情報セキュリティには様々なリスクが存在します。そのリスクが顕在化した時に、情報漏えいなどの実害が発生することになります。そこで、どのようなリスクが考えられるのかを知り、それに対応できる体制を整えることが非常に重要になります。
1.情報セキュリティにとっての脅威
情報セキュリティに対する代表的なリスクとしては以下の3つがあります。
・システムが想定した通りに機能しない可能性
・悪意のある外部の人間または偶発的な要素による妨害、加害行為
・内部の人間の故意、ミス、不作為によるインシデント
2.リスクを顕在化させる脆弱性
情報セキュリティのリスクが顕在化する際には、技術的、人的をはじめとする脆弱性が存在します。例えば、OSやセキュリティ対策ソフトの更新プログラムを適用していなかったことで、外部から不正アクセスを受けるというのはその典型例です。
システム内部にある隠れた欠陥やバグその他の不具合
1つのサービスに小さな欠陥が存在し、それが理由でWebサービス全体が止まってしまうという事例も報告されています。
情報資産に関わるシステムが複雑化しているために、どこに不具合が存在するのか発見するのが遅れ、被害が拡大する恐れもあります。
内部と外部のネットワーク境界の設定不備
今では企業活動においてインターネットを利用しないことは考えられないと言っても過言ではないでしょう。つまり、組織内のコンピュータはインターネットに接続され、Webサイトの閲覧や電子メールのやり取りを行っていることになります。
一方で、社内では顧客情報や業務上の機密情報、社員の個人情報など情報資産が共有されています。これらの情報資産は決して外部に漏れてはいけないものです。
したがって、インターネットに接続するという外部とのネットワークと、情報資産を共有するという内部とのネットワークを物理的に分離させて管理する必要があります。
もし、この設定に不備があれば内部の情報が容易に外部に漏れてしまうことになってしまいます。
情報セキュリティポリシーの不備、内部の人間のリテラシーやモラルの欠如
情報資産をどう扱うか、どのように保護するか、万が一のときにはどう対応するかを明文化したものが情報セキュリティポリシーです。これが整っていないと、情報資産をきちんと護ることができません。
また、ポリシーを周知徹底することで、組織内の人間の情報に対するリテラシーやモラルを向上させ、故意や過失、ミスによる情報漏えいを防ぐことも重要な対策です。
以上のように、情報セキュリティにどのようなリスクが存在するかを知り、それについてしっかりと対策を取ることは今のネットワーク社会において必須だと言えるでしょう。