COLUMN

セキュリティとは何か？ITで意識すべき情報セキュリティをわかりやすく解説

ITの基本情報を毎週メールマガジンにてお届けしております。こちらからご登録ください。

情報がデジタル化されICTが普及した現代においては、セキュリティへの意識はより一層大切なものになりました。しかし、「セキュリティ」という言葉は知っているけど、明確にはイメージできないという人も多いのではないでしょうか。そこで本コラムでは、セキュリティという用語の根本的な意味を理解し、そこからITにおける2つのセキュリティを見ていきます。また、セキュリティの10大脅威事例を参考に企業が意識すべきセキュリティについて解説するとともに、クラウドサービスの「AWS」や「Microsoft Azure」のセキュリティについても触れます。

セキュリティとは何か

セキュリティとは、「安全」や「保安」という意味を持ち、英語では「security」と表記します。

IT・ICT業界に関わりのある人が「セキュリティ」対策という言葉を聞くと、デジタルデータが破損しないためのコンピューターでの施策や、システムへの不正アクセスを防止する施策をイメージされる方も多いでしょう。

もちろん、セキュリティの意味としてはどちらも正解なのですが、ここで知っておきたいのは「コンピューターのセキュリティには2つの種類がある」ということです。

コンピューターセキュリティには大きく2種類ある

セキュリティは、大きく「情報セキュリティ」と「サイバーセキュリティ」の2種類に分けて考える必要がります。それは、どちらか一方のセキュリティにとらわれ過ぎると、もう一方のセキュリティがおろそかになる可能性があるからです。

ここでは、この2種類のセキュリティについて詳しく見ていきましょう。

• 情報セキュリティ

情報セキュリティとは、デジタルデータの破損や情報漏洩、そのシステムやデータが必要なときにいつでもアクセスできる環境を保全することを指します。つまり、データやシステムを含めた情報の状態を守るということです。

具体的には「ISO/IEC 27002」、「JISQ27000」で定義されており、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3要素を維持する意味の「CIA」が示されています。

• サイバーセキュリティ

サイバーセキュリティとは、情報セキュリティの「CIA」維持を脅かす“発生方法に注目”したセキュリティのことです。

これは、2014年に設立された「サイバーセキュリティ基本法」に定義されているものです。CIAの脅威になり得るものからデータやシステムを守るために、意識すべきセキュリティ施策が示されています。

コンピューターセキュリティの全体像でいえば、情報セキュリティの中にサイバーセキュリティの概念があるというイメージです。

IT・ICTの普及で必須となる基本的な情報セキュリティの意識

私生活やビジネスにIT・ICTが普及したことで、情報セキュリティに対する意識を持つことが重要になりました。

ここでは、個人が意識すべき情報セキュリティと、組織（企業など）が意識すべき情報セキュリティに分けて確認していきましょう。

個人レベルで意識する情報セキュリティ

個人が日常生活で特に意識すべき情報セキュリティは、個人を特定する情報や決済に関わる情報を安全に取り扱うための対策です。

現代の私たちは、パソコンやスマートフォンを利用すればすぐに買い物ができますし、動画や画像の閲覧、SNSなどの便利なサービスも簡単に利用できます。

例として、ショッピングサイトを利用するときに意識すべき情報セキュリティを考えてみましょう。

ショッピングサイトを利用するためには個人の氏名や住所、クレジットカード番号や本人確認情報の登録が必要です。

このとき最低限確認すべきなのは、利用するショッピングサイトの正規ページであるかどうかということと、そのページがセキュリティに配慮してあるか否かということです。

正規ページであるか否かについては、利用するショッピングサイトのURLが正しい文字列であるかどうかで概ね確認できます。また、利用するサイトの情報入力を行うページのURLの先頭が「https」で始まっているかも確認ポイントの一つです。

また、利用するページの確認以外にも、どのようなパソコンやスマートフォンで情報入力すべきかについても意識しておくべきでしょう。

個人情報やクレジットカードなどの決済情報の入力は、必ず自分自身のパソコンやスマートフォンで行うことが大切です。インターネットカフェなどのだれでも利用できるパソコンには、（誰が仕込んだかは別として、）入力情報を不正に取得するためのウィルスが仕込まれているかもしれませんし、情報入力後に履歴から個人情報を抜き取られる危険性もあるのです。

