情報セキュリティ対策を取るにあたって、“機密性”を意識することはとても重要です。
したがって今回は、情報セキュリティの機密性について今一度把握してもらうために、さまざまな角度から解説したいと思います。
これまで機密性について詳しく学習する機会がなかったという方は、ぜひ参考にしてください。
情報セキュリティの“機密性”って何?
情報セキュリティの機密性とは、アクセスが許可されている人物だけを、サイトやファイルなどにアクセスできるようにし、情報の使用や開示を認めることを言います。
言い換えれば、アクセスが許可されていない人物に対して、情報の使用や開示を認めないことです。
例えばAさんの預金残高は、Aさんのみ確認することが許可されており、Bさんには確認が許可されていません。
情報セキュリティの機密性を意識しないとどのような被害に遭うのか?
情報セキュリティの機密性を意識していないと、不正アクセスなどによって個人情報、機密情報の漏えい・窃取の被害に遭う可能性があります。
またクレジットカードの情報などが窃取されてしまうと、個人情報の漏えいだけでなく、情報の悪用によって二次被害を受ける可能性もあります。
つまり情報セキュリティの機密性を意識しない場合、常に個人情報、機密情報漏えいのリスクと隣り合わせで生活しなければいけないということです。
情報セキュリティの機密性を高める方法について
情報セキュリティの機密性を高めるには、まず攻撃者がどのような方法で、どのような段階を踏んで情報の窃取を試みるのかを考えましょう。
例えばA社がB社の機密情報を窃取しようとするときには、以下のような段階を踏むことが予想されます。
1. B社の情報収集、攻撃ツールの準備
2. B社のシステムへの侵入
3. B社の機密情報の捜索、発見
4. 機密情報の持ち出し
このように、攻撃者であるA社がB社の機密情報を窃取するまでには、いくつかの段階を踏まなければいけません。
ただ、攻撃者であるA社が機密情報の窃取に成功するのは、あくまで上記1~4がすべて滞りなく行われたときのみです。
したがって、たとえシステムへの侵入を許し、機密情報を発見されたとしても、最終的に機密情報を持ち出されなければいいのです。
そのためには、侵入させないための対策(入口対策)、機密情報を発見させないための対策(内部対策)、機密情報を持ち出させないための対策(出口対策)を取る必要があります。
つまり情報セキュリティの機密性を高めるには、窃取のプロセスにおけるいずれかのタイミングで、攻撃者の動きを止めることが重要だということです。
まとめ
情報セキュリティの機密性について解説しましたが、いかがだったでしょうか?
機密性を高めるには、まず攻撃者の行動を予測して、その動きをどこかでストップさせることが重要です。
入口対策、内部対策、出口対策をバランスよく行い、“多重防御”で情報の漏えいや窃取を食い止めるのが、正しい機密性の高め方と言えるでしょう。
企業は個人情報の第三者認証制度の’’JAPHIC(ジャフィック)マーク’’などを取得し、社内外にその取り組みを周知するようにしていきましょう。
