情報セキュリティの始め方・大切さ #1

情報セキュリティの始め方・大切さ #1

情報セキュリティの始め方・大切さをコンピュータウィルスの恐怖から情報セキュリティの基本方針を踏まえてご紹介します。

コンピュータウイルスとは?

独立行政法人情報処理推進機構(IPA)は、コンピュータウイルスについて、プログラムに寄生する極めて小さなプログラムであり、それ自体が勝手に他のプログラムファイルにコピーすることにより増殖し、あらかじめ用意されていた内容からは予期されない動作を起こすことを目的とした特異なプログラム、というように定義しています。

また、経済産業省「コンピュータウイルス対策基準」では、コンピュータウイルスを「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を1つ以上有するもの」として、自己伝染機能、潜伏機能、発病機能の3つを挙げています。

さらに、IPAは、コンピュータウイルスに感染すると、音楽の演奏、異常なメッセージの表示、画面表示の崩れなどの現象が現れると説明しています。コンピュータウイルスは、急速に拡大、複雑化しており、ウイルスによる攻撃を仕掛ける側と、防御側との間で攻防が繰り返されています。

コンピュータウイルスの感染状況

コンピュータウイルスの感染状況を正確に把握することは難しいのですが、コンピュータウイルスを発見、またはコンビュータウイルスに感染した場合には、IPAに届け出るという制度があります。IPAによれば、2016年(2016年1月~2016年12月)は2,442件の届出が行なわれています。一般の企業などと同様に、教育·研究·公的機関からの届出が多いことがわかります。また、個人からの届出はほとんどありませんが、実際には個人レベルでもコンピュータウイルスが広まっていると想定されます。

愉快犯型ウイルスから金銭要求型ウイルスへ

コンピュータウイルスに感染すると、例えば、次のような被害が発生します。

  • 処理の遅延、中断、停止
  • データの破壊
  • データの暗号化
  • データの外部流出
  • 音楽の演奏

当初のコンピュータウイルスでは、感染すると音楽が演奏されてユーザを驚かせるだけの被害にとどまっていましたが、その後、画面が崩れて、そのパソコンに保存されているデータが破壊されるという被害へと変化ました。さらに、Antinny ウイルスなどでは、ファイル交換ソフトをターゲットにして、感染するとパソコンに保存されているデータを外部に漏えいされてしまうという被害へと変化しました。

近年では、ランサムウェア(身代金要求型ウイルス)と呼ばれるウイルスが猛威をふるっています。このウイルスに感染すると、パソコンやサーパ内のデータが暗号化されてしまい、そのデータを複号(復元)するためのキーと引き換えに金銭を要求するという手口が横行しています。カナダのある大学では、ランサムウェアにメールサーバが感染し、業務を進めるためにどうしてもデータの複号が必要となり、身代金を支払った事例もあります。このようにコンピュータウイルスは、愉快犯的なものから金銭を要求するタイプへと被害の質が悪質になってきているのです。

情報セキュリティポリシーの策定

企業などの組織において、情報セキュリティを推進するためには、まず、情報セキュリティポリシーの策定から始める必要があります。わが国で情報セキュリティの重要性が叫ばれたときに、まず始められたのが情報セキュリティポリシーの策定です。1999年ごろに大手企業で情報セキュリティポリシーの策定が相次ぎ、2000年ごろから情報セキュリティポリシーを発効させました。

1999年には、財団法人(現在:公益財団法人)金融情報システムセンターが「金融機関等におけるセキュリティポリシー策定のための手引書」を発行したことなどを契機として、金融機関での情報セキュリティポリシーの策定が進みました。 情報セキュリティポリシーでは、情報セキュリティの目的、セキュリテイの範囲、推進体制、規程·マニュアルなどの体系、情報資産、リスク評価、セキュリティ対策の整備 運用、経営者による監視、監査など情報セキュリティに関する基本的事項を定めます。

また、PDCA サイクルによる情報セキュリティの維持向上を図ることも定めます。情報セキュリティポリシーを制定していない場合には、企業などの組織内で情報セキュリティについて無関心な者、情報セキュリティ対策を実施しない者などがいなくならず、情報セキュリティを維持向上することができません。

経営者や管理者、情報セキュリティ担当者が他の従業員に対して電磁媒体や帳票などの管理について指導したときに、「どのような権限があって、そのようなことを言うのか?」などと反論されないようにするためにも、情報セキュリティポリシーの策定が必須です。また、企業グループ全体の情報セキュリティ水準を向上させるためには、グループ共通の情報セキュリティポリシーが必要になります。なお、情報セキュリティポリシーに権威をつけるために、取締役会や社長による情報セキュリティボリシーの承認を得なければなりません。

情報セキュリティの始め方・大切さ #2ではこの続きをご紹介します。一読よろしくお願いします。

セキュリティカテゴリの最新記事