【情報セキュリティーの基礎知識】3大要素と脅威の対策〜感染後の対処法

【情報セキュリティーの基礎知識】3大要素と脅威の対策〜感染後の対処法
ハテオ君

IT業界では情報を扱うと思うんだけど、情報を扱うときに注意点とか対策はどの様にしているんだろう...。

今回はこの悩みを解決します!

今回の記事テーマ

情報セキュリティーの3大要素〜セキュリティー対策の基礎知識を解説!
※今回の記事はIT完全未経験者向けの記事です。

IT業界では、情報を扱う場面が他の業界に比べてかなり多いです。

そのため、正しい情報の取扱に関しての知識がないと損害賠償を請求されることがあります。

また、個人でも詐欺被害に遭いたくない方に関しても、情報セキュリティーの基礎知識を知ることで自分を守る自己防衛にもなります。

なので、今回の記事内容をしっかり覚えて対策を行なっておきましょう!

本日の記事内容

記事の最後には、今回の内容に関しての確認問題も用意していますので、インプットとアウトプットとしても是非活用してみてください。

元中卒の自分が、誰でも理解できるように解説していきます。

それでは早速見ていきましょう。

黄島 成

情報セキュリティーの基礎と概念

まず最初に、情報セキュリティーの基礎と基本概念から見ていきましょう。

情報セキュリティーとは?

情報セキュリティーとは、個人や企業の情報資産を守ること。

  • 企業=顧客情報や企業ノウハウなど
  • 個人=個人情報や資産情報など

上記のような情報資産が盗まれたり悪用されない対策する必要があります。

つまり、利益に成り得る全ての情報を守ることを情報セキュリティーと呼ぶ。

現実世界で例えると、ALSOKのようなイメージですね。

情報セキュリティー対策の基本概念

現代では、情報のほとんどがITを活用して管理されています。

ITを利用する全ての方が安全に利用できるようにするためには、情報セキュリティー対策が必要不可欠です。

情報セキュリティーの基礎概念

  • ①正当な権利を持つ個人や組織が、情報やシステムを意図的に制御できること
  • ② 情報の機密性、完全生及び可用性を維持すること

上記2点は情報セキュリティーの基礎概念となっておりますので覚えておきましょう。

情報セキュリティーの3大要素(CIA)

情報セキュリティー対策では以下3つを指標として情報対策を行なっていくことが重要となっています。

  • 機密性(Confidentiality)
  • 完全性(Integrity)
  • 可用性(Availability)

上記の3つの指標を合わせて「情報セキュリティーの3大要素」と呼ぶ。

この3大要素を維持していくことが、情報セキュリティー対策では重要になってきます。

それでは順番に詳しく見ていきましょう。

3大要素①:機密性(Confidentiality)

機密性とは、限られた人のみ情報にアクセスできるよう制御をかけること。

簡単に言えば「外部から情報を盗まれないようにする対策」です。

例:企業と個人の場合

  • 企業=顧客情報
  • 個人=個人情報

上記2点が機密情報に当たります。現在では、機密情報はコンプライアンス的にも厳しく各業界でもシビアに扱われています。

もし、機密情報を漏えいした場合の損害賠償は「個人情報1人あたりの相場が1万円〜3万円」ほどと言われております

例:10万人の個人情報を漏えいした場合

損害賠償1人当たり相場の間を1万5千円と仮定しましょう。

15000円×100000万人=1500000000円(15億円)

上記の場合、10万人の機密情報を漏えいしたら15億円が損害賠償となる。結構なダメージですよね。

このような状態にならないためにも、外部から情報を盗まれないアクセス制御をけることが必要不可欠となります。

つまり機密性とは、機密情報を盗まれないようアクセスに制御をすること。

3大要素②:完全性(Integrity)

完全性とは、情報及び情報処理方法が正確かつ完全であること(改ざんされてない状態)

簡単に言えば「所有してる情報を改ざんされないように保護する」ことです。

例:個人と企業の場合

  • 個人 SNSで何者かにアカウント乗っ取られ他の人へ勝手にメーセージを送られた状態=完全性ではない。
  • 企業 企業のWebサイトに侵入され、正確な情報を改ざんされて嘘の情報に書き換えられた状態=完全性ではない。

