SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

読めばわかる!情シス入門

情報セキュリティ品質を確保して企業と組織の信頼を守る!情シス部門の重要な役割≪情報システムの基礎知識≫

 企業・組織が震え上がるような情報漏えい事件・事故のニュースがたびたび報道され、皆さんのところでも「うちは大丈夫なの!?」と心配の声が上がったところも多いのではないでしょうか。このとき、情報システム部門としては、情報セキュリティの品質が問われており、システムへの信頼が得られるような説明が必要不可欠となっています。今回は、情報セキュリティにおける基本的な品質の考え方と、それを実施する上で欠かせないリスクマネジメントの考え方をお伝えしていきます。

企業・組織における情報の役割って?

 はじめに、改めて情報セキュリティの役割について考えてみたいと思います。ご存じのとおり、企業・組織ではほとんどのビジネスプロセスが情報化及びシステム化され、これを情報資産(事業運営に欠かせない有形・無形の情報、顧客情報や営業秘密、製造技術情報など)として管理しています。

 このため、情報資産の漏えい/流出や喪失といった情報セキュリティインシデントが顕在化した場合、顧客へ被害をもたらします。さらに、ビジネス基盤が脆弱とみなされ、市場から信用を失い、経営に甚大な損失を及ぼすことにもなります。どんな企業・組織にも情報セキュリティインシデントは起こり得るため、情報セキュリティへの対応は経営課題の一つで、事業継続の柱のひとつとして取り組む必要があります。また、被害の影響によっては社会や市場に及ぼす可能性もあり、利害関係者からは社会的責任として取り組むことが求められます。このことから、企業・組織における情報セキュリティへの取り組み/投資は、ビジネスの信頼を獲得し、市場で生き抜くために重要な役割を担っています。最新の情報セキュリティインシデントの事例や状況については、多くの記事がネット上にもあがっています。「セキュリティ」に「事件事故」や「情報漏えい」、「統計」などを組み合わせて検索すると多くの情報がヒットします。

情報セキュリティインシデントの状況イメージ 出典:富士通ラーニングメディア作成[画像クリックで拡大表示]

 情報セキュリティに適切に取り組むためにはゴールとなる品質を把握することが大切です。では、情報セキュリティの品質要素には、どのようなものがあるのでしょうか?

信頼が得られる!情報セキュリティ品質って?

 情報セキュリティの品質要素を知る近道は、ズバリ「定義を知ること」です。情報セキュリティ業界で広く普及しているJIS規格(日本工業規格)の情報セキュリティマネジメントシステム規格(JIS Q 27000)では、次のように定義されています。情報セキュリティ:『情報の機密性、完全性、及び可用性を維持すること。』(出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」(JIS Q 27000:2014)、財団法人日本規格協会、p.6)。定義からも分かるとおり、情報が持つ価値を保護する観点として、機密性(Confidentiality)完全性(Integrity)可用性(Availability)が情報セキュリティの代表的な品質要素となります。これらの英単語の頭文字からCIAと略されて使われることがあります。

それでは、それぞれの性質がどのような状態を作り出すのでしょうか?

  • 機密性(C)権限がある人しか利用できない状態
    (ポイント:情報の利用者を明確にし、その利用者しか利用できないようにします。)
  • 完全性(I)情報として矛盾点が無い状態
    (ポイント:改ざんもしくは消失を検出する仕組みを導入します。)
  • 可用性(A)権限がある人がいつでも利用できる状態
    (ポイント:冗長化や二重化などし、障害発生時でも利用できるようにします。)

 情報資産がこのCIAの状態で保護されていることが、情報セキュリティの品質上、必要となります。

CIAで保護されている状況 出典:富士通ラーニングメディア作成[画像クリックで拡大表示]

 では、情報セキュリティの品質を確保するための対応には、どのようなものがあるのでしょうか?

どうやって情報セキュリティのCIAを確保するのか

 情報セキュリティのCIAを確保する手段は、ズバリ「情報セキュリティ対策を導入・実践することです。情報セキュリティ品質であるCIAは、自然に発生する性質ではなく、人のセキュリティ意識及び取り組みと、その取り組みを実現・効率化するための道具や技術、環境設備によって常に作り出す必要があります。

 この活動が情報セキュリティ対策であり、それらを適切に実施し、CIAを確保します。なお、適切な情報セキュリティ対策を実現するには組織構造にあわせて、管理的、技術的、物理的対策の3つに分類し検討・実現することがポイントです。

CIA確保のポイント 出典:富士通ラーニングメディア作成[画像クリックで拡大表示]

 これらの情報セキュリティ対策の実現には、コスト(金銭的コスト、時間的コスト、人的コストなど)が必要になるため、場当たり的な対策ではなく、状況に応じた適切な対策が大切となります。では、情報セキュリティ対策にかかるコストをどのように最適化すればよいのでしょうか?

次のページ
情報セキュリティ品質とコスト、バランスの取り方

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
読めばわかる!情シス入門連載記事一覧

もっと読む

この記事の著者

濁川 俊志(ニゴリカワ シュンジ)

株式会社富士通ラーニングメディア ナレッジサービス事業本部 第二ラーニングサービス部。情報セキュリティマネジメントの研修を主に担当。現在は、インフラ開発やISMSの運用などの実務経験を活かし情報セキュリティ関連の研修開発および講師として登壇している。趣味は、ガジェット集め。最近、最新のタブレットを手...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11432 2018/12/03 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング