情報セキュリティに関わるリスクとは？

テレワークを始めとした柔軟な働き方の導入が推進される中、すでに多くの企業において情報セキュリティ対策は最重要課題の1つとして認識されています。情報セキュリティ対策を怠ると、機密情報や個人情報の漏えい、社内システムの停止やホームページの改ざんなどの被害に遭う場合があります。今回は情報セキュリティに関わるリスクについて、事例を交えて解説します。

情報セキュリティとは

情報システムは、企業が経済的活動を行うにあたって不可欠なインフラであり、情報資産の損害は企業に大きな影響をもたらします。特に近年は、パソコンなどの情報通信技術を利用した柔軟な働き方であるテレワークを導入する企業が増えており、企業が情報セキュリティ対策を講じる必要性は高まっているといえます。情報セキュリティ対策において求められる要素は、以下の3つの頭文字を取って「C.I.A」と呼ばれています。

• 機密性の確保(Confidential)
  IDやパスワードによる個人認証など、アクセスを認められた人だけが、特定の情報にアクセスできる状態を確保すること

• 完全性の確保(Integrity)
  情報や情報の処理方法が正確であり、破壊、改ざん、または消去されていない状態を確保すること

• 可用性の確保(Availability)
  バックアップシステムの利用など、情報へのアクセスを認められた人が、必要時に、中断することなくアクセスできる状態を確保すること

情報セキュリティの要素、C.I.Aを実現するためには、情報セキュリティポリシーの設定やウイルスソフトによる対策など、適切な対応が求められることとなります。企業が講ずべき情報セキュリティ対策については、以下の関連記事を参照してください。

関連記事：テレワークの実現に求められる情報セキュリティ対策とは

 

情報セキュリティのリスクの要因

情報セキュリティにおける「リスク」とは、企業が守るべき情報資産に対して、危害や影響が与えられる状態を意味しています。リスクは「脅威」と「脆弱性」の2つの要素があり、外部又は内部における脅威がシステムの脆弱性を攻撃した際に、情報資産が損害を被る事態につながってしまいます。つまり、企業は「脅威」と「脆弱性」の両面から、情報セキュリティ対策を行うことが求められます。

脅威

脅威とは、組織の外部又は内部から、情報資産に損害や影響を与える可能性がある潜在的な要素を指しています。脅威はその主体によって、以下の2つに分類されます。

• 人為的脅威
  人間によって引き起こされる、悪意を持った攻撃（不正アクセス、ウイルス、盗聴、なりすまし、など）や人為的ミス（紛失、操作ミス、SNSによる流出など）、障害（システム障害、ネットワーク障害、など）があります。

• 環境的脅威
  地震、洪水、台風、落雷、火事など、様々な災害によって損害を与えられる恐れのある脅威のことです。

脆弱性

脆弱性とは、情報資産そのものや情報システムに内在する弱点を意味しています

• ソフトウェアやハードウェア等の欠陥
  システム内部に存在しているバグなどが含まれます。ソフトウェアの安全性は経年劣化することはありませんが、脅威としての新しい攻撃手段などが生まれることで脆弱性が露呈することがあります。システムの安全性を確保するには、常に最新の状態に保つことが求められます。

• 情報システムの運用が不適切な状態
  脅威に対する対策が不十分である場合や、組織におけるルールの不備、情報システムを扱う従業員のリテラシーの低さなど、情報システムの運用が適切でないことはセキュリティの脆弱性に直結する要素です。

 

情報セキュリティに関わるリスク

情報セキュリティにおいて、「脅威」および「脆弱性」の要素がある場合、情報資産への損害がもたらされやすい状態にあるといえます。過去にあった実際の事例とともに見ていきます。

情報漏洩

情報セキュリティの「機密性」が確保されなかった場合、内部情報の漏洩が発生する恐れがあります。特に情報がインターネットに公開されてしまった場合は、ネットワーク上から完全に消去することが非常に困難なため、企業は大きな打撃をうけることとなります。

• 事例① 不正アクセスによる個人情報の漏洩
  ある企業が不正アクセスを受け、クレジットカードの番号などを含む顧客データが漏洩したという事例が報告されています。この情報漏洩によって、企業は個人データの漏洩への対応や原因の調査、企業イメージの低下による売上の減少などの損害を受け、サイトのセキュリティを依頼していた企業に対して約1億円の損害賠償を請求する事態となりました。

コンピューターシステムの破壊や改ざん

情報セキュリティの「完全性」が確保されなかった場合、ウイルスや不正アクセスにより、社内の基幹システムが破壊・改ざんされてしまうリスクがあります。企業の信用が失墜することで顧客が離れ、最悪の場合、事業全体が立ち行かなくなってしまう事態になりかねません。

• 事例② 企業ウェブサイトの改ざん被害
  過去にガンブラーと呼ばれるウイルスが拡大し、日本の大手企業のウェブサイトが次々に改ざんされるといった被害が報告されています。このウイルスによって企業のサイトは不正なサイトへと誘導されるように改ざんされ、企業自身が提供する情報さえも信頼されないような事態に陥りました。

コンピューターシステムの停止

情報セキュリティの「可用性」が確保されなかった場合、コンピューターシステムが停止し、ユーザーが使用できなくなる恐れがあります。

• 事例③ 東京証券取引所の取引停止
  東京証券取引所では過去に数度、システムの欠陥により取引が停止する不具合が発生しています。これは、プログラムの欠陥や、その修正作業における人為的ミスなどが原因となった事例です。情報システムは年々高度化しており、システムの安定性を保つためには、扱う人のリテラシーの向上も求められる世の中に変化してきています。

 

まとめ

情報セキュリティにおける「C.I.A」の確保を怠ると、企業はイメージの低下や経営の悪化など、深刻な問題に直面することとなります。テレワークの導入によって柔軟な働き方を実現しようと考えている企業は、情報セキュリティ対策を徹底しましょう。