春は異動の季節です。

情報セキュリティ部門に突然異動を命じられた人や、また、部署は存在しないながらも、突然情報セキュリティ担当に任命された人もいらっしゃるのではないでしょうか。

‍

情報セキュリティを担当するからといって、必ずしもコンピュータに詳しいとは限りません。

何をすればいいのだろう?と不安になる方もいらっしゃるでしょう。 とりあえず全社員分のセキュリティソフトを買って入れるとか、とりあえず会社のネットワークにセキュリティ機器を入れなければいけないのでしょうか?

また、難しい手口でサイバー攻撃を受けた会社のニュースを見聞きしたりしている方の中には、情報セキュリティというとコンピュータ技術の難しい知識が必要なのではと思われる方もいらっしゃるかもしれません。

‍

しかし、必ずしもそうではありません。ソフトや機器がないと何もできない訳ではありません。また、知識があるにこしたことはありませんが、サイバー攻撃者のような難しいことを知らなければできないというわけではありません。

‍

情報セキュリティは、必要な考え方を身につけたうえで取り組んでいけば、一定のことができるものです。

‍

大切なのは、考え方と学ぶ範囲を知ることです。

‍

情報セキュリティで大事な考え方を身に付けよう

まずは、情報セキュリティで大事な考え方を3点お伝えします。

1. 数字で考えること
2. 信頼関係をつくること
3. CIA（情報セキュリティの3要素）を知ること

この3点です。

‍

1. 数字で考えよう

情報セキュリティを扱っていると、「セキュリティに100点はない」「いつか事故は起こる」といったことをよく言われますが、セキュリティを業務にするにあたっては、こういった言葉を言い訳にするのではなく、事前の「考え方」に結びつけないといけません。

‍

情報セキュリティについての業務を行うにあたっては、たとえば古い脆弱（ぜいじゃく）なソフトウェアがあったり、従業員がパスワードを使い回していたり、たくさんのリスクが目の前に突きつけられます。

では、そのリスクから情報セキュリティ事故が起こる確率は、どのくらいでしょうか? 10%でしょうか?1%でしょうか? それとももっと少なくて、0.01%でしょうか。

すぐに計算することは難しいにしても、リスクによって確率が違うということは分かるでしょう。すべてのリスクを等しく扱ってしまうと対応の優先順位が定まらないので、判断ができなくなります。

‍

情報セキュリティの業務に関わる人に真っ先に身につけてほしいことは、数字で考えることです。 数字自体は厳密でなくても構いません。これはこうだからだいたい何%、ということが言えればいいのです。

‍

2. 信頼関係をつくろう

数字で考えるということと同じくらいに大切なのは、信頼関係をつくるということです。

‍

情報セキュリティ事故が起こるときによくあるのは、誰も把握していなかったシステムが事故の端緒になってしまうことです。 本来利用されていないはずのクラウドサービスやPC、スマートフォンやUSBメモリなどを「シャドーIT」と呼ぶことがありますが、シャドーITがセキュリティの問題を引き起こす事例はたくさんあります。

たとえば、会社に「おたくとの取引にしか使っていないメールアドレスに、身に覚えのないメールが届いた」というクレームがあったとします。 このときに、本来利用していないはずのクラウドサービスから漏えいがあったとしたら、どうでしょうか。 どこで・なぜ事故が起こったのかをあなたが把握することは、とても難しくなります。

‍

そして、シャドーITはほとんどの場合、従業員がこっそり持ち込んでいるものです。

では、なぜこっそり持ち込むのか。たとえば、それがないと仕事が回らないが、会社に使わせてほしいとお願いしても、よく分からないからダメの一点張り。従業員は仕事をしなければならないのに、会社は従業員を締め付けるばかり。こうしていくうちに、会社に対する信頼は静かに崩れ、従業員はこっそりシャドーITを持ち込みます。

‍

情報セキュリティの仕事をするうえで欠かせないものは正確な情報ですが、これでは正確な情報がないまま情報セキュリティの仕事をしなければならなくなります。

‍

3. CIA（情報セキュリティの3要素）を知ろう

CIAと言っても、アメリカの対外情報機関のことではありません。1992年にOECD（経済協力開発機構）が制定した『情報システム及びネットワークのセキュリティのためのガイドライン』に示されたもので、情報セキュリティによって維持される要素を示しています。

この3つの要素は、その後さまざまな規格やガイドラインで謳われるようになりました。情報セキュリティの目標として普遍的なものですので、覚えておきましょう。

• C=Confidentiality: 機密性。本来その情報を知るべきでない人に情報が知られてしまうことがないようにすることを意味します。
• I=Integrity: 完全性。情報が改ざんされる・消去されるなど、情報の損失がないようにすることを意味します。
• A=Availability: 可用性。必要な情報に必要なときにアクセスできることを意味します。

‍

‍

機密性を守ることができるか・完全性を守ることができるか・可用性を守ることができるか、という問いを立てることで、いまからしようとしている情報セキュリティ対策が何を目的とするものなのか、はっきりさせることができます。

情報セキュリティの知識を身につけよう

情報セキュリティの仕事をするとき、サイバー攻撃をする人のような難しいことを知らなければできないわけではないと書きましたが、もちろん、何の知識も要らないというわけではありません。

