情報セキュリティ

情報の管理は、「生成」「利用」「保存」「破棄」というライフサイクルで考える必要があります。すなわち、生成時には必要で正確な情報だけを作成し、利用時には必要な人だけがアクセスでき許可範囲内で使用し、保存時には改変や改ざん、消失や不正な持ち出しが起こらない形で保管し、廃棄時には盗まれたり拾われたりしないように確実に消去しなくてはなりません。

この「情報ライフサイクル」を通じて情報を管理する上で重要なのが、「機密性」「完全性」「可用性」という考え方です。機密性とは正当な権利を持つ人だけが利用できる状態にしておくこと、完全性とは正当な権利を持たない人が変更できないようにすること。そして可用性とは必要なときに必ず利用できるようにしておくことです。

この情報の「機密性」「完全性」「可用性」を損なう原因は一般に、「脅威」と呼ばれます。例えば、自然災害、機器の故障や誤動作、人の過失（プログラムのミスや操作ミスなど）、外部・内部の人による攻撃（ウイルス、不正アクセス、物理的な破壊や盗みなど）などはいずれも脅威です。そして脅威が事件や事故などにつながった状態は「インシデント」と呼ばれます。インシデントには、サービス運用停止や業務停止、情報の消失や破壊、情報の改ざんや盗聴・漏洩、なりすましや踏み台・不正使用などがあります。

インシデントを起こさないためには、脅威に対する対策を取る必要がありますが、完璧な対策を取ることはできません。この対策の不完全さが「脆弱性」です。脆弱性はまた、「セキュリティホール」などとも呼ばれます。

そしてこの脆弱性のために、情報資産が損なわれる可能性こそが「セキュリティリスク」なのです。近年、セキュリティリスクが注目されるようになった背景には、情報システムの不具合が社会インフラの危機に直結するようになったことがあります。実際、鉄道会社の通信ネットワークにインシデントが発生して全線で1時間半に渡り運転見合わせになったことで、10万人以上の通勤客に影響が及びました。このように、情報セキュリティの重要性は衆目の一致するところです。

セキュリティリスクから企業や組織を守るには、「情報セキュリティ対策」が必要になります。

情報セキュリティ対策は通常、情報セキュリティ基本方針、情報セキュリティ規程および基準、そして各種実施対策の順で策定されます。基本方針と規定は、併せてセキュリティポリシーと呼ばれます。これらを決めるのが、情報システム部門や総務部門、法務部門などの代表者で構成される情報セキュリティ委員会です。情報セキュリティ委員会が、基本方針に基づいて、守るべき情報資産を把握・分類し、それぞれに応じた対策を立て、その実施・運用手順を決めるのです。

そこでまず重要になるのが、リスク分析です。つまり、自社にインパクトのあるリスクを洗い出し、対策費用が被害額を越えない範囲で情報セキュリティ対策を立てなくてはなりません。

リスク分析でリスクを洗い出したら、「リスク回避」「リスク低減」「リスク移転」「リスク保有」というアプローチと、「管理的対策」「物理的対策」「技術的対策」という手段で対策を考えましょう。

まずセキュリティリスクの大きさや種類に応じて、「脅威が発生する要因自体を取り除く＝リスク回避」「脆弱性への対策を講じて脅威発生の可能性を下げる＝リスク低減」「インシデント発生時の損害・損失を保険や外部委託契約などで手当する＝リスク移転」「許容できる範囲内でリスクを受容する＝リスク保有」というアプローチを選びます。

その上で、それを実現する手段として「人や組織などへの対策＝管理的対策」「建物や設備などへの対策＝物理的対策」「情報システムのハードウェアやソフトウェアなどへの対策＝技術的対策」のいずれか、あるいは組み合わせで、不正を働く気持ちを抑制し、脅威がインシデントにつながるのを防止し、インシデント発生時にすばやく検出し、インシデントからの復旧と回復を図るのです。

