Risk Assessment

HOME
Risk Assessment
情報セキュリティ．どんなことを知って、どうすればいいの

/ 最終更新日時 : ATSUSHI YOSHIDA Risk Assessment

情報セキュリティ．どんなことを知って、どうすればいいの

Table of Contents（コンテンツ目次）

「サイバー攻撃を未然に防ぐ関連法成立
国は通信を監視・企業は報告する義務」

…組織を人の体にたとえるならば、情報はまさに血液や神経のようなものと言えるでしょう。隅々まで行き渡り、活動のエネルギーとなり、外部からの刺激を伝え、そして刺激はintelligence化された記憶として蓄積される。もし血液が滞ったり、神経が麻痺したりすれば、体全体の機能が損なわれるように、情報が漏洩したり、改ざんされたりすれば、組織の存続に関わる重大な事態を招きかねません。

さて、今朝の日経新聞にあった「サイバー攻撃未然に防ぐ、関連法成立　国が通信監視・企業に報告義務」というニュースは、まさに国が、社会全体の情報という血液の流れを監視し、異変があれば企業という各組織に報告することで、被害を未然に防ごうとする試みと言えるでしょう。

では、私たちは何をすべきなの

この変化の中で、国に住み、企業に勤める一人の個人として、私たちは何をすべきなのでしょうか。

まず、「自分の体は自分で守る、組織は個人の集合だよ」という意識を持つこと。企業がセキュリティ対策を強化し、国が監視の目を光らせてくれても、最終的に情報という血液が流れ、張り巡らされた神経があるのは、私たち一人ひとりであり、日々の業務における行動です。

具体的に必要な意識をすること。

情報リテラシーの向上: 情報リテラシーとは情報を適切に収集、理解し、活用する能力を指します。不審なメールやウェブサイトを見抜く力、SNSを使う不用意な情報発信を控えるなど、情報に対する正しい知識と判断力を養うことは、自己防衛の基本です。
セキュリティ意識の日常化: パスワードの適切な管理、ソフトウェアのアップデート、USBメモリの使用を避けるなど、日々の小さな心がけが、大きな脅威から身を守る盾となります。
会社の方針への理解と協力: 企業が定めるセキュリティポリシーをしっかりと理解し、それに従って行動することは、組織のセキュリティ安全性を高めることに繋がります。報告義務をもつ企業の一員として、不審な動きやインシデントに気づいたら、すぐに報告する責任があります。
変化への適応: サイバー攻撃の手法は日々巧妙化しています。国や企業が対策を講じる一方で、私たち自身も常に新しい情報に敏感なアンテナを張り対応していくことが必要です。

国による通信監視は、私たちのプライバシーに関わる点を、面を持っている

通信監視は、私たちのプライバシーに関わる側面でもあり、懸念を感じるかもしれません。しかし、その目的はサイバー攻撃という社会全体の脅威から私たちを守ることです。重要なのは、国や企業に全てを委ね、一人ひとりが情報セキュリティの重要な人財と理解して行動すること。

組織という体の中で、一人ひとりは細胞のような存在、それぞれの細胞が健康であること、そして異変があれば連携して対処することが、組織全体の強靭さに繋がります。情報セキュリティ対策も、国、企業、個人、それぞれのレベルでの意識向上と連携が不可欠です。

情報って、私たちの生活のエネルギー源

私たちの会社や組織は、まるで人の体みたいに動いています。（人の集まりですから当たり前）そして、その活動の源となるのが「情報」です。

例えば…

会社の売上データ は、私たちの体の「血液」みたい。これが流れなくなると、会社全体の動きが止まってしまいます。
お客様の連絡先リスト は、「神経」みたい。お客様と繋がるための大切なネットワークです。
商品やサービスの設計図 は、「脳」にある知識やアイデアそのもの。これが漏れてしまうと、会社の競争力がなくなってしまいます。

