初心と学ぶ、DXの進め方　第18回「情報セキュリティとは？」

前回までのあらすじ
手書き書類のデータ化が可能なAI-OCRについて復習した初心さん。相談を受けた他部署では無事、データ化と自動化を進められたようです。そんな中、またメディアで気になる情報を見かけたようです…。

情報セキュリティとは？

情報セキュリティとは、簡単に言うと情報の安全を守ることを言います。

企業や組織では、クライアントの情報や顧客情報を保持することが多いでしょう。そうした情報を壊されれば企業や組織にとって大きな損失となりますし、盗まれれば悪用されることも考えられます。いずれにしても、企業や組織として大きな責任問題に発展します。そうした事態に陥らないように、しっかり対策をしておきましょう、というのが情報セキュリティの考え方です。

では、具体的に情報セキュリティとはどうすることでしょうか？　JIS Q 27000※では「機密性」「完全性」「可用性」を維持することと定義されています。
※情報セキュリティマネジメントシステムに関する用語が定義されたJIS規格

機密性・完全性・可用性は３要素全てを維持しなければ、情報が危険にさらされます。