デジタル化された情報が、
所有者の意図に反して勝手に使われたり開示されたりすることは、
その所有者にとって脅威となるので、
ITセキュリティによってしっかり守らなければなりません。
ITセキュリティとは、
コンピューター、ネットワーク、デジタルデータを、
破損や情報漏洩から守る技術です。
それでは、ITセキュリティによって守るべき情報とはいったい何でしょうか。
情報資産
組織の運営には「情報」が必要です。
企業が守るべき情報とは、
- 顧客情報
- 経営計画
- 設計書など製品開発情報
- 社員の個人情報
などがあります。
こういった企業にとって価値のある情報を、「情報資産」と言います。
一方で、電話番号や住所、社長の名前など、
すでに公開されている情報もあります。
ITセキュリティで守るのはこうした公開されている情報ではなく、
企業が公開したくない価値のある情報資産です。
企業の情報資産は、
デジタル化されたデータだけでなく、
紙で残してあるものや人の記憶、
企業に価値をもたらす技術を持った人の情報なども含まれます。
脅威とリスク
情報資産は、企業にとって守らなければならない資産の1つです。
この情報資産を不正に持ち出したり悪用したりなど、
所有者に悪影響を与える原因や要因を「脅威」と言います。
例えば、情報資産を狙う犯罪者の行為も「脅威」のひとつです。
悪意を持って行う犯罪者だけでなく、
社員が情報資産の入ったパソコンを紛失することも「脅威」となります。
一方で「リスク」とは、
脅威が損失をもたらす可能性のことを言います。
脅威によってもたらされた業務停止や経済的損失、
企業の信用低下などもリスクとなります。
脅威の分類
情報資産を脅威から守るために、
どのような脅威があるのかを知っておくことは大切です。
脅威は次の3つに分類されます。
①人為的脅威
脅威源が人であるものが「人為的脅威」です、
人為的脅威は、さらに「意図的な脅威」と「偶発的(非意図的)な脅威」に
分類されます。
意図的な脅威
意思を持ってシステムに侵入・攻撃することです。
具体的には、機密情報を不正に持ち出したり、
情報を盗み見ることが意図的脅威にあたります。
またソーシャルエンジニアリングもこれに該当します。
ソーシャルエンジニアリングとは、
例えばゴミ箱に捨てられた資料を盗んだり、
ターゲットの背後からディスプレイを覗き見て
パスワードを入手したりすることです。
電話を使って心理的に相手を説得し、
個人情報や機密情報を盗み出すこともソーシャルエンジニアリングになります。
※ソーシャルエンジニアリングについては、Lesson5-6で詳しく解説します。
偶発的な脅威
意図せずに起こしてしてしまう「偶発的な脅威」には、
操作ミスや設定ミス、設備の故障などがあります。
具体的には、メールの誤送信やUSBの紛失、
重要なファイルを消去してしまう、などがこれにあたります。
偶発的な脅威の主な原因としては、
企業においては社員のITリテラシーが低いことや、
社内ルールが徹底されていないことがあげられます。
社員教育の実施やチェックの徹底などで
うっかりミスはある程度防ぐことができるでしょう。
②技術的脅威
「技術的脅威」には、サイバー犯罪者によるシステムへの不正侵入や、
コンピューターウイルスでのシステムへの攻撃などがあります。
ITセキュリティ上の欠陥(脆弱性)を狙った攻撃や、
マルウェアに感染させることも技術的脅威にあたります。
③物理的脅威・環境的脅威
情報資産が破損や破壊されてしまうことによって発生する脅威が、
「物理的脅威」です。
例えば、インターネット障害、機材の老朽化、コンピューターの窃盗などが
これに該当します。
社員が誤ってパソコンを落として壊してしまうのは、
人為的脅威と物理的脅威が重なってしまう例です。
また、地震や水害、台風、落雷などによる停電といった自然災害や、
病気によるパンデミックによる脅威を、
「環境的脅威」と言います。
環境的脅威が発生することは少ないですが、
発生してしまった場合は被害が重大となります。
ある調査によると、2023年の情報漏洩の原因の1位は、
「ウイルス感染・不正アクセス」でした。
次いでメールの誤送信などの「誤操作」が2位です。
また、不正な情報持ち出しや盗難も増加しています。
こうした脅威はなくなることがないため、
脅威を分類してそれぞれ対策を検討する必要があるのです。
次のレッスンでは、実際にどのような脅威があるか具体的に見ていきましょう。
