第112回 情報セキュリティについて考える
こんにちは、キャリア・コンサルタント高橋です。
前回はITエンジニアにとって関わりの深いメンタルヘルスについて書きましたが、今回もITエンジニアにとって関わりの深い関係にある情報セキュリティについて思う所を書きたいと思います。
■情報セキュリティとは
会社や組織ではその仕事を遂行する上でたくさんの情報が蓄積されます。一般的にこの情報のことを情報資産と呼びますが、情報資産は常に脅威と呼ばれるモノに脅かされています。この脅威は大きく分けて以下の3種類に分けられます。
- 人的脅威 … 誤動作、管理ミス、紛失・置忘れなど
- 技術的脅威※ … 不正アクセス、コンピューターウイルス、DoS攻撃など
- 物理的脅威 … 火災、地震、機器の故障など
※技術的脅威:技術的脅威は物理的脅威との対比で論理的脅威と呼ばれることもあります。
情報資産はこのような脅威に晒されることで、破壊されたり、漏洩したりします。そのため、情報資産は何かしらの方法で脅威から守らなければなりません。この守るための取り組みを情報セキュリティと呼びます。
■情報漏洩の一番の原因は?
こうやって書くと、「情報資産は外部からの悪意のある攻撃から守ることだな」と捉われがちですが、実際は少し違います。そういえば、つい最近、NPO日本ネットワークセキュリティ協会から『2012年度情報セキュリティインシデントに関する報告書~個人情報漏えい編~』が発表されました。その報告書には情報漏洩の原因について、以下のグラフが開示されていました。
出典:NPO日本ネットワークセキュリティ協会『2012年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~』より
このグラフは2012年に起こった情報漏洩の原因を円グラフで表したものですが、よくみてみると、
1位:管理ミス(59.0%)
2位:誤動作(20.1%)
3位:紛失・置忘れ(8.0%)
となっており、これらで全体の86.1%を占めていることが分かります。つまり、情報漏洩が起こる原因は外部の悪意ある攻撃といった技術的脅威より圧倒的に人的脅威が多いということが分かります。
■情報セキュリティは難しいモノではないが…
もちろん、外部の悪意ある攻撃(技術的脅威)から情報資産を守ることは必要なことです。しかし、実際には人が情報資産を扱う際の人的脅威によって情報漏洩されていることがほとんどなのです。ちなみに、これら上位1~3位については2011年度も同様にTOP3となっており、このときの割合は約80%でした。つまり、2011年度から2012年度にかけて、人的脅威の割合がさらに増えたということになります。
それでは、人的脅威から情報資産を守るためにはどうすればよいでしょう? その答えはそれほど難しいモノではありません。
- 情報をあるべき方法で、正しく扱う
- 自分は大丈夫、という過信しない
- 情報の重要性を理解する
これらは情報資産を扱う人であれば当たり前のことであり、誰もがいわれなくても分かっていることです。しかし、これらのことが守れていないからこそ、情報資産が人的脅威に晒されているのです。噛み砕いていうならば、私たちは情報資産の重要性も分かっているし、その扱い方も知っています。しかし、そこに慣れや面倒などといった想いや考えが入ってくるからこそ自分本位の例外をつくってしまい、その結果、本来守らなければならない行為が守られず、人的被害に繋がっているのではないかと推測します。
だから、情報セキュリティというモノは、慣れていることや面倒臭いことを、いかに正しいやり方で面倒がらずに行うことができるかにかかっているのではないかと思います。そして、それができるかできないかは、ITエンジニアとしての資質に拠るのではないかと思います。