情報セキュリティ
情報セキュリティとは、企業の情報システムを取り巻く様々な脅威から、情報資産を3大要素(機密性・完全性・可用性)の確保を行いつつ、正常に維持することを言います。簡単に言えば、会社の大事な情報(個人情報など)を悪い人から守ることです。
情報資産
情報資産とは、企業の業務遂行の過程で生み出される価値のある物のことを言います。「企業の大事な情報」くらいのイメージで大丈夫です。具体的な情報資産の例を以下に記載します。
<情報資産の例>
目に見えるもの
・商品
・現金
・不動産
目に見えないもの
・顧客情報
・社員情報
・技術情報
・財務情報
・人の記憶、知識
3大要素
情報セキュリティの3大要素と言えば、「機密性、完全性、可用性」です。これらの3つを確保しなければ、情報資産を守れているとは言い難いです。
機密性の確保
機密性の確保とは、情報資産を正当な権利を持った人だけが使用できる状態にしておくことです。会社の情報資産を誰でも使用できる状態にしておくと、情報漏えいのリスクが高まります。そこで、アクセス権の設定を行うことで、一部の人しか情報資産を使用できない状態にします。
完全性の確保
完全性の確保とは、情報資産が正当な権利を持たない人により変更されていないことを確実にしておくことです。情報資産が勝手に書き換えられたり、外部から攻撃されたりすることがあります。対策として、データを暗号化して保管したりします。また、アクセス履歴などを記録しておくことで、どこのタイミングで異常が起きたかを検知することができます。
可用性の確保
可用性の確保とは、情報資産の機密性と完全性を保ちつつ、必要な時に使用できることです。セキュリティを厳重にしたが、データを使えるのが申請してから何時間も後になるという状況では意味がありません。
さらに、システムに異常が起きて、復旧するまでシステムが使えない状態になると困ります。そこで、同じシステムを2つ用意しておいて、片方が使えなくなってももう片方を使うことで、システム自体が使えない状態を避けることができます。これを、システムの二重化と言います。
また、三重化や四重化の様に3つ以上用意することを、冗長化と言います。
まとめ
エンジニアに限らず、情報セキュリティは十分気をつけなければなりません。
顧客情報の漏えい等の問題を起こしてしまうと、損害賠償だけでなく、社会的信用も無くなってしまいます。
社員一人一人の意識で対策できる部分も多いので、日頃から注意して業務を行いましょう。