上記のように、情報を改ざんされないためには、情報を保護する必要があります。

3大要素③:可用性(Availability)

可用性とは、情報へのアクセス権限を持っている人だけが必要な時に情報を閲覧・操作できる状態のこと。

簡単に言えば「特定の人が必要な時に情報へアクセスできる環境状態にしておく」ことです。

例:仕事中の場合

社内の管理システムがサーバーダウンや機能停止した場合、業務が一時停止する問題が発生。

このような状態では、可用性が維持できていないことになります。

上記で説明した情報セキュリティーの3大要素の頭文字を取って「CIA」と略されたりもします。

海外映画とかではよくCIA(情報機密機関)が出てきますよね。それです。

情報セキュリティーに対する脅威3選

情報セキュリティーに対する脅威とは、情報を取り扱う上でのリスクを起こす原因のこと。

このリスク要因が被害や影響を与える可能性になるため、脅威に対する対策を行うことが重要です。

主に以下3つの脅威が存在する

  • 技術的脅威
  • 人的脅威
  • 物理的脅威

順番に詳しく見ていきましょう。

脅威①:技術的脅威

技術的脅威は、コンピュータウイルスやマルチウェアによる被害です。

具体的には、不正なプログラムや技術的に作られたものによって発生する脅威。

  • Webサイトのリンクをクリックしたら変なサイトへ会員登録されて料金の請求をされた。
  • メールで送られてきたファイルを開いた後、自分のクレジットカードから勝手に決済がされていた。

上記のような被害などが技術的脅威に当たる。

このような被害を受けたことがある方も多いかと思いますが、この脅威は人の手で作られたプログラムなどが原因となっています。

つまり人の手で作られたプログラムなどが技術的脅威!

脅威②:人的脅威

人的脅威は、人のミスなどによって情報漏洩が起こる脅威。

具体的には、謝った操作ミスを起こし個人情報の流失や、送付先の誤りによる外部へ情報が漏えいすることです。

  • 発注データの桁数を間違えて送信してしまい金額が倍になり企業にとんでもない請求が来た。
  • 会社の情報が入ったPCやUSBメモリを盗まれて悪用された。

上記のような事例が挙げられる。

運が悪ければとんでもない額の被害に遭う場合もあり得ますね。

つまりこ人の操作ミスなどにより起こる被害が人的脅威!

脅威③:物理的脅威

物理的脅威は、情報システムやコンピュータの物理的な問題で発生する脅威。

具体的には、「自然災害、機械の故障、機材の窃盗」などによる被害です。

  • 会社の全ての情報を管理している機材が経年劣化による故障を起こし業務が数日間不可能。
  • 自然災害によって会社の機器や資料で管理している情報などを全部失った。

上記のような事例が挙げられます。

仕事上でこのような被害に遭うとかなり致命的ですよね。

つまり自然災害や経年劣化、人の悪意による破損などが物理的脅威!

私も様々な被害に遭った場面に遭遇しましたが、一番多い原因は人のミスによる被害が最も多かったですね。

これで安心!情報セキュリティー対策3選

今まで紹介した脅威から情報を守ためには、脅威を把握して事前に情報セキュリティー対策を行なっていかないといけません。 

現在の情報化社会のおいては、この情報セキュリティー対策は企業でも個人でも自分を守るためには必須になります。

そこで、どんな対策を行なっていけば良いのか詳しく解説していきます

主な対策としては3選

  • セキュリティーソフトの活用
  • OSやソフトウェアの更新
  • セキュリティー度の高いパスワード

順番に詳しく見ていきましょう。

対策①:セキュリティーソフトの活用

セキュリティーソフトは、自分の所有している端末を外部から侵入されていないか監視してくれるソフトウェアです。

端末内にいる警備員のようなイメージですね!

セキュリティーソフトの役割

  • 端末をウイルスやスパイウェアから守る
  • 外部からの攻撃、不正なアクセスを制御
  • 大量に送られてくる迷惑なスパムメールを除去

スマホなどの通信契約した場合は初期状態でソフトがインストールされているのでそれを使えば問題なし。

そのため、侵入や攻撃の被害にあわないためにセキュリティーソフトを事前に導入しておくことが大事!