情報セキュリティの考え方と知識が揃うことで、情報セキュリティ対策を講じたり、情報セキュリティ事故に対応したりするときに、冷静で正しい行動がとれるようになります。

‍

1. コンピュータとインターネットの仕組みを知ろう

現代では、仕事をするうえでコンピュータとインターネットは欠かせませんから、これらの仕組みを知ることは必要です。

たとえば、コンピュータは情報をどうやって保存しているのか、ということは知っておいた方がいいでしょう。 ストレージと呼ばれる箇所（ハードディスクやSSD、USBメモリと呼ばれるものです）に情報はファイルとして保存されますが、コンピュータがファイルを消すときは、そのファイルを辿れないように、ファイル一覧からの紐付けを消すだけ、というのが一般的な仕組みです。 ですから、ファイルを消しただけのストレージを持ち出すことができてしまうと、情報が不用意に読み取られてしまうことがあります。

これは、重要な書類をゴミ箱に捨てただけの状態と似ています。ゴミ箱に捨てただけで書類そのものが消えるわけではないので、悪意のある人にゴミ箱をあさられることで、捨てたつもりの重要な書類を盗まれてしまうことがありますが、コンピュータでも同じことが言えます。

また、通信相手が正しいかどうかを確認したりするために、インターネットにおける住所に相当するIPアドレスが使われたり、暗号と証明書を使って偽装を防いだりといったことを行います。

このように、技術を細かく知るよりは、コンピュータとインターネットではどんな原理の仕組みが使われているのか、そしてそれらがどのような目的で使われているのかを理解するとよいでしょう。

‍

2. ベースライン（規格）を知ろう

情報セキュリティには、ベースライン（規格）があります。 ベースライン（規格）というのは、情報セキュリティや対策の達成度を文書にしたものです。 情報セキュリティでは、対応の抜け漏れが出ないよう、多くの人の知恵を体系立てて共有することが必要です。

ベースラインはガイドラインとも呼ばれ、さまざまなものがあります。 どんな会社でもサイバー攻撃に狙われる時代ではありますが、会社のある国・地域や会社の規模、会社の業種によって、狙われやすさや固めるべき守りは違います。

以下のベースラインは、特に有名です。

• 国際標準化機構の「ISMS」（Information Security Management System、情報セキュリティマネジメントシステム、ISO 27000シリーズ） https://isms.jp/isms/
• 一般財団法人 日本情報経済社会推進協会（JIPDEC）の「プライバシーマーク」 https://privacymark.jp/
• CSA（クラウド・セキュリティ・アライアンス）のCCM/CAIQ https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/
• NIST（アメリカ国立標準技術研究所） のSP-800シリーズ https://www.ipa.go.jp/security/reports/oversea/nist/about.html
• PCI SSC（Payment Card Industry Security Standards Council、国際カードブランドが共同で設立した団体）PCI DSS  https://www.jcdsc.org/pci_dss.php
• 内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省の「ISMAP」（Information system Security Management and Assessment Program） https://www.ismap.go.jp/csm
• 経済産業省の「サイバーセキュリティ経営ガイドライン」https://www.meti.go.jp/policy/netsecurity/mng_guide.html
• 独立行政法人情報処理推進機構（IPA）の「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/guide/sme/about.html
  ‍

3. 世の中で起こっている情報セキュリティ事故を知ろう

世の中で起こっている情報セキュリティ事故は、多くがニュースで報道されるようになりました。 これらを知ることで、自分たちがどういう事故に遭いそうなのか想定しやすくなりますし、対策も考えやすくなります。

‍

世の中で起こっている情報セキュリティ事故は、サイバー攻撃と人為的ミスとの2つに分けることができます。

‍

サイバー攻撃は、悪意のある第三者が業務システムの弱点（脆弱性）を突いて情報を盗み出したり、ランサムウェアで情報を使えなくして人質にとったり、あなたの会社を踏み台にしてさらに別のところにサイバー攻撃を仕掛けたりすることなどを指します。

‍

人為的ミスは、メールの送信先を誤る、公開してはいけない情報をホームページに誤って公開する、パソコン・スマートフォン・データや紙資料を紛失するといったものです。 そして、実際には、人為的ミスによる情報セキュリティ事故が多いのです。

‍

人間はミスをするものですが、それが事故につながらないような仕組みを作るためには、「どのようなミスをするか」を知ることが必要です。

情報セキュリティ事故のニュースを読み解いて教訓として生かしていくうえで、併読をおすすめするのが、IPAの資料です。

独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」は、前年に頻発した、社会的影響の大きい情報セキュリティ事案をまとめたものです。 情報セキュリティ事故のニュースを見るたびに「情報セキュリティ10大脅威」のどの脅威に当てはまるのかを考えていくと、より適切にニュースを活用できるはずです。

・独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威」 https://www.ipa.go.jp/security/10threats/index.html

‍

おわりに

実際の情報セキュリティ担当者の仕事は、会社の状況によってまちまちです。自分自身で何をするか考えなければいけない場合もあれば、何をするかはすでに明確な場合もあります。

そこで、この記事では、情報セキュリティの業務そのものではなく、業務をすすめるための土台となる考え方と知識に焦点を絞って書いてみました。

‍

情報セキュリティの業務に新しく携わるあなたに向けて、この記事が何らかの助けになれば幸いです。