【特集】 Q&Aで分かる情報セキュリティのすべて

f:id:PentaSecurity:20171101105920j:plain

 

[特集]

Q&Aで分かる

情報セキュリティのすべて

 

「Q&Aで分かる」特集は、ペンタセキュリティが韓国のTVチャンネルである「SBS CMBCの経済ワイドイシュー」の「生活経済」コーナーで紹介・解説するセキュリティ関連の内容をまとめて、提供する記事です。モノのインターネット(IoT)セキュリティから始まるこの特集は、最近話題になっているネットバンクのセキュリティに関する話や仮想通貨などの新しく登場したセキュリティ脅威からウェブサイトハッキング、情報セキュリティ、ホワイトハッカーなどの一般的な情報セキュリティまで現代社会に存在する様々な種類のセキュリティをテーマとして、よくある質問に対して、ご回答する形で解説する予定です。

 

もし、皆さんは、ランサムウェアやウェブ攻撃・Web脆弱性・ハッキング・個人情報流出などの単語を聞いたことがありますか。多分、列挙した単語の中で一つくらいは、聞いた覚えがあるはずです。
この5月からネットワークを通じて、PCを感染させるランサムウェア攻撃のせいで、全世界で被害を受けた企業や個人利用者が増えて、話題になっています。その後、企業、組織だけでなく、個人もウェブセキュリティ(Web Security)、情報セキュリティに対する重要性を認識するようになりました。しかし、相変わらず情報セキュリティに対する理解は不十分であるのが現実です。
それで、今回は情報セキュリティの全てをまとめました。知らない間に私の情報がどこかに流出されることを防ぐために、「情報セキュリティ」が何なのか、どうやって重要な情報が流出されているか、個人と企業(組織)ではどういう対策をしていくべきかについて調べましょう。

 

情報セキュリティとは?

 2005年10月に発行されたISO/IEC27001(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)によると,情報セキュリティ(information security)は、「情報の機密性,完全性及び可用性を維持すること。さらに,真正性,責任追跡性,否認防止及び信頼性のような特性を維持することを含めてもよい。」と定義されています。

定義で使われている3つの用語は報セキュリティの3大要素と呼ばれるものであり、各用語の定義は、以下の通りです。

  • 機密性(Confidentiality):認可されていない個人,エンティティ(団体等)又はプロセスに対して,情報を使用不可又は非公開にする特性
  • 完全性(Integrity):資産の正確さ及び完全さを保護する特性
  • 可用性(Availability):認可されたエンティティ(団体等)が要求したときに,アクセス及び使用が可能である特性 ※1

要すると、情報セキュリティというのは、ある情報に対して、正確で間違っていない完全している状態で許可された使用者だけが見るように維持すること、ぐらいで考えても良いでしょう。

 

個人と組織(企業)の情報セキュリティ※2

上記で述べたように情報セキュリティは企業・組織だけでなく、個人にも重要な課題です。情報セキュリティを維持しようとする主体によって、情報セキュリティが必要な理由と必要な対策は変わったりもします。

  • 個人レベルの情報セキュリティ

スマートフォンやPCの使用が増えることにより、日常生活でのネットが占める比率も増えています。特に、電子メールの使用やECサイトでのショッピングなどが当然なことになり、個人にとってもネットを利用するための基本的な情報セキュリティへの知識や対策が必要となっています。
個人は、クレジットカード番号などの重要な情報や、電子メールの内容、商品の購買履歴といった利用者の行動に関する多くの情報が、ネットワーク上でデータとして流れていることを知り、事故や悪意のある攻撃によって、漏えいしたり、悪用されたりする危険性を認識しなければなりません。
自分がブログやSNSなどで公開する情報も悪用の可能性に対して認識しながら、IDやパスワードなどを徹底的に管理し、フィッシング詐欺などで他人に不正に利用されないようにする必要があります。ウイルス対策やソフトウェアの脆弱性対策のためのソフト更新なども必須的です。

  • 企業・組織レベルの情報セキュリティ

企業や組織には、重要な営業機密に関する情報や、顧客、社員などの個人情報など、多くの情報が保管されているので、情報を管理するシステムで問題が発生する場合、組織が受ける被害は相当な金銭的・社会的被害があるはずです。それで、企業や組織が適切な情報セキュリティ対策を取ることは、当然の責務です。
企業や組織においては、ネットワークに接続された環境ですと、ウイルス対策ウェブアプリケーションファイアウォールの設置などが必ず必要で、情報セキュリティポリシーの策定や組織内の利用者の認証設定、組織内の利用者への情報セキュリティ教育、不正侵入やハッキングへの対策など、さまざまな情報セキュリティ対策が要求されます。

 

簡単に情報セキュリティを説明いたしましたが、今からはQ&Aを通じて情報セキュリティ関連の疑問を解決してみましょう。

 