情報セキュリティ対策としてのはじめの一歩はどのような情報を特に気をつけて扱う必要があるかを把握することです。

個人が意識して扱うべき代表的な情報を以下にまとめましたので、この機会に改めてチェックしておきましょう。

• クレジットカード番号

• 住所、氏名、年齢、電話番号

• 電子メールアカウント

• メールの内容

• 商品購入などのサイト上の行動履歴

• 本人確認情報（パスポートやマイナンバーなどのデジタルデータ）

• ネットバンキングの情報（アカウントやパスワード）

などです。

企業レベルで意識する情報セキュリティ

企業や組織で扱う情報が破損・漏洩した場合には、個人のときよりも広範囲かつ深刻な悪影響を及ぼす可能性があります。

取引先の顧客データが社外に流出すれば、企業自身だけでなく顧客にまで被害が出かねません。また、データの破損や消失・システム不具合が発生すれば、企業の存続に直結する重大な問題に発展する可能性もあります。

個人レベルでは、基本的に情報は個人（自分自身）のものの範囲であり、自分が入力するページや入力に使用する端末などの配慮が主な観点でした。

しかし、企業や組織レベルでは、情報システムの利用や扱う情報を業務上で共有する必要があり、利用している複数のソフトウェアや基幹システムの設備から、情報システムを利用する従業員の情報セキュリティ意識に至るまで、徹底した配慮が必要なのです。

また、企業の情報セキュリティ対策では自然災害なども考慮しておかなければなりません。例えば、企業データを単一のデータセンターだけに保管していた場合、万が一の大地震や落雷などによってすべてのデータを消失してしまうことも考えられるからです。

このような事態に対応するためには、データの保管場所を日本全国、あるいは世界を含めた複数ロケーションに、データを分散してバックアップしておくなどの施策が必要となります。

企業の情報セキュリティ対策においても、はじめの一歩はどのような情報を特に気をつけて扱う必要があるかの把握です。

企業レベルで意識すべき事項について以下にまとめましたので、このタイミングで改めて確認しておきましょう。

• 顧客や社員の個人情報の管理方法

• 利用しているソフトウェアに脆弱性がないこと

• システム基盤に脆弱性がないこと

• 社員一人ひとりが情報の取り扱いよるリスクを理解していること

• データを扱うコンピューターにウィルス対策が施してあること

• 企業としてのセキュリティポリシーを策定し、遂行されていること

• データの破損や予期せぬ消去に備えたバックアップ体制が整っていること

などです。

ITの基本情報を毎週メールマガジンにてお届けしております。こちらからご登録ください。

情報セキュリティにおける10大脅威の事例

次に、情報セキュリティにおける10大脅威の事例を紹介します。事例に関しても、個人と企業に分けて紹介します。それぞれどのような脅威があるのかを確認していきましょう。

