「シーン別リスクマネジメントの方法」シリーズ3回　情報セキュリティの事故を起こさないためには？

近年のデジタルテクノロジーの進化は「情報の価値」を飛躍的に高めました。個人情報、閲覧履歴、位置情報、取引履歴、業績情報などなど。いつでもどこでも情報を取得・蓄積できるようになったことで、企業は様々なビジネスモデルの可能性を広げています。
しかし、情報は蓄積するほど管理が難しくなります。記憶に新しいところでは、ある教育系企業が3,000万件近くの個人情報を漏洩し、数百億円単位の損害につながってしまったという事例がありました。この事例が起きた原因は3次請けの派遣社員が個人情報を不正に外部に売却していたことであり、情報管理を関係者のすみずみまで行き渡らせることの難しさを痛感させられます。
こうした情報セキュリティの事故は運悪く起きたアクシデントのように感じられるかもしれません。しかし、事故が起きる確率が低くても、起きてしまった場合の影響度に着目して対策を行うことが重要です。そこで今回は、情報セキュリティのリスクマネジメントにおいて押さえるべき「基本」をご紹介します。
 

■情報セキュリティのリスクとは何か？

実は見落とされがちなのが、「そもそも情報セキュリティのリスクとは何か」ということです。情報セキュリティのリスクというと情報漏洩ばかりに目が向きがちですが、正確には3つのリスク（略してC・I・A）があることを押さえておく必要があります。
 
C:機密性（Confidentiality）のリスク
I:完全性（Integrity）のリスク
A:可用性（Availability）のリスク
 
それでは、これらの3つのリスク（C・I・A）について、具体的に見ていきましょう。
 

C:機密性（Confidentiality）のリスクとは？

機密性（Confidentiality）とは、許可を受けた者のみが情報にアクセスできる状態を指します。いわゆる情報漏洩はこの機密性に関わるものと言えます。機密性が維持されているイメージとしては、サーバーのアクセス権限が設定されていることや、書類にパスワードがかけられていることなどが挙げられます。
では、機密性の観点で情報セキュリティを見直した時に、どのようなリスクが考えられるでしょうか。例えば、日々の運用が面倒でパスワード設定が徹底されていないリスクが典型的ですが、ハッカーによる攻撃で情報を盗まれてしまうリスクも決して無視できません。
 

I：完全性（Integrity）のリスクとは？

完全性（Integrity）とは、情報が正確かつ完全である状態を指します。完全性が維持されているイメージとしては、定期的に最新の情報に更新されていることや、手違いで情報が欠落してしまわないようマスター情報が保管されていることなどが挙げられます。
では、完全性の観点で情報セキュリティを見直した時に、どのようなリスクが考えられるでしょうか。例えば、情報が更新されていない場合、顧客に不適切な連絡を行ってしまうリスクがあります。また、バージョン管理が行われていない場合、どれが最新の書類が分からなくなるリスクもあります。
 

A：可用性（Availability）のリスクとは？

可用性（Availability）とは、必要とするときに情報にアクセスできる状態を指します。可用性が維持されているイメージとしては、書類やデータが倉庫や共有フォルダに保管されていることや、それらが適切に分類され、採番管理されていることなどが挙げられます。
では、可用性の観点で情報セキュリティを見直した時に、どのようなリスクが考えられるでしょうか。例えば、書類の管理が属人化しているとベテラン社員の退職と同時に書類の行方が分からなくなるリスクがあります。また、オフィスの移転や他社との経営統合の際には書類を紛失ないし誤って処分してしまうリスクもあります。
このように情報セキュリティを3つのリスクでとらえ直すと、情報漏洩以外にも事故につながりかねないリスクが存在していることが分かります。
 

■情報セキュリティ対策の3つのアプローチ

では、こうした情報セキュリティのリスクに対して、具体的にどのようなリスクマネジメントが可能なのでしょうか。情報セキュリティのリスクマネジメントは、物理的対策・技術的対策・人的対策の3つのアプローチを同時に行うことが重要です。
 

情報セキュリティの物理的対策とは？

物理的対策とは、その名の通り物理的に情報の取扱いを管理・統制することです。ドアの施錠管理や監視カメラでのモニタリングのような目に見えて分かりやすい対策が中心で、確実に行われていることが求められます。
ただし、機密性・完全性（C・I）と可用性（A）のバランスを保つためにも、一律に管理・統制下に置くのではなく、何をどこまで管理・統制すべきかを定義することが重要です。例えば、「個人情報か否か」「公開情報か否か」「1年以内の情報か否か」などの基準によって、管理・統制にいくつかの段階を設けることが考えられます。
 

情報セキュリティの技術的対策とは？

技術的対策とは、デジタルデバイス（PC・スマホ・タブレットなど）やインターネットのネットワーク上の情報の取扱いを管理・統制することです。閲覧・持ち出し・複製の権限設定から、ハッカー攻撃に対する侵入検知システムの導入まで、デジタルテクノロジーの進化に合わせて様々な対策が求められます。
これらの対策は情報システム部が中心となって行われることが一般的です。そのため事業部門にとってあまりリスクの大きくない業務に対策がなされ、現場の手間ばかり増加しているケースも多く見られます。対策の優先順位を明確化するために、事業部門と連携して、実質的に影響の大きい技術的課題を特定することが重要です。
 

情報セキュリティの人的対策とは？

人的対策とは、物理的・技術的対策を実際に運用する組織や人員レベルにおいて情報の取扱いを管理・統制することです。社員に情報セキュリティの教育研修やモニタリングを行うだけでなく、社外の関係者とも契約などで情報セキュリティの運用を義務づける必要があります。
人的対策は意識・心がけの問題とされがちですが、精神論だけでは対策としての実効性が担保できるとは言えません。モニタリングプロセスへの参加を業務化したり、人事評価の項目のひとつとして組み込むなど、関係者が日常的にリスクマネジメントに関与する環境をつくることが重要です。
 

■まとめ

情報セキュリティを考える際には、まず機密性（Confidentiality）・完全性（Integrity）・
可用性（Availability）の3つのリスクを捉えることが出発点になります。見逃しているリスクがないか、改めて見直してみてはいかがでしょうか。そしてリスクが見つかった場合は、物理的対策・技術的対策・人的対策の3つのアプローチで情報セキュリティ対策を行いましょう。