情報セキュリティ基礎知識


セキュアシステムとは

情報システムは決められた動作(メールを送信する、ファイルを共有する等)を行うだけでなく、誤って異常なデータを入力された場合や悪意をもって攻撃された場合に備えて、システム全体を防御する仕組みが必要となります。不測な事態への備えをセキュアシステムと言います。

個人情報取扱い事業者

セキュアシステムの実現を阻むもの

これだけ情報システムへの不正侵入や不正操作が起きているにも関わらず、システム開発会社が完全なセキュアシステムを作らないのはなぜでしょうか。

予算の問題

当然ですが、セキュリティ対策を行えば行う程、お金がかかります。場合によっては情報システムのメイン機能を構築する予算と同額が必要になる場合もあるのです。そのため、発注会社のセキュリティへの理解度によってセキュリティ対策は大きく変わります。

トレードオフの関係

利便性とセキュリティはトレードオフの関係です。防犯を例に説明しますと、防犯のため玄関の鍵を2重にすることは不審者の侵入を防ぐ一方、家への出入りの手間が増える関係になります。これと同じことが情報システムにおいても発生します。

社長・社員のセキュリティ理解度が低い

ITや情報セキュリティへの知識が全くなければ、セキュリティリスクが経営に及ぼす度合いを測ることができません。空き巣や火事のように目に見える被害とは異なる情報システムへのリスクを判断できる人材、特に決裁権を持つ経営者が求められます。

攻撃の進化、多様性

毎日新たに発生しているウイルスは約100万種類あると言われています。ウイルス対策ソフトは新たなウイルス全てに対処することはできずよく見ても8割程度だという現状があります。つまり、現時点で最高水準のセキュアシステムを作っても数日で脆弱になる可能性があるということです。

セキュリティを突破されることを前提に

現在、海外の情報システムのセキュリティのトレンドは「如何にして攻撃を防ぐか」ではなく、「如何にして被害を最小限に抑えるか」に変わってきています。

毎日のように多種多様のウイルスが生まれてきている状況では、完璧だと思ったセキュリティ対策もすぐに廃れてしまうという現状を受け止め、外部から攻撃を受けても被害が最小限になるよう本物のシステムに似せて構築したダミーシステムを用意したり、侵入をすぐに検知できるセンサーを設けたり、破壊・修正されたデータをすぐに復旧するための仕掛けを設けています。
侵入されることを前提に、システムの被害を最小にするための方策を検討することが求められます。

検討されたセキュリティ対策

←前の記事 情報セキュリティ対策におけるマネジメントの役割

情報セキュリティのCIA 次の記事→

コンタクト情報

Topics

Top