COLUMN

セキュリティの基本

情報セキュリティの3要素

最初に、情報セキュリティマネジメントにおける最も基本的な概念である「機密性」、「完全性」、「可用性」の3点について確認します。

まず、「機密性」とは正当な権限を持つ人だけが対象とする情報にアクセスできることを示します。例えば、盗聴などの行為によって企業秘密が漏洩する問題が発生した場合、機密性が失われた状態になります。

次に、「完全性」とは正当な権限を持たない人が対象とする情報の変更や削除をできないことを示します。例えば、不正アクセスなどによって財務データが改ざんされる問題が発生した場合、完全性が失われた状態になります。

最後に、「可用性」とは正当な権限を持つ人が情報にアクセスしたいときにアクセスできることを示します。例えば、バグなどが原因でシステムがダウンし、ユーザーが情報にアクセスできない場合、可用性が失われた状態になります。

機密性、完全性、可用性を意味する英単語はconfidentiality, integrity, availabilityであり、それぞれの頭文字を取って「CIAトライアド(CIA triad)」とも呼ばれます。情報セキュリティマネジメントにおいては、情報の「何」を守りたいのかを明確にすることが第一歩となります。

アイデンティティ／アクセス管理

先述のとおり、機密性、完全性、可用性の定義にはそれぞれ「正当な権限」という言葉が共通して用いられており、これらを維持するにあたっては正当な権限の有無を確認するための仕組みが必要となります。
正当な権限の有無を確認するための仕組みを整えるにあたり、重要となる概念である「識別」、「認証」、「認可」の3点について次に確認します。

まず、「識別」とはユーザーが自らの身分を主張することを示します。例えば、口座番号やユーザー名などが識別のために使用されます。

次に、「認証」とはユーザーが自らの身分を証明することを示します。例えば、暗証番号やパスワードなどが認証のために使用されます。

最後に、「認可」とはユーザーの種別によってアクセスの可否を決定することを示します。例えば、利用者や管理者などのユーザー権限を設け、ユーザー権限によってアクセスできる情報を変えるようにシステムを設計します。

識別、認証、認可の手続きは一連の流れとして行われ、前の手続きが後の手続きによって支えられます。
詳しく説明すると、識別の手続きでは悪意のあるユーザーが自らの身分を偽る恐れがあるため、認証の手続きが必要となります。また、認証の手続きによって身分が証明されたとしても全ての情報にアクセスできる訳ではないので、認可の手続きが必要となります。

識別、認証、認可を意味する英単語はidentification, authentication, authorizationであり、これら3点の頭文字に「説明責任(accountability)」の頭文字を加えたものを「IAAA」と呼びます。なお、説明責任とは識別、認証、認可の手続きが適切に運用されていることを確認するため、アクセスとその結果を記録することを示します。
IAAAを実現するための仕組みは「アイデンティティ／アクセス管理(identity and access management: IAM)」と呼ばれ、情報の「CIAトライアド」（機密性、完全性、可用性）を維持するための基礎を築きます。

情報自体の分類

情報によって要求される機密性、完全性、可用性の程度は様々であり、必要となる識別、認証、認可の仕組みも異なります。したがって、情報セキュリティマネジメントの対象となる情報の量や種類が増えるとともに、一つ一つの情報を別々の方法で管理することは困難になっていきます。そのため、情報をいくつかのグループに分類し、グループごとに共通の方法で管理することによって、管理に要する負担を軽減します。

情報を分類するための基準や区分は対象とする領域によって様々です。例えば、軍事の領域での一例では、国家の安全保障に与える被害の大きさに従ってtop secret / secret / confidential / unclassifiedの4つに情報を分類します。また、民間の領域の例では、事業に与える影響の大きさに従ってconfidential / private / sensitive / publicの4つに情報を分類したりします。いずれにしても分類する目的に応じて、区分を決定して情報を適切に分類することが求められます。

情報セキュリティ対策の実施判断ポイント

ここまで情報セキュリティの基本をご紹介してきました。しかしながら、情報セキュリティに絶対の唯一無二の正解はありません。実際には、対象情報の漏えいなどによる事業（ビジネス）への影響度に応じて、CIAトライアドそれぞれについて求めるレベルを決定し、情報セキュリティマネジメントの手法として、どのようなIAAAや情報自体の分類を行うべきかを決定する必要があります。たとえ漏えいしたとしても事業への影響が無視できるレベルの軽微な情報に関しては、その情報セキュリティ対策に多くのリソースを費やす必要はありません。

情報セキュリティに絶対の唯一無二の正解はないとはいっても、情報セキュリティポリシーやマネジメントをゼロから策定、構築することは簡単なことではありません。そのため、業界によっては情報セキュリティのガイドラインを定めていることがあります。
次に、近年、クラウド活用の検討が活発になってきた金融機関における、情報セキュリティガイドラインについて説明します。

FISC安全対策基準について

FISCの概要

金融情報システムセンター(The Center for Financial Industry Information Systems: FISC)は金融情報システムに関する調査研究を行う団体であり、金融機関等コンピュータシステムの安全対策基準・解説書などの各種ガイドラインを発行しています。

FISCは1984年(昭和59年)11月に財団法人として設立され、2011年(平成23年)4月に公益財団法人へ移行しました。金融機関をはじめとして保険会社、証券会社、カード会社、通信会社、コンピュータメーカー、システムベンダーなどの様々な会員によって構成されています。

FISC安全対策基準・解説書

金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準・解説書)はFISCの代表的な刊行物であり、金融機関等が実施すべきセキュリティ管理策について解説されています。本書が対象とするセキュリティ管理策は広範囲にわたっており、物理的な管理策から技術的・運用的な管理策まで包括的に解説されています。金融機関のみならず、金融庁の検査官向けのマニュアルにおいて参考図書として紹介されるなど金融・決済領域において広く認知されています。

クラウドやFinTechに対応

FISC安全対策基準・解説書は1985年12月に初版が刊行され、本記事執筆時（2019年11月）の最新版として、2018年3月に第9版が刊行されております。第9版では、金融機関等における外部委託の進展やFinTechなどの新技術の活用を踏まえ、外部委託先の統制基準の整理・拡充が図られています。ちなみに、クラウド利用に関しては、2014年度に開催された「金融機関におけるクラウド利用に関する有識者検討会」の報告書などを踏まえ、2015年6月第8版追補改訂から基準が設けられております。

最新の第9版の概要は次のとおりです。

金融情報システムの分類

• 特定システム：システム障害等が発生した場合の社会的な影響が大きく、個別金融機関等では影響をコントロールできない可能性がある、「システム重大な外部性を有するシステム」や、「機微情報」を有するシステム
• 通常システム：特定システム以外のシステム

基準の構成

• 「統制基準」：方針の策定、体制整備、人財育成等の「内部の統制」および外部委託管理等の「外部の統制」
• 「実務基準」：「情報セキュリティ」、「システム運用」、「システム利用」、「システム開発」、「個別サービス」等
• 「設備基準」：設備ごとの要件に関する対策等
• 「監査基準」：監査体制の整備・手順等

基準の分類

• 「基礎基準」：特定システム、通常システムによらず、最低限適用する基準
• 「付加基準」：「基礎基準」以外で、理数奇特性に応じて追加・選択する基準

対策の区分け

• 必須対策：基礎基準や付加基準の必須のもの
• その他の対策：リスクベースアプローチによって選択的に適用されるもの

第9版ではリスクベースドアプローチの考え方が導入され抜本的な改定が行われていることも特徴の一つです。