次に、具体的なセキュリティ対策を管理的対策、物理的対策、技術的対策それぞれについて見ていきましょう。

代表的な管理的対策は、社員教育や訓練、マニュアルやルールの整備などです。前述の情報セキュリティ基本方針・規程の策定も管理的対策に分類されます。一方、物理的対策は警備員の配備や警備システムの導入、防犯カメラや認証システムの設置、鍵やワイヤーロックなどによる備品管理などです。

近年、特に重視されているのが技術的対策です。多くの企業が技術的対策として、情報の機密性を確保するために暗号技術や認証技術、アクセス管理・制御を導入したり、情報の完全性を保つために電子署名や改ざん検出・防止技術を使ったり、情報の可用性を確保するために認証や負荷分散・二重化の仕組みを取り入れたりしています。

セキュリティ対策が難しいのは、同じ情報漏えいを防ぐ手段にも様々なアプローチが存在することです。ウイルス対策ソフトを導入してウイルス感染を防ぐのも情報漏えい対策であり、ファイアウォールやDMZ（DeMilitarized Zone：非武装地帯）などを設置して不正アクセスを防ぐのも対策です。ログ監視ツールを導入して不正アクセスや従業者の不審な動きを監視するのも、アクセス制御ツールを導入して権限管理を徹底するのも、PCのディスク暗号化や暗号化機能付きUSBを利用して端末紛失時に備えるのも対策でしょう。

システム管理者は、システムやインフラの状態、対策導入の目的や組織の形態などに応じて、最も適切な対策を選択し、実施しなくてはなりません。また管理者側だけでなく、ユーザーに対してもセキュリティ対策の実施を求める必要があります。例えば、「利用してはいけないソフトウェアをブラックリスト化してインストールしないようにする」「OSやソフトウェアは基本的に最新版を利用する」「外部記憶媒体へのダウンロードを禁止する」などのルールを決めて、徹底する必要があります。

しかも導入して終わりではありません。ウイルス対策ソフトやセキュリティパッチの更新、ハードウェア・ソフトウェアの設定、ネットワークや機器の監視など、システムやネットワークの運用・監視が常に求められます。そして、セキュリティインシデントの発生時には、「関係者への連絡・ヒアリング」「障害の切り分け（障害箇所の特定）」「システムの復旧と関係者への連絡」「障害原因の究明」「再発防止策の立案」が求められるのです。

最近ネットワークのセキュリティを考える上で、「ゼロトラストネットワーク」という概念が注目を集めています。従来ネットワークでは、外部と社内ネットワークとの境界にファイヤウォールやDMZなどを設置して、外部からのアクセスを遮断あるいは選別することで、セキュリティを確保していました。これはある意味、「社内は安全なのでセキュリティ対策を緩くし、社外は危険だから外部アクセスにはセキュリティ対策を厳しくする」という考え方です。

一方、ゼロトラストネットワークでは、社内ネットワーク内に攻撃者が侵入していることを前提として、ネットワークを設計します。重要なデータにアクセスするすべてのトラフィックを検査し、ログを取得するのです。

ゼロトラストネットワークを実現する上では、PCやサーバーといったエンドポイントにある情報端末のセキュリティ対策が重要です。そのソリューションとして導入が進みつつあるのがEDR（Endpoint Detection and Response）です。EDRでは、監視対象である情報端末にエージェントソフトウェアをインストールし、ログを常時取得しています。このログはサーバーに集められて分析されるのです。もし、エージェントソフトウェアがマルウェアやランサムウェアなどによる不審な動きを検出すれば、すぐに管理者に通知します。

EDRの導入が進む背景には、サイバー攻撃の高度化・巧妙化があります。マルウェアやランサムウェアの侵入・感染を防ぐだけでは不十分で、万が一、侵入、感染してしまった場合にもすばやく対応することで被害の拡大を防ぐのです。