対策②:OSやソフトウェアの更新

OSやソフトウェアの更新は、バージョンアップや更新を行い、端末やアプリを最新状態にしておくこと。 

OSやソフトウェアに不具合や改善、修正が行われた時に更新のタイミングが来ます。

そのまま放置してしまうと、アプリや端末の不具合を悪用する人が、その隙間から侵入しウイルスに感染してしまいます。

感染された後ではもう手遅れです。更新のタイミングがあれば速やかに更新をしましょう。

OSやソフトウェアを常に最新の状態に保っておくことが重要!

OSに関してもっと詳しく知りたい方は以下の記事をご覧ください。
» 【OSとは何か?】OSの目的と役割〜代表的なOSの種類と最新バージョン

対策③:セキュリティー度の高いパスワード

業務や個人で使うパスワードを簡単なものにしていると、悪意のある人に特定され悪用される可能性が高いです。

例えば、名前と誕生日などで設定している場合はすぐにプログラムで特定されるので危険!

自分にしかわからない文字や数字の組み合わせなどで設定することをオススメします。

また、定期的にパスワードの変更などを行うと、よりセキュリティー度は高くなる。

自分は、3ヶ月に1回パスワード変更しているから今のところ被害は起きていないです。

ウイルス感染してしまった時の対処法3選

様々な対策を行なってもウイルス感染してしまう可能性は0ではありません。

もしウイルスに感染してしまった場合は速やかに発見し対処を行う必要があります。

代表的な対処方法は以下3つ

  • インターネットの切断
  • ウイルス特定と駆除
  • 念のためパスワード変更

順番に詳しく見ていきましょう。

対処法①:インターネットの切断

ウイルスは、インターネット経由で侵入し拡大します。

なので、これ以上ウイルスを拡大させないためにまず、インターネットを切断する必要がある。

  • リ固定回線やWi-Fiの場合は、Wi-FiをOFFにする。
  • スマホのデータ通信の場合は、機内モードにする。

上記内容を速やかに行いましょう。

ちなみに自分は、IT業界初心者の頃仕事中にウイルス感染しすぐ上司に報告したら「まずネットを切断しろ!」と怒られました。

対処法②:ウイルス特定と駆除

インターネットを切断してから次にやることが、セキュリティーソフトでスマホをスキャンです。

スキャンするとウイルスを特定し駆除することが可能となります。

また、感染源のデータファイル、メールやアプリの削除も行う必要があります。この時に、ゴミ箱へ入った場合は完全削除を忘れないようにしましょう。

対処法③:念のためパスワード変更

スマホやパソコンでは情報資産などを管理している場合が多いため、パスワードは念のため変更しておきましょう。

パスワードがそのままだと、ウイルス感染した時点で情報が抜き出されている可能があるためです。

クレジットカードの不正利用やアカウントの乗っ取りはパスワード変更をしない原因がほとんどです。

そのため、ウイルスが発見された場合は速やかにパスワードも変更しておきましょう!

情報セキュリティーマネジメントシステム

情報セキュリティーマネジメントシステムとは、情報セキュリティー対策が正しく行われているか証明できる承認制度です。

企業や団体がこの情報セキュリティーに関する条件をクリアすることで認証されます。

この証明をすることによって、利用ユーザーから安心してもらうことで信用度が増します。情報を扱うIT企業では必須ですね。

代表的なの認証制度は以下2つ

  • ISMS認証
  • プライバシーマーク

順番に詳しく見ていきましょう。

認証制度①:ISMS認証

ISMS認証とは、上記で説明した3大要素を維持、改善し適切に管理していることを証明出来る認証制度です。

情報セキュリティマネジメントシステム(ISMS)適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度である。本制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的とする。

引用元:情報マネジメントシステム制度センター「SMS適合性評価制度の目的」

個人ではあまり馴染みのない制度ですが、企業であればこのISMSがあるかないかでは信用度が随分変わってきます。

顧客側は個人情報を漏らして欲しくないから、セキュリティー対策が管理されている企業の方がもちろん信用度や安心感は違います。

社会人の方は、ISMS認証の基礎知識ぐらい知っておきましょう!

