年末以降、メール経由で国内外の多くの企業に広まり、深刻な被害を引き起こしました。感染すると、他のパソコンへの拡散やアカウント情報の窃取などが行われます。
標的型攻撃の具体的な事例として、旅行代理店が標的型攻撃を受け、顧客の個人情報が漏洩したケースがありました。この攻撃では、業務連絡を装ったメールに添付されたファイルを開いたことが発端となり、サーバーへの不正アクセスが行われています。
標的型攻撃を防ぐためには、従業員一人ひとりの意識とリテラシーがカギを握ります。不審なメールの添付ファイルやリンクはクリックせず、不審な点があれば即座に情報システム部門へ報告する体制づくりが重要です。
- 併せて読みたい
情報セキュリティ管理のために導入される具体策
情報セキュリティ管理を実効性のあるものにするためには、多面的なアプローチが必要です。ウイルス対策ソフトの導入といった一般的な対策以外にも、下記のような対策を導入するのが効果的です。
IT資産管理ツールによるアクセス制限、ログ管理
情報セキュリティ管理のための有効な施策の1つとして、IT資産管理ツールを活用したアクセス制限とログ管理が挙げられます。これにより、重要な情報へのアクセス状況をログ管理機能で可視化したり、特定の管理者以外のアクセスを制限したりすることが可能です。
また、セキュリティインシデントにつながりかねないWebサイトへのアクセス制限ができるツールもあります。他にも、ツールによっては、脆弱性を修正するプログラムの管理機能も備わっていて、組織全体の情報セキュリティのレベルを向上できます。
- 併せて読みたい
SNS利用時のルール策定
SNSは、情報発信の手軽さから広報活動などに活用される一方で、情報漏洩や風評被害などのリスクもはらんでいるため、利用を管理するルールの策定が重要です。従業員が私的に使用するSNSでの情報漏洩も意識して、ルールを設定しなければなりません。
加えて、定期的なセキュリティ教育を通じて、SNS利用に関する危機意識を社内全体に浸透させることも必要です。
特定分野での個人情報保護ルールの強化
個人情報の保護はすべての企業に求められる基本的な取り組みですが、業種によっては扱う情報の性質やリスクの大きさから、より高度な情報セキュリティ管理が必要とされています。特に、金融、医療、情報通信といった分野では、個人の信条、社会的身分、病歴などの特に配慮が必要な個人情報や膨大な個人情報のデータを扱うため、厳重な管理が必要です。
こうした分野では、一般的な情報セキュリティ管理の体制に加えて、業界に特化したガイドラインなどに準拠したセキュリティ対策を講じることが求められます。例えば、個人情報保護委員会の「特定分野ガイドライン」では、各業種における個人情報の取り扱い方法や、具体的に実施すべき措置が示されています。
情報セキュリティ管理の設計・運用のポイント
情報セキュリティ管理を形骸化させず、継続的に有効な状態で運用していくためには、適切な運用体制を構築した上で担当者の役割と責任を明確にすることが重要です。情報システム部門だけでなく、経営層、総務、人事など、関係部門との連携を図りながら運用体制を整備することで、トラブル発生時の対応や改善がスムーズに行えます。
また、業務負担を軽減しながら高いセキュリティ水準を維持するためには、ITツールの活用が不可欠です。ITツールを効果的に活用して、業務の負担を軽減しながら情報の保護を図りましょう。
加えて、自社のシステムやサービスの可用性も考慮した設計が重要です。万が一の災害や障害に備えた体制を整備し、定期的にシステムやルールの見直しも行うことで、変化に強いセキュリティ体制を実現できます。
情報セキュリティ管理に関する資格
情報セキュリティ管理を実施するには、担当者自身の知識やスキルの向上が欠かせません。そのため、情報セキュリティ分野に関連する資格の取得は、企業全体のセキュリティレベルの向上にもつながります。
下記は、情報セキュリティ管理に携わる方が取得を目指すべき主な資格の例です。
- 情報セキュリティ管理に関する主な資格の例
-
- 情報セキュリティマネジメント試験:主に情報セキュリティの担当者・管理者向けの国家試験で、セキュリティに関する基礎知識を出題
- 情報処理安全確保支援士:主に情報セキュリティエンジニア向けの国家資格で、セキュリティに関する技術やマネジメントに関する問題を出題
- 情報セキュリティ管理士:主に企業内の情報セキュリティ管理者向けの民間資格で、情報セキュリティ上の脅威や対策に関する問題を出題
また、海外でも通用する資格として、セキュリティエンジニア向けの「CompTIA Security+」「CISSP」といった資格もあります。
適切なITツールも導入しながら情報セキュリティ管理を実施しよう
情報セキュリティ管理は、あらゆる企業にとって不可欠な取り組みです。サイバー攻撃や内部不正のリスクが年々高まる中で、組織として機密性・完全性・可用性をバランスよく実現する体制を構築しなければなりません。
そのためには、情報セキュリティポリシーの策定といった基本的な取り組みに加え、運用を効率化して実効性を高めるためのITツールの導入がカギとなります。特に、アクセス管理やログ収集といった多くの機能を備えたIT資産管理ツールは、情報セキュリティの要と言えるでしょう。
例えば、インターコムの情報漏洩対策・IT資産管理ツール「MaLion」シリーズは、ファイルアクセスやWebアップロードの監視などが可能です。ファイルアクセス監視では、各種ファイルの操作状況(読み込み、書き込み、移動、コピー、名称変更、削除)を監視することができます。セキュリティポリシーに反する操作に対しては実行を制限すると共に、不正アクセス者に対する警告も表示できるため、内部不正の防止につながります。他にも、パソコンの操作ログの収集など多様な機能を備えているため、ぜひご検討ください。