現在多くの企業では、テレワークやリモートワークが当たり前になり、社外からの情報アクセスや社外への情報端末持ち出しが常態化し、基幹システムをクラウド上に構築する企業も増えています。こうした状況では、従来のセキュリティ対策だけでは不十分です。今後は、EDRなどの導入によるゼロトラストネットワークの構築を進める企業がますます増えていくでしょう。

また、セキュリティ対策では、認証技術の重要性も高まっています。

そもそも認証技術とは、人や物、情報を確認する手段です。システム、ネットワーク、情報端末における認証では、「①ユーザーが知っていること＝知識要素」「②ユーザーが持っているもの＝所持要素」「③ユーザー自身の特徴＝生体要素」のいずれか、あるいは組み合わせが使われます。それぞれ、①の代表例にはID・パスワード認証、②の代表例にはICカード認証、③の代表例には指紋認証があります。また最近ではSMS認証の利用も増えています。SMS認証では、携帯電話やスマートフォンに送信されたショートメッセージ（SMS）に記載された確認コードを入力してログインします。所持要素（携帯電話やスマートフォン）による認証技術と捉えることができるでしょう。

セキュリティレベルの高い認証技術に対するニーズと注目が高まっている背景には、様々なITサービスにおけるログイン、イベントでの本人確認、空港における搭乗手続きなどで認証が当たり前のように使われていることがあります。例えば、ID・パスワード認証だけであれば、第三者に解読されたり、窃取されたりする危険性があります。実際、最近もキャッシュレスサービスにおいて低いセキュリティレベルの本人認証システムを悪用した不正引き出し事件も起こりました。

ただし、認証では高いセキュリティレベルだけでなく、ユーザーの利便性も考慮する必要があります。パスワードの複雑性や高頻度での変更をユーザーに要求すれば、パスワードの忘却によってサービスを利用できないなど、ユーザーの利便性が損なわれてしまうからです。そこで、ユーザーの利便性を損なわずにセキュリティを強化する手段として、近年注目されているのが多段階認証や多要素認証といった認証技術です。

多段階認証の1つである二段階認証では、例えば最初にIDとパスワードで認証した後に事前に設定した秘密の質問に答えるなど、2ステップで本人確認を行います。一方、二要素認証では、最初にIDとパスワードで認証した後、スマートフォンに送られてきたショートメッセージに記載された確認コードを入力（SMS認証）してログインするなど、知識要素、所持要素、生体要素のいずれか2つの認証技術を使って本人確認します。インターネット銀行などにおける振込手続きなどで使われている、ID・パスワードとトークンに表示されるワンタイムパスワードを組み合わせた認証もまた、二要素認証といえるでしょう。

一般に、多段階認証よりも多要素認証の方がセキュリティレベルは高く、また段階や要素の数が増えるほどセキュリティレベルは上がります。ただし、ここでもやはり、セキュリティレベルとユーザーの利便性の両方を考慮しなくてはなりません。

こうしたセキュリティレベルとユーザーの利便性の両方に配慮した認証技術として、最近、「ライフスタイル認証」に注目が集まっています。ライフスタイル認証では、「PCやスマートフォンなどの利用履歴＝ライフログ」を使って、個人を確認します。例えば、スマートフォンの位置情報を分析して通常の行動範囲から外れた場所にいないか、Web上での購買情報を分析して普段と異なる購入履歴がないかなどを調べ、それに基づいて個人を確認します。普段通りに行動していれば、サービス提供側が自動的に認証するので、ユーザーの利便性が極めて高い認証技術といえるでしょう。

セキュリティレベルが高く、ユーザーの利便性も高い認証技術の重要性は、以前から多くの人が指摘してきました。ただ、その実現は難しく、現状、そうした認証サービスが提供されているとはいえません。しかし今後は、ライフスタイル認証をはじめとする新しい認証技術の進展によって、高いセキュリティレベルとユーザーの利便性の両立を実現できるようになるかもしれません。