SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ITインフラ管理の最前線:CISコントロールとその実践的応用

デジタル時代の要:データ保護の重要性と実践的な対策

『CISコントロール』を援用した企業に必要なITセキュリティの管理と維持の方法 #03

 企業のITセキュリティの出発点は何か、どこから始めれば良いのか──それは「IT資産管理」だ。本記事では、IT部門管理職に向けて、国際的ガイドラインであるCISコントロールに基づいた資産管理の重要性と具体的な対策方法について詳しく紹介する連載。第3回の今回は「データ保護」について解説する。

本連載のこれまでの記事は以下となります。

3.1 データ保護とはなにか

3.1.1 データの定義とデータ保護について

 今回のテーマは「データ」です。データというのは辞書的には論拠、資料、観察などで得られた事実や数値の集まりですが、ここではコンピュータ処理の話をしますので、紙などに書いたものではない、いわゆる電子データの情報を指します。データ保護とは、このデータが他に人に見られたり、勝手に書き換えられたり、あるいは使えなくなったりしないようにするセキュリティ対策のジャンルです。

 データにはさまざまなものがあります。たとえばあなたのパソコンのデスクトップにおいてあるファイルは全てデータです。ただ、セキュリティ的な意味ですと「明日13:00に会議室A」というテキストのメモでは、攻撃者は興味を持たないでしょう。

 盗んだり使えなくしたりすることで利益があるものとなると、即座に換金につながる情報です。たとえばクレジットカードナンバーなどです。それから売却が簡単な個人情報です。それ以外にも、製造業であれば製品の設計資料、メディアであれば知的財産などが考えられます。攻撃者はこうしたデータを効率よく盗み、素早く現金化したいと考えています。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」にはほぼ毎年「個人情報等の詐取」や「機密情報の窃取」が上位の脅威として掲載されており、日本でも重要なセキュリティのテーマとなっています。

順位 個人 組織
1位 フィッシングによる個人情報等の詐取 ランサムウェアによる被害
2位 ネット上の誹謗・中傷・デマ サプライチェーンの弱点を悪用した攻撃
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 標的型攻撃による機密情報の窃取
4位 クレジットカード情報の不正利用 内部不正による情報漏えい
5位 スマホ決済の不正利用 テレワーク等のニューノーマルな働き方を狙った攻撃
6位 不正アプリによるスマートフォン利用者への被害 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
7位 偽警告によるインターネット詐欺 ビジネスメール詐欺による金銭被害
8位 インターネット上のサービスからの個人情報の窃取 脆弱性対策の公開に伴う悪用増加
9位 インターネット上のサービスへの不正ログイン 不注意による情報漏えい等の被害
10位 ワンクリック請求等の不当請求による金銭被害 犯罪のビジネス化(アンダーグラウンドサービス)

 表1 IPA 情報セキュリティ10大脅威 2023

3.1.2 個人情報と情報プライバシー、その保護とは

 データ保護の中でもよく問題になる「個人情報」ですが、これについてもう少し詳しく見てみましょう。よく個人情報は情報プライバシーと混同されますが、個人情報は「生存する個人の氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」で、プライバシーとは「他人から干渉されない権利」のことです。

 これらはどちらも個人をあつかうデータ(個人データ)とはなりますが、個人情報保護法での定義は「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などの、特定の個人を識別できる情報」とされています。Amazonや楽天で買物をするときにも使うデータですから、必要があれば他者に開示するものを含みます。一方、プライバシーという場合には、一般的には他人に知られたくない情報で、民事訴訟などにおいて権利の一種として扱われます。

 個人情報であり、プライバシー情報である情報も存在します。病歴などの個人医療情報、信教や政治的な意見、資産、学校の成績、性生活に関する情報などがあてはまります。これらは活用することで組織や社会のために役立てることもできますが、漏洩して公開されたりすると関係者に大きな被害をもたらすため、扱う組織はしっかり管理しておくべきです。

図1 個人を扱うデータ
図1 個人を扱うデータ

3.1.3 国際的な規制と対応について

 個人データを扱う国際的な法令として、「EU一般データ保護規則(GDPR)」が話題になることが増えてきました。2018年に施行された個人情報の扱いについての規制ですが、これらは世界各国でも同等の法律を制定する時基準として参考にされることも多くなってきました。たとえば以下のような規制があります。

  • 本人が自身の個人データの削除を個人データの管理者に要求できる
  • 自身の個人データを簡単に取得でき、別のサービスに再利用できる
  • 個人データへの侵害を迅速に知ることができる
  • 監視、暗号化、匿名化などのセキュリティ要件の明確化

 EU居住者の個人データを取り扱うのであれば、日本企業にとっても対応が求められることがあり、違反すると制裁金が課せられます。日本においても個人情報保護法の対象範囲内に限り、個人データについて十分な保護水準を満たしていることを認める十分性認定を欧州委員会から受け、組織は個別の契約なしでもEU域内から個人データを持ち出せるようになっています。アメリカでも、これまでは州法で対応していましたが、ADPPAという連邦全体を対象とする保護法が議論されており、成立する見込みと言われています。

 ネット通販などで国際的な取引が行われるようになり、そのデータはクラウド上の環境で扱われるようになってきました。また、企業のネットワーク内だけでなく、テレワークに従事している個人のパソコンの中でもそうしたデータが扱われるようになりました。現在、データ保護の取り組みはセキュリティを確保することはもちろん、法令対応という意味でも、日に日に重要性が増してきています。

次のページ
3.2 データを目的とした攻撃と防御

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
ITインフラ管理の最前線:CISコントロールとその実践的応用連載記事一覧

もっと読む

この記事の著者

目黒 潮 (メグロ ウシオ)

ウィズセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア
情報処理安全確保支援士
エンドポイントやフィッシング詐欺が専門

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19059 2024/01/23 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング