情報セキュリティとは？トラブル事例や対策を怠るリスク、対策の具体例

インターネットを介して扱われる情報の中には個人情報や信用取引情報など機密性の高い情報も多く、そうした情報を狙ったトラブルは後をたちません。そのため個人や企業にとって情報セキュリティ対策は欠かせないものとなっています。

そこで今回は、情報セキュリティに関して、その概要やトラブルの事例、対策の具体例について解説します。

【関連記事】「未経験だけどIT業界に転職する方法! 職種や仕事内容もご紹介」

情報セキュリティ定義と目的

「情報セキュリティ」といわれても漠然としたイメージしかなく、その具体的な内容まで把握している人は少ないのではないでしょうか。まずは、情報セキュリティの定義と目的について解説します。

【求人特集】「システムエンジニアの転職」

情報セキュリティとは、一般的に情報の機密性・完全性・可用性を確保することとされています。権利を持った人のみが情報にアクセスできる状態（機密性）、情報が破壊・改ざん・消去されず完全である状態（完全性）、必要な時に情報を取り出したり使ったりできる状態（可用性）を維持することが、情報セキュリティ対策の基本となります。

ECサイトの普及やキャッシュレス決済など、インターネット上でクレジットカード番号などの個人情報を扱う機会は無数にあります。これらの情報は、インターネット上の事故や悪意ある攻撃によって漏洩・悪用される危険性が常にあることを忘れてはいけません。そのようなトラブルを防ぐためにも、インターネットを利用する一人ひとりがセキュリティ意識の向上を求められる時代になっています。

企業や組織は、営業や経営に関わる重要な情報、顧客や社員などの個人情報など多くの機密情報を抱えています。また、企業によっては社会的に大きな影響を与えるシステムやサービスを運営していることもあります。

このような企業や組織において情報漏洩やシステム不具合などが起こると、信頼が失墜するだけでなく法的責任を問われる場合もあり、企業の存続に大きな影響を及ぼします。そのため法人の場合は個人レベルよりもさらに厳しい対策が必要となります。

情報セキュリティに関わるトラブル

情報セキュリティに関わるトラブルとして主に挙げられるのは、コンピュータウイルスの感染、組織の機密情報や個人情報の流出、システム障害などです。それぞれについて見てみましょう。

コンピュータウイルスとは、他のコンピュータを攻撃したり情報を盗み出したりするために悪意を持った人間によって作り出された不正なプログラムのことを指します。

特に猛威を振るっているEmotetというウイルスは攻撃メールの添付ファイルを開くことで感染し、過去にやりとりしたメール情報を不正取得してその相手に攻撃メールが一斉送信されるというものです。不正に送られるメールの内容は実際にやりとりされたメールを元にしており、正規のやりとりに紛れ込むように返信されるためユーザーが警戒心を抱きづらくなっています。

このように、コンピュータウイルスは一度感染してしまうと次々と被害を拡大させてしまう怖さがあります。

企業や組織が保有する機密情報や個人情報が流出してしまうケースも大きな問題となります。

以前、大手エステ会社のWebサイトにて資料請求のために登録された個人情報が3万件以上も漏洩する事件がありました。その原因はWebサーバーの初歩的な設定ミスであり、氏名や住所、年齢だけでなく、エステに関心を持っている理由や体のサイズなど重要なプライバシー情報も含まれていたことから、大きな問題となりました。

このように、実際に起こる情報漏洩の原因の多くはサーバー設定のミスや脆弱性対策の不備などの人的ミスとなっています。

普段利用しているシステム側に障害が起こることでトラブルにつながるケースもあります。

ここ数年、低コストですぐに使えるといった理由からクラウド上のレンタルサーバーが人気を集めていますが、クラウド上の障害によりレンタルサーバーにアクセスできず、さらにサーバー内のデータが消えてしまうというトラブルが以前発生しました。

重要データをクラウド上にしか保管していなかったとある企業は、サービス規約にデータのバックアップや復旧は利用者の責任であると明記されていたことを把握しておらず、業務ができなくなる事態に陥ってしまいました。

外部サービスを利用する場合はシステム障害などによって利用できなくなることを想定して事前に対策を打つと同時に、利用者側にどこまで責任があるかをあらかじめ把握しておくことが重要となります。

『マイナビIT AGENT』なら、IT業界に精通した専任アドバイザーと豊富な求人で、あなたの転職を丁寧にサポートします。

情報セキュリティ対策を怠った場合の影響

次に、情報セキュリティ対策を怠った場合にどのような影響が考えられるのかを解説します。

企業ブランド・業績への影響

企業が情報セキュリティ事故を起こすと、営業活動の停止や関係者への謝罪、再発防止対策などの対応に追われるだけでなく、原因究明および対策費用、システムの復旧・改善費用など、さまざまなコストが発生します。

さらには間接的被害として損害賠償を請求されたり、企業ブランドに対する社会的信用の喪失や風評悪化、株価下落につながるなど、有形無形のさまざまな悪影響を及ぼします。

個人への影響

個人の場合には、クレジットカードや口座番号などの情報が漏洩することで不正に利用されるケースのほか、コンピュータウイルスの例のように被害者が加害者となって次々と被害を拡大させてしまうといった影響が考えられます。

企業が行うべき情報セキュリティ対策とは

では、重大なセキュリティ事故を起こさないために、企業はどのような情報セキュリティ対策をおこなうべきなのでしょうか。

機密性・完全性・可用性を担保するためにも、情報セキュリティに対する脅威を人的脅威、技術的脅威、物理的脅威に分けて考えることがポイントです。

人的脅威とは、メールの誤送信や関係者のデータの不注意な扱いなど、人の手によって起こる脅威のことです。

技術的脅威とは、コンピュータウイルスなどプログラムが介在する脅威、また物理的脅威とは地震・洪水、災害といった原因による破損の脅威を指します。

インターネット上には、悪意ある第三者によって作り出された危険なサイトやメールが無数にあります。これらはコンピュータウイルスを故意に感染させようとしたり、銀行口座やクレジットカードなどの情報を盗み出したりしようとするものである場合が多いため、そうしたトラブルに巻き込まれないようセキュリティ対策ソフトなどによって検知できるようにしましょう。

ネットワークがあるところには必ず不正利用者が存在すると考えて対策をおこないましょう。社内LANへのアクセス権限を設定し不正侵入を防止する他、従業員一人ひとりに対してネットワークに関する指導を徹底し、社内から不正利用者を出さないようにすることも重要です。

日本は地震大国といわれており、災害による物理的な破損の脅威と日々の経済活動とを切り離して考えることはできません。いつ起きるか予測が難しいため、最悪を想定してPCやサーバーが転倒・破損しないような対策をしたり、重要データのバックアップ管理などのルールを事前に決めたりしておくことがポイントです。

5.セキュリティ対策の具体例

次にセキュリティ対策の具体例について紹介します。

人的脅威を避けるためには、セキュリティ対策について社員一人ひとりの意識やリテラシーを向上させることが重要です。具体的には、情報セキュリティについて社内規定を策定しマニュアルやルールを整備することで明確化・周知させ、定期的に情報セキュリティに関する教育・研修をおこなうことが挙げられます。

技術的脅威はウイルスや不正アクセス、データ保護など分野が多岐にわたるため、対策を明確化することが重要です。セキュリティソフトの導入やファイアウォールの構築・設定、アクセス制御ツールによる権限管理などの対策が挙げられます。

またOSやセキュリティソフトを常に最新の状態に保つことでセキュリティをより強化できるため、アップデートのルールを決めセキュリティ管理者から指導することも効果的です。

物理的脅威としては前述の通り災害による破損がありますが、万が一そのような災害が起こってもPCやサーバーを守れるような対策をおこないましょう。転倒して破損しないような場所に設置し固定する、スプリンクラーや消化器を設置し定期点検をおこなう、予備電源を用意しておくなどが挙げられます。

その他、盗難を防ぐためにオフィスの入り口に認証システムを導入したり、監視カメラの設置、入退室記録を残したりするなど、万が一セキュリティ事故が起こった際に原因究明をしやすくしておくことも重要です。

まとめ

あらためて、情報セキュリティは年々その重要性が高まっています。ひとたびセキュリティ事故を起こしてしまうとその影響は大きく、企業の存続に悪影響を及ぼしかねません。

現代はさまざまなセキュリティリスクが存在しており対応手段もそれぞれ異なりますが、そうしたリスクに巻き込まれないためには、何よりも一人ひとりが正しいリテラシーを身につけることが重要となります。

本記事を参考に、あらためて情報セキュリティに対する意識をしっかりと高めてください。