認証制度②:プライバシーマーク

プライバシーマークとは、個人情報を適切に管理していることを証明できる認証制度です。

別名「Pマーク」と略される場合もあります。

「プライバシーマーク制度」は、企業や団体など(事業者)の個人情報保護の体制や運用の状況が適切であることを、消費者のみなさんに“プライバシーマーク”というロゴマークを用いてわかりやすく示す制度です。1998年から一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しています。

引用元:プライバシーマーク制度「ご存知ですか?プライバシーマーク制度」

プライバシーマークは、個人情報に関する認証制度ですので、個人に向けてサービスを提供する企業はほとんど取得しています。

自分がIT企業初心者の時、お客様からのクレームで「Pマークあるんだろ?」と言われたので「何ですかそれ?」と言たらさらに激怒されたこともあります...。

上記で解説した2点の認証制度は、個人では必要はないですが企業に勤める会社員や事業を始めようとしている方に関しては必要な知識です。

そのため「情報を守る、自分を守る、企業を守る」この3つを意識し、情報を効果的に活用できるようにしておきましょう!

今回のまとめ&確認問題

【情報セキュリティーの基礎知識】3大要素と脅威の対策〜感染後の対処法まとめ

情報セキュリティーの基礎知識については上記内容で以上となります。

それではまず今回の内容をまとめていきましょう。

まとめ

  • 情報セキュリティーは、個人や企業の情報資産などを守ること
  • 機密性、完全性、可用性、の3大要素を維持していくことが重要
  • 脅威は、技術的脅威、人的脅威、物理的脅威の3つが存在する
  • 対策は、セキュリティーソフトの活用、常に更新、セキュリティー度の高いパスワードを行う
  • 感染した時に対処法は、ネット切断、ウイルスの特定と駆除、パスワード変更を早急に行う
  • 情報セキュリティーの承認制度は、ISMS認証、プライバシーマーク、が存在する

今回の確認問題「アウトプット用」

確認問題

基礎知識の確認問題④

「次へ」で問題スタート!

①解説

【問題①】

情報のセキュリティー3大要素(CAI)の1つ可用性に該当する説明は以下3つのうちどれか。

:限られた人のみ情報にアクセスできるよう制御する。
不正解× 機密性
:情報へのアクセス権限を持っている人だけが必要な時に情報を閲覧・操作できるように管理する。
正解〇
:情報及び情報処理方法が正確かつ完全であること維持する。
不正解× 安全性

【解説】

情報セキュリティーの三大要素は以下通り

  • 機密性=外部から情報を盗まれないようにする対策
  • 完全性=所有してる情報を改ざんされないように保護する
  • 可用性=特定の人が必要な時に情報へアクセスできる環境状態にしておく

つまり答えは「」となる。

②解説

【問題②】

「会社の情報が入ったPCやUSBメモリを盗まれて悪用された」このような被害は以下3つのうちどの脅威に該当するか。

:技術的脅威 不正解×
:物理的脅威 不正解×
:人的脅威 正解〇

【解説】

情報被害に遭う脅威としては主に以下3つの脅威があります。

  • 技術的脅威=人の手で作られたものによって発生する脅威
  • 人的脅威=人のミスなどによって情報漏洩が起こる脅威
  • 物理的脅威=自然災害や経年劣化、人の悪意による破損などの脅威

つまり答えは「」となる。

③解説

【問題③】

ウイルス感染してしまった際に、インターネットを切断する目的として適切な説明はどれか。

:パスワードなどがバレて乗っ取られる可能性があるから。
不正解×
:ウイルスを特定し駆除することが可能だから。
不正解×
:インターネット経由でウイルスは侵入し拡大するから。
正解×〇
:アプリや端末の不具合を悪用する人が、その隙間から侵入するから。
不正解×

【解説】

ウイルスは、インターネット経由で侵入し拡大します。そのため、これ以上ウイルスを拡大させないためにまずインターネットを切断する必要がある。

対策方法

  • 固定回線やWi-Fiの場合は、Wi-FiをOFFにする。
  • スマホのデータ通信の場合は、機内モードにする。

つまり答えは「」となる。

最後まで読んでいただきありがとうございました!

今回の内容が、役に立ったな!と思ったらシェア&ブクマ登録よろしくお願いします。

また、質問や問い合わせに関しては、コメント欄かお問い合わせフォームを活用ください。

それではまたお会いしましょう。

黄島 成

-基礎知識
-