企業・組織における情報の役割って?
はじめに、改めて情報セキュリティの役割について考えてみたいと思います。ご存じのとおり、企業・組織ではほとんどのビジネスプロセスが情報化及びシステム化され、これを情報資産(事業運営に欠かせない有形・無形の情報、顧客情報や営業秘密、製造技術情報など)として管理しています。
このため、情報資産の漏えい/流出や喪失といった情報セキュリティインシデントが顕在化した場合、顧客へ被害をもたらします。さらに、ビジネス基盤が脆弱とみなされ、市場から信用を失い、経営に甚大な損失を及ぼすことにもなります。どんな企業・組織にも情報セキュリティインシデントは起こり得るため、情報セキュリティへの対応は経営課題の一つで、事業継続の柱のひとつとして取り組む必要があります。また、被害の影響によっては社会や市場に及ぼす可能性もあり、利害関係者からは社会的責任として取り組むことが求められます。このことから、企業・組織における情報セキュリティへの取り組み/投資は、ビジネスの信頼を獲得し、市場で生き抜くために重要な役割を担っています。最新の情報セキュリティインシデントの事例や状況については、多くの記事がネット上にもあがっています。「セキュリティ」に「事件事故」や「情報漏えい」、「統計」などを組み合わせて検索すると多くの情報がヒットします。
情報セキュリティに適切に取り組むためにはゴールとなる品質を把握することが大切です。では、情報セキュリティの品質要素には、どのようなものがあるのでしょうか?
信頼が得られる!情報セキュリティ品質って?
情報セキュリティの品質要素を知る近道は、ズバリ「定義を知ること」です。情報セキュリティ業界で広く普及しているJIS規格(日本工業規格)の情報セキュリティマネジメントシステム規格(JIS Q 27000)では、次のように定義されています。情報セキュリティ:『情報の機密性、完全性、及び可用性を維持すること。』(出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」(JIS Q 27000:2014)、財団法人日本規格協会、p.6)。定義からも分かるとおり、情報が持つ価値を保護する観点として、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)が情報セキュリティの代表的な品質要素となります。これらの英単語の頭文字からCIAと略されて使われることがあります。
それでは、それぞれの性質がどのような状態を作り出すのでしょうか?
-
機密性(C):権限がある人しか利用できない状態
(ポイント:情報の利用者を明確にし、その利用者しか利用できないようにします。) -
完全性(I):情報として矛盾点が無い状態
(ポイント:改ざんもしくは消失を検出する仕組みを導入します。) -
可用性(A):権限がある人がいつでも利用できる状態
(ポイント:冗長化や二重化などし、障害発生時でも利用できるようにします。)
情報資産がこのCIAの状態で保護されていることが、情報セキュリティの品質上、必要となります。
CIAで保護されている状況 出典:富士通ラーニングメディア作成[画像クリックで拡大表示]
では、情報セキュリティの品質を確保するための対応には、どのようなものがあるのでしょうか?
どうやって情報セキュリティのCIAを確保するのか
情報セキュリティのCIAを確保する手段は、ズバリ「情報セキュリティ対策を導入・実践することです。情報セキュリティ品質であるCIAは、自然に発生する性質ではなく、人のセキュリティ意識及び取り組みと、その取り組みを実現・効率化するための道具や技術、環境設備によって常に作り出す必要があります。
この活動が情報セキュリティ対策であり、それらを適切に実施し、CIAを確保します。なお、適切な情報セキュリティ対策を実現するには組織構造にあわせて、管理的、技術的、物理的対策の3つに分類し検討・実現することがポイントです。
これらの情報セキュリティ対策の実現には、コスト(金銭的コスト、時間的コスト、人的コストなど)が必要になるため、場当たり的な対策ではなく、状況に応じた適切な対策が大切となります。では、情報セキュリティ対策にかかるコストをどのように最適化すればよいのでしょうか?
