年末年始の情報セキュリティ事故には要注意!?いまさら聞けない情報セキュリティ対策とは~1問1答~
毎年、12月から1月にかけては忘年会や新年会など、飲み会が増えるシーズンです。数年前は自粛期間や小規模での飲み会が推奨されている時期もありましたが、最近では以前のような人数が多めの飲み会なども増えてきているのではないでしょうか。会食や飲み会などが増える時期に注意しておきたいことが情報セキュリティ事故です。
この記事ではいまさら聞けない情報セキュリティ対策1問1答を紹介します。
Q1. 情報漏洩の原因はどのようなものがある?
A. ランサムウェアなどのウイルス感染・不正アクセスが全体の55.1%を占め、次いで誤表示・誤送信が26.0%、紛失・誤廃棄15.1%、盗難3.0%、不明・その他が0.6%となっています。※1 外部からの攻撃やウイルス感染が半数以上を占める一方、誤送信や紛失といった人為的なミスによるものも多くを占めています。
※1…参考:東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~」情報漏えい・紛失事故件数 原因別 2023年12月26日
※1…参考:東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~」情報漏えい・紛失事故件数 原因別 2023年12月26日
Q2. 情報セキュリティ対策とは?
A. 企業が所有している情報資産はITの普及や利活用により経営効率が向上した反面、ITの普及以前には想定し得なかった秘密情報や個人情報など多岐にわたります。情報セキュリティ対策とは企業が所有している情報資産を漏洩や紛失・コンピュータウイルス感染などから守るために行う対策のことです。また、トラブルが生じた後の被害を最小限に抑えるための対策も情報セキュリティ対策に含まれます。
Q3. 情報セキュリティ対策にはどのようなものがあるの?
A. 情報セキュリティ対策には大きく分けて三つの要素があります。
1. 機密性(confidentiality)、2.完全性(Integrity)、3.可用性(Availability) の三要素です。それぞれの頭文字からCIAと略されることもあります。これらの要素を意識して情報セキュリティ対策を行うことで、安全に情報を取り扱うことができます。
1. 機密性(confidentiality)、2.完全性(Integrity)、3.可用性(Availability) の三要素です。それぞれの頭文字からCIAと略されることもあります。これらの要素を意識して情報セキュリティ対策を行うことで、安全に情報を取り扱うことができます。
Q4. 情報セキュリティの機密性とは?
A. 「機密性」とは情報へのアクセス権限を持った人のみが情報にアクセスできる状態にすることを指します。決められた人のみが対象の情報にアクセス可能にすることにより、ヒューマンエラーによる情報漏洩リスクの回避や、悪意のある人のアクセス・データ改ざんの防止などに繋がります。
Q5. 情報セキュリティの完全性とは?
A. 情報が破壊・改ざん・過不足のない正確な状態が保たれていることを指します。データや情報がすべてそろっていて、欠損や不具合がなく最新の状態を保つためには、アクセス履歴・変更履歴の保存やバックアップのルールを定めることが有効です。
Q6. 情報セキュリティの可用性とは?
A. 必要な時に必要な情報をいつでも取り出したり使ったりできる状態にしておくことを可用性といいます。システムの二重化や定期的なバックアップ、システムのクラウド化などを行うことは可用性を保つことに繋がります。
Q7. 情報セキュリティインシデントとは?
A. 情報セキュリティインシデントとは、会社や組織において情報セキュリティに関する重大な事態や事件が発生した状態を指しています。具体的にはコンピュータウイルスやトロイの木馬などのマルウェア感染、外部からの不正アクセスやサイバー攻撃、従業員による情報漏洩などを指し、天災や設備不良による事故なども含まれます。
Q8. 情報セキュリティ対策を怠るとどうなるの?
A. 対策が不十分であったことで情報セキュリティ事故が起こると、企業が被る主な不利益は次に挙げる4点があります。
・金銭の損失
・顧客の損失
・事業の停止
・従業員への影響
たった1度の事故でも、事故が起こったことによる社会的信頼の損失は計り知れません。 事故が起こらないようしっかりとした情報セキュリティ対策を行うことが肝心です。
・金銭の損失
・顧客の損失
・事業の停止
・従業員への影響
たった1度の事故でも、事故が起こったことによる社会的信頼の損失は計り知れません。 事故が起こらないようしっかりとした情報セキュリティ対策を行うことが肝心です。
Q9. 企業が行うべき情報セキュリティ対策とは?
A. 日頃から実践すべき対策と、インシデント発生時に行うべき対策の2種類があります。 日頃から実践すべき対策としては、情報セキュリティ体制の整備、従業員の教育、システム面での対策が挙げられます。 インシデント発生時に行うべき対策としては、事前に取り決めた内容に従った対応、インシデントの分析、再発防止策の検討が必要です。
Q10. 情報資産の適切な運搬方法とは?
A. 企業によって方法やルールは様々かと思いますが、データレスPCを使用する、USBメモリなどの記録媒体は暗号化対応のものを使用する、メールでの受け渡しでは暗号化されたオンラインストレージや誤送信防止システムの利用などがあります。
PCの社外持ち出しリスクと漏洩情報対策についての詳しい記事はこちら
PCの社外持ち出しリスクと漏洩情報対策についての詳しい記事はこちら
年末年始は年末の忙しさや気の緩みから情報セキュリティ事故が起きやすくなる時期です。 情報セキュリティ事故への対策は日頃から実践すべき対策と発生時に行う対策があります。年末年始および長期休暇に入る前に今一度自社の情報セキュリティ制度の見直しや確認を行ってみてはいかがでしょうか。