もし、悪いウイルスが体に入り込んだら、熱が出たり、お腹が痛くなったりします。

同じように、会社の情報システムに「サイバー攻撃ウイルス」が侵入すると…

大切なデータが盗まれたり（泥棒に入られるイメージ）
システムが壊れて仕事ができなくなったり（体が麻痺するイメージ）
お客様の情報が漏れて、信頼を失ってしまう（大切な信用を失うイメージ）

こんなことにならないように、情報をしっかりと守ることが大切です。

コラム、こう考えましょう。：情報は、現代社会における「お金」や「資源」と同じくらい価値があり、それを　守ることは、自分の財産を守るのと同じくらい重要なことだと思います。だから、少しでも「危ない！」と感じたら、まづ、すぐに周りの人に知らせることが大切です。

いかがでしょうか？

国が通信を監視するとは、

安全を守る警察官が、怪しい動きがないかパトロールしながら見回っていることに似ています。インターネットの世界でも、悪い人たち（サイバー攻撃者）が、大切な情報を盗んだり、システムを壊したりしようと、いつも目を光らせている、それが通信監視。

そこで、国という大きな組織が、インターネットを通る情報（通信）の流れを監視して、「何か怪しい動きはないかな？」との関係法でチェックするようになったのです。

もし、国が監視している中で、悪い人が会社のサーバーに侵入しようとしたり、怪しい情報がやり取りされたりするのを見つけたら、「大変だ！この会社は危ないぞ！」と企業に知らせてくれるようになることが今回の法律のポイントです。

企業に報告義務があるとは？

もし会社の中で「何か変なことが起きた！」と感じたら、会社はすぐに国に「こんなことがありました」と報告する義務がある、義務ができたということです。

例えば…

「うちの会社の多くのパソコンが、急に動かなくなった！」
「身に覚えのないメールがたくさん届くようになった！」
「大切なデータが、もしかしたら盗まれたかもしれない！」

こんな時、会社はすぐに国に報告しなければいけません。これは、被害が大きくならないうちに、国と会社が協力して対応するためです。

コラム、こう考えましょう。：私たちみんなが安心してインターネットを使うために、関係法は国からでています。　　　　　　　　　　　　　　　　「みんなで一緒に情報安全を守りましょう」というメッセージだと思います。もし、自分の住む街で火事が起きたら、すぐに消防署に連絡しますね？それと同じで、インターネットの世界で何かおかしいことが起きたら、国や会社に知らせることで、被害を最小限に抑えることができると感じます。

少しずつ、法律の内容が見えてきましたでしょうか？

日本の情報セキュリティー機構のIPAのウェブサイトをご覧ください。

個人として心掛けるべきこと：情報セキュリティの「自分ごと化」

国や企業がセキュリティ対策を強化する動きがあるとはいえ、最終的に自分の身を守るのは自分自身です。例えば、自動車を運転するときにあなたが安全運転を心がけるように、私たちは情報を使う上での「情報の安全運転」を意識することが大切です。

パスワードは「自分だけの秘密の言葉」に！
- 他の人に推測されにくい、長く複雑なパスワードを使う。
- 使い回しはやめて、サービスごとに違うパスワードの設定。
- 定期的にパスワードを変更する。例えば大切な記録帳に、簡単に誰でもが開けられる鍵をかけますか？きっと複雑な鍵でしっかり守りますよね！
怪しいメールやリンクは「触らぬ神に祟りなし」！
- 差出人が不明なメールや、不自然な日本語のメールは要注意。
- 安易に添付ファイルを開いたり、リンクをクリックしない。例えば、見知らぬ人が「美味しいお菓子があるから、うちに来ない？」といってきても、簡単にはついていきませんね。
ソフトウェアは「常に最新の状態」にアップデート！
- パソコンやスマートフォンのOS、アプリなどは、常に最新の状態に保つ、アップデートの役割は、セキュリティの弱点を修正す津ことです。例えば、どこかに穴が開いていると、そこから落ちてしまうかもしれません。最新の補修は、しっかりとあなたを守ってくれます。
SNSでの情報発信は「慎重に言葉を選ぶ」！
- 個人情報やプライベートな内容を安易に公開しない。
- 一度公開した情報は、完全に消すことは難しいと考える。例えば、口から出た言葉は、なかなか取り消せません。SNSでの発信も同じです！
公共Wi-Fiは「安全な場所で使う」！
- 公共Wi-Fi など、セキュリティ対策が不明な公共Wi-Fiの利用は、できるだけ避ける。もし利用する場合は、VPN（仮想専用線）などのセキュリティ対策を行う。例えば、広く開放されている公共の施設で、秘密の話をしますか。安全が確認できない場所での情報通信も同じ。

学ぶべきISO標準：国際的な「ルール約束」を知る

情報セキュリティに関する国際的な基準として、「ISO（国際標準化機構）」が定める規格があります。知っておくと良い規格：

ISO/IEC 27001（情報セキュリティマネジメントシステム – 要求事項、”しなければならないと要求されていること”、”したほうがいいと推奨されていること”があります。）
- - - - 組織が情報セキュリティをどのように管理・運用していくべきかのフレームワーク（枠組み）を示したもの。企業がこの規格に基づいてセキュリティ対策を行うことで、国際的な信頼を得ることができる。
      - コラム、こう考えましょう。：これは、会社が情報資産（情報は大切な財産）を、どのように守り、管理していくかの「設計図」のようなものです。この設計図に沿ってきルール、決めごとを作り，きちんと管理することで、「この会社はセキュリティ対策がしっかりしているな」とどこの国の人からも信頼されるようになります。
ISO/IEC 27002（情報セキュリティ管理 – 実践のための規範）
- ISO/IEC 27001を具体的にどのように実施するかについて、具体的な方法や推奨事項を示したものです。
  - - - コラム、こう考えましょう。：こちらは、ISO/IEC 27001という設計図から、実際にどのように箱を組み立てていくのか、建てていくかの「工事の手順書」のようなものです。具体的な方法が書かれているので、企業がセキュリティ対策を進める上で非常に役立ちます。

情報処理推進機構（IPA）日本の情報処理から学ぶこと：

独立行政法人情報処理推進機構（IPA）は、日本における情報セキュリティ対策の普及・啓発を行っている重要な機関です。IPAのウェブサイトでは、一般の利用者から企業の情報セキュリティ担当者まで、幅広い層に向けた役立つ情報が提供されています。

情報セキュリティに関する注意喚起： 最新のサイバー攻撃の手口や、注意すべき事例などが通常発信されています。
セキュリティ対策のノウハウ： パスワードの作り方、ウイルス対策ソフトの選び方、安全なインターネット利用の方法など、具体的な対策方法が分かりやすく解説されています。
情報セキュリティに関する資格： 情報処理安全確保支援士（登録セキスぺ：セキュリティスペシャリスト）をはじめとする、情報セキュリティに関する国家資格の情報が提供されています。
中小企業向けの支援： セキュリティ対策に手が回らない中小企業向けに、無料相談窓口や支援ツールなどが提供されています。

コラム、こう考えましょう。： IPAは、まるで私たち国民の情報セキュリティに関する「頼れる先生」のような存在です。最新の脅威や対策方法を分かりやすく教えてくれるので、定期的にIPAのウェブサイトをチェックして、自分の知識をアップデートすることが大切だと思います。

国の通信監視と企業への報告義務が、私たち個人の情報セキュリティ意識に与える可能性のある影響について：

今回の国の通信監視と企業への報告義務という動きは、私たちの情報セキュリティに対する意識に、様々な影響を与える可能性があります。

セキュリティ意識の向上への期待：

「国も動いているなら、自分も気をつけないと」という意識の高まり： 国がサイバーセキュリティ対策を強化するというニュースは、一般の人々にとっても「サイバー攻撃は他人事ではない」という認識の促しを感じます。COVID19のような感染症対策を呼びかけることが、個人の衛生意識が高めたことに似ています。
企業からの情報発信の増加： 企業が国への報告義務を負うことで、自社のセキュリティ対策の重要性を再認識し、従業員や顧客に対してより積極的に情報セキュリティに関する情報発信を行うようになる。「会社を守るためには、社員一人ひとりの協力が不可欠だ」というメッセージが強まり、個人のセキュリティ意識向上に繋がる可能性があります。

一方で、「監視されている」という意識とプライバシーへの懸念：

行動の萎縮や表現の抑制： 通信監視という側面は、「常に監視されているのではないか」という心理的なストレスを生み出す可能性があり、結果、インターネット上での自由な情報発信や意見交換が控えられたり、プライバシーに関わる情報をオンラインで共有することに抵抗を感じたりする人が出てくるかも。
政府や企業に対する不信感： 監視の範囲や目的が不明確な場合、政府や企業に対する不信感が高まる可能性があります。「なぜ監視される必要があるのか」「収集された情報はどのように使われるのか」といった疑問や不安の声が上がり、情報セキュリティ対策への協力が得られにくくなる可能性も考えられます。

「他人任せ」の意識の助長：

「国や会社が守ってくれるだろう」という依存心の発生： 国が通信を監視し、企業が報告義務を負うことで、「自分自身でセキュリティ対策をしなくても、国や会社が何とかしてくれるだろう」という依存心が生まれる可能性があります。これは、個人のセキュリティ意識の低下を招き、結果的にサイバー攻撃に対する脆弱性を高めてしまう危険性があります。
「報告すれば済む」というバイアス： 企業によっては、インシデントが発生した場合に「国に報告すれば責任は果たせる」と考えてしまう可能性も否定できません。これにより、基本と根本的なセキュリティ対策がなされない、怠ることになってしまう虞に繋がりかねません。

コラム、こう考えましょう。：国の通信監視と企業の報告義務は、社会全体のセキュリティレベルを向上させるための重要な一歩であると考え、その効果を最大限に引き出すためには、私たち一人ひとりが「他人事」ではなく「自分事」として情報セキュリティに向き合う姿勢が不可欠だと考えみんなで取り組んでいく。

政府や企業は、監視の透明性を高め、プライバシーへの配慮をしっかりと示す、同時に、私たちは、提供される情報を鵜呑みにするのではなく、常に “そうかな”と論理的に評価し思考し客観的に考え、自ら学び、行動することが大切です。

情報セキュリティは、まるで交通安全と同じ。

国が交通ルールを定め、警察が取り締まりを行っても、私たち一人ひとりが安全運転を心がけなければ、事故は減りません。同様に、情報セキュリティも、国や企業の取り組みと、私たち個人の意識と行動の両方が揃ってこそ、真に安全なデジタル社会が実現できると私は思います。

さらに役立つ情報源と学習方法：情報セキュリティの「学びの道」を探検しよう！

情報セキュリティの世界は、常に新しい情報が出てくるので、学び続けることが大切です。まるで、新しいゲームの攻略法を常にチェックするように、情報セキュリティの最新情報を追いかけると、より安全にデジタルライフを楽しむことが出来ます。

ウェブサイトやニュースサイトを活用する：

IPA（情報処理推進機構）のウェブサイト: 先ほどもご紹介しましたが、最新のセキュリティの脅威や対策方法が、分かりやすく解説されています。定期的なチェック習慣を。
情報セキュリティ関連のニュースサイト: ITmedia Security、ZDNet Japan Securityなど、専門のニュースサイトで最新の情報をチェックする。

コラム、こう考えましょう。：ウェブサイトやニュースサイトは、まるで情報セキュリティの「コンパス、羅　針盤、北極星」のようなもの。常に最新の情報をキャッチし、自分の知識をアップデートし、安全なデジタル航海の日々送るための鍵だと思います。

学習コンテンツを活用する：

オンライン学習プラットフォーム:オンライン学習プラットフォームには、情報セキュリティに関する様々なコースがあり、基礎から応用まで、自分のレベルに合わせて学ぶことができます。
YouTubeチャンネル: 情報セキュリティに関する解説動画を配信しているチャンネルもたくさんあります。専門家の分かりやすい解説で、動画で手軽に学習できます。
書籍: 情報セキュリティに関する入門書から専門書まで、さまざまレベルの書籍が出版されています。体系的に知識を深めたい場合に役立ちます。図書館でアナログ的に探すことも良いでしょう。
eラーニング: 企業や団体が提供するeラーニング教材も役立ちます。特に、職場内で情報セキュリティ研修がある場合は、積極的に参加しましょう。

コラム、こう考えましょう。：これらの学習コンテンツは、情報セキュリティの「ラーニングマップ」の　　　　　　ようなものですから、自分レベルに合わせて、最適な学習方法を見つけて、一歩ずつ知識を深めていくことが大切です。

イベントやセミナーに参加する：

情報セキュリティに関するセミナーやウェビナー: 企業や団体が主催するセミナーやウェビナーでは、最新の脅威や対策について、専門家の話を聞くことができます。質疑応答の時間に直接質問できるのもメリット。

コラム、こう考えましょう。：イベントやセミナーは、情報セキュリティの「交流の場」のようなもの、参加者と意見交換をしたり、熟練者から直接話を聞いたりすることで、新たな視点や知識を得ることができます。

日常生活の中で意識する：

家族や友人と情報セキュリティについて話す： 身近な人と情報セキュリティについて話すことで、自分自身の理解が深まったり、新たな気づきがあったりする。
ニュースや新聞の記事に関心を持つ： サイバー攻撃に関するニュースや記事を意識して読むようにすると、社会全体でどのような脅威が起きているのかを知ることができる。
常に「なぜ？」と考える習慣を持つ： なぜこのメールは怪しいのか？なぜこのパスワードは安全なのか？常に理由を考えながら情報に接することで、セキュリティへの理解が深まります。

コラム、こう考えましょう。：情報セキュリティの学びは、特別なことではありません。日常生活の中で少し意識を変えるだけでも、セキュリティとセキュリティ安全の意識は大きく向上し、まるで、毎日歯を磨くように、情報セキュリティ対策も日々の習慣にすることが大切だと思います。

これらの情報源や学習方法を参考に、ぜひ情報セキュリティの知識を深めてみてください。

コラム考察：私たち個人と組織が目指すべき情報セキュリティのあり方について

これまでの議論を通じて、情報セキュリティは単なる技術的な対策ではなく、私たち一人ひとりの意識、行動、そして社会全体の協力によって築き上げられるものだということがクリアになりました。

個人の意識改革：主体的な「守り」の実践

私たちは、情報という大切な財産を守るために、受け身ではなく主体的な姿勢を持つ必要があり、国や企業が対策を講じることを期待するだけでなく、自ら学び、考え、行動する、まるで、自分の健康は医者任せにするのではなく、日々の生活習慣から改善していくように、情報セキュリティも日々の心がけが重要です。

「自分は大丈夫」という油断を捨てる: サイバー攻撃は、誰にでも起こりうる可能性があります。常に危機意識を持ち、対策を怠らないことが大切です。
情報リテラシーの継続的な向上: 新しい脅威や対策手法は常に進化しています。最新の情報を学び続け、自分の知識とスキルをアップデートしていく必要があります。
小さなことでも実践する: 強固なパスワードの設定、不審なメールへの警戒、ソフトウェアのアップデートなど、日々の小さな行動が大きなセキュリティ（データの保護や機密保持、システムへの不正アクセス防止）に繋がります。

組織の文化醸成：全員参加の「守り」体制

組織は、情報セキュリティを一部の担当部門、担当者だけの責任にするのではなく、全従業員が共通認識を持ち、協力して取り組む文化を醸成すること。

経営層のコミットメント: 情報セキュリティ対策は、経営戦略の重要な一部として位置づけ、経営層が率先して取り組む姿勢を示す必要があります。
継続的な教育と訓練: 全従業員に対して、定期的な情報セキュリティ教育と訓練を実施し、意識向上とスキルアップを図る必要があります。
風通しの良い報告体制: 不審な事態やインシデントが発生した場合に、従業員が躊躇なく報告できるような、オープンで協力的な組織文化を築く必要があります。

社会全体の連携：共創（ステークホルダー（利害関係者）と連携し、共に新たな価値を創造する）による「守り」の実現

サイバー攻撃は国境を越えてくる、一国や一企業だけの対策では限界があります。政府、企業、研究機関、そして個人も連携するジョイント情報共有や対策を進めていく必要があります。

官民連携の強化: 政府と民間企業が緊密に連携し、脅威情報の共有や対策に関するセキュリティを強化する必要。
国際的な協力: サイバー攻撃は国際的な問題であるため、各国政府や機関が連携し、情報交換やジョイント対策を進めることが重要。
公共への啓発活動: 情報セキュリティに関する公共への啓発活動を継続的に行い、人々全体のセキュリティ意識を高める必要。

コラム、こう考えましょう。情報セキュリティのあり方：

情報セキュリティとは、まるで「みんなで力を合わせて作る強い家」のようなものだと思います。一人ひとりが基礎となる知識と意識を持ち、組織が柱や壁となって強固に支え合い、社会全体が屋根となって脅威から守り合う。

技術は常に進化しますが、その根底にあるのは、私たち一人ひとりの「大切なものを守りたい」という気持ちです。その気持ちを原動力に、知識を深め、行動を習慣化し、互いに協力することで、私たちはより安全で安心なデジタル社会を築くことができると信じています。

情報セキュリティは決して難しいものではなく、日々の生活の中で少し意識を変えるだけで、誰にでもできることです。まるで、毎日行う手洗いやうがいのように、情報セキュリティ対策も私たちの日常に自然に溶け込むようにしていくことが、これからの時代に求められるあり方だと考えます。

では、最後です。

「多要素認証」とはどのようなものなのでしょうか。

ここでは、多要素認証の概要をご説明しながら、二要素認証・二段階認証との違いについてもご紹介します。

キャッシュレス決済サービスの不正利用が起こった際、「二段階認証」がトレンドワードとなったことがありました。多要素認証と二要素認証、二段階認証は名称こそ似ていますが、意味は異なります。

多要素認証（MFA：Multi-Factor Authentication）は、PC・サーバーへのアクセス時やクラウドサービスへのログイン時に、2つ以上の”要素”によって行う（自分の証明）認証を指します。

認証の3要素

認証を簡単にいうと「本人であることを確認すること」本人の確認のために、ID（運転免許、マイナカード、パスポート）と「パスワード」「生体情報（顔や指紋など）」が使われていることが多いですね。例えば、自宅の「鍵」はあなたと身内しか持ち得ないもの、その鍵であなたがあなた自身と確認され、家に入ることができ。これは２段階認証です

要素は、大きく分けて下記の3つです。

1.知識要素
その人が知っている情報です。知識要素を用いた認証方式には、ID／パスワード、PINコード、秘密の質問など。

2.所有要素
その人が持っているものに付随する情報です。例えば携帯電話やスマートフォンを使ったSMS認証やアプリ認証、ICカード、トークン（ワンタイムパスワードを生成する端末）など。

3.生体要素
その人の身体的な情報です顔や指紋、虹彩（目の膜）、声紋、静脈などが生体要素に含まれます。

知識要素、所有要素、生体要素のうち、いずれか2つ以上の要素を使った認証が「多要素認証」です。

二段階認証は、認証の段階を2回経て認証しますが、ID・パスワード（知識要素）でログインを行ったあと「秘密の質問」（これも知識要素）の答えを入力する認証方式は認証の段階を2つ以上を踏むため二段階認証”です。　　　　　　　　　　　　　　　　　　　　　　　　しかし、「パスワード」と「秘密の質問」はいずれも知識要素のため、３つの要素の一要素しか使っていない認証です。多要素認証と、xx段階認証と勘違いしないでくださいね、求められているには、多要素認証です。