個人に関わる脅威ランキング

個人への脅威は、主にインターネットを介した情報登録や、決済に関わる脅威がランキングしています。

1位：スマホ決済の不正利用

2位：フィッシングによる個人情報の搾取

3位：クレジットカード情報の不正利用

4位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求

5位：メールやSMS等を使った脅迫・詐欺のs手口による金銭要求

6位：不正アプリによるスマートフォンの利用者への被害

7位：ネットの誹謗・中傷・デマ

8位：インターネット上のサービスへの不正ログイン

9位：偽警告によるインターネット詐欺

10位：インターネット上のサービスからの個人情報の窃取

（出典：IPA「情報セキュリティ10大脅威2020」）

企業組織に関わる脅威ランキング

企業・組織に対しては、機密情報の窃取・漏洩などが目立ち、さらにウィルスや不正アクセスによって可用性を失うものもあります。

1位：標的型攻撃による機密情報の窃取

2位：内部不正による情報漏洩

3位：ビジネスメール詐欺による金銭被害

4位：サプライチェーンの弱点を悪用した攻撃

5位：ランサムウェアによる被害

6位：予期せぬIT基盤の障害に伴う業務停止

7位：不注意による情報漏洩（規則は厳守）

8位：インターネット上のサービスからの個人情報の窃取

9位：IoT機器の不正利用

10位：サービス妨害攻撃によるサービスの停止

（出典：IPA「情報セキュリティ10大脅威2020」）

ただ、それぞれの脅威には攻撃方法が複数あり、かつ、次々と登場する不正アクセスの攻撃方法とそれぞれへの情報セキュリティ対策はいたちごっこの状態です。

クラウドサービスの情報セキュリティ対策

近年、企業でもクラウドサービスの導入が広がっています。もちろん、業務の利便性を追求することなども目的の一つですが、利用するクラウドインフラをよりセキュアにしたいという期待も含まれています。

そこで、代表的なクラウドサービスとして、Amazonが提供する「AWS」と、Microsoftが提供する「Microsoft Azure」の情報セキュリティ対策を簡単に見ていきましょう。

Amazonが提供する「AWS」の情報セキュリティ

AWSはデータセンターが冗長化されており、万が一のトラブル時における可用性を保つ情報システムの構築と運用ができる体勢が整っています。AWS基盤の管理業務に従事する従業員のデータセンターへのアクセスに対しても、物理的なアクセスを含め、業務上の正当な理由に基づく申請と承認を徹底することで、高度なセキュリティを維持しています。

また、AWSを利用するユーザーは、構築するシステムに合わせて適切なサービス選択を行うことで、より高度なセキュリティ対策を実施することが可能です。

例えば、セキュリティグループの機能を使ってアクセスコントロールを設定することで、IPアドレス単位でのアクセス権限のコントロールができます。AWSの管理者サイトへのログインについても、PKI（公開鍵暗号基盤）を利用した強固な認証方式でセキュリティを強化できるのです。

その他、AWSを利用する際のセキュリティ対策については「AWSを使うなら意識すべきセキュリティ対策」のコラムで詳しく解説しています。また、AWSのネットワーク構築については「AWSのネットワークを構築する！抑えておきたいポイントを解説」で詳しく解説していますので、併せて参考にしてください。

Microsoftが提供する「Microsoft Azure」の情報セキュリティ

複数ロケーション・複数データセンターによる冗長化、データセンターへのアクセスなど、基本的なセキュリティ対策についてAWSと同等なものが行われています。

Microsoft Azureでは、3,500名のサイバーセキュリティエキスパートが従事しており、物理的なデータセンターからユーザーのオペレーションに至るまで、Azure上のユーザーのビジネス資産とデータを保護しています。

また、ユーザーはAzureに組み込まれているサービスで、IDやデータ、ネットワークやアプリケーションをすばやく保護できる仕組みも利用できるのです。

その他、Microsoft Azureについては「Azureを選択すべき企業とは？特徴、メリット・デメリット、事例」のコラムでわかりやすく解説しています。また、Azureを利用したネットワーク構築に関しては「Microsoft Azureとの接続に必要なネットワーク、その種類や注意点とは」のコラムで紹介していますので、併せて参考にしてください。

まとめ

IT・ICTが普及した現代、情報セキュリティは常に意識しておかなければならない大切なことです。ただし、セキュリティ対策に終わりはありません。新しい技術や新サービスが生まれれば、それに比例して脅威も生まれているからです。

企業独自に脅威への対策を実施することも可能ですが、それには大きな工数やコストがかかるでしょう。情報セキュリティに関しては、クラウド導入支援事業者やセキュリティ専門の事業者に相談するという選択肢を視野に入れるのも一つの方法です。

また、クラウドを利用する場合でも利用者側でまったく情報セキュリティ対策が必要ないというわけではないことは意識しておきましょう。特に重要な情報システムをクラウド上に構築する場合には、クラウドで利用する管理者権限を含むIDやパスワードの管理、クラウドへの接続方法などについても考慮しておきましょう。これらの点に関しては、「最先端のセキュリティのAWSで不正アクセスを受けてみました」も参照ください。