Q&A

Q. "セキュリティが重要である。セキュリティが必要である。"としているが、正確にセキュリティが何ですか?

セキュリティ(Security)は、「保」「安」とも言えますが、安全に保護を維持するという意味で、この用語は様々なところで使われています。

泥棒を予防する防犯のセキュリティ会社がいるが、IT業界では、セキュリティというインターネット、スマートフォンなどで個人情報と企業全体の重要情報を保護するプログラムと方法を話します。 多くのセキュリティ会社が個人情報と企業情報を保護するためのプログラムや方法について研究開発しています。

 

Q.日常で感じることができるセキュリティの重要性は何がありますか。

私たちはスマートフォンが日常化されたスマート時代に住んでいます。それで、知らないうちに多量の個人データがどこかで漏れているという可能性をいつも忘れてはいけません。情報セキュリティを簡単に理解できるように、日常でのセキュリティを例を通して説明します。

例≫

  1. 外出前にインターネットで簡単に天気予報を確認する時、GPSを利用して自動的に現在位置を確認し、地域別の天気を知ることができる非常に便利な機能があります。また、自家用車やタクシーで移動する時、ナビゲーションに移動経路を保存するために、ここでもGPSを利用するが、この機能によって現在位置と経路がインターネット上に露出される可能性があります。
  2. 食堂やオンラインショッピングモールなどでクレジットカードを利用した決済が行われる時、個人情報と決済情報が決済端末やスマートフォン、クレジットカード会社のサーバおよびデータベースに残り、これらがインターネットを通じて移動します。こういう情報は、ハッカーたちが狙う個人情報に該当する高級の情報となります。
  3. 日常的に利用するSNSの場合、写真や自分の位置、身元情報をオンライン上にアップロードして共有することになるが、このような個人情報は、呉・乱用される可能性があります。
  4. 家庭で最近よく使われるIPカメラ、スマートスピーカーなどにも個人の位置、映像、音声などの非常に多くの情報が残ります。こういう情報もそのままインターネットを通じて露出される可能性があります。

これだけでなく、テレビ、冷蔵庫、自動車などの事物がインターネットに接続されるモノのインターネット(IoT)市場が急激に成長していますが、このような製品もセキュリティがきちんと行われない場合、個人情報漏洩の可能性が高くなります。ハッカーたちは、まさにこういう個人情報を奪取し、金銭的な利益を狙って脅迫する可能性があります。

 

Q.それなら、各個人は個人情報保護のためにどのような努力をしなければなりませんか。

上で列挙した事例などは、私たちが各種サービスを向けて情報提供に同意した場合です。しかし、各種サービスに情報提供同意をする前には、信頼できる事業者のみ同意することが大事です。こういうのは、個人の認識転換に当たるところであり、このような認識の転換以外にも、個人にできる情報保護のための具体的な方法があります。

  • 位置サービスを利用する際は、必ず必要なものだけに情報を提供するように設定して、アプリが動作する時のみ使用できるように制限すること。
  • 情報提供に同意しなければならない場合には、なるべくきめ細かく内容を検討すること。
  • 分からない発信者からのメールが来た場合、含まれているリンクや添付ファイルをむやみにクリックしないこと。
  • SNSでは、個人の詳細情報を閲覧できる範囲を指定すること。
  • ウェブサイトやアプリ、IPカメラを使用するときは、パスワードを周期的に変更すること。

 

Q.個人の努力以外に、各企業は個人情報保護のためにどういう努力をしなければなりませんか。

企業もセキュリティ問題については、常に鋭敏に対応し、個人情報が露出されないよう注意しなければなりません。特に、スマートフォンアプリやインターネットサービスをする会社の場合、名前や住所、マイナンバー、連絡先情報といった個人情報を収集しますが、こういう業種の会社では、こういう情報が顧客が会社に委託した「資産」で考えて、こういう認識からよく管理する必要があります。 
また、個人情報を保護する最も代表的で重要な、技術的な方法は「暗号化」して保管することというのを忘れてはいけません。個人情報保護法や情報セキュリティのガイドラインでも敏感な情報は必ず暗号化するように明示していることをしっかり知って、暗号化ソリューションを通じて完璧に保護しなければなりません。

 

Q.暗号化して保管すると、何が良いでしょうか。
例えば、ハッカーや犯罪者たちが個人情報を奪取りした時、暗号化している情報は、簡単に解釈できないため、2次的な被害を防ぐことができます。

 

まとめ

今回は、ペンタセキュリティが最もよく知っている情報セキュリティに関して説明しながら、皆さんが普段思っていた情報セキュリティへの悩みを解消するために、解説してみましたが、どうですか。

情報セキュリティは個人情報の保護と直結する問題でもあり、個人と企業が一緒に努力する時、さらに安全になれるということを認識するきっかけになれば、と思います。

次回は、自分も知らないうちに漏洩された個人情報や個人情報漏洩を防ぐためのコネクティッドカーにおける様々な内容をご解説します。次回も楽しみにしてください。

 

関連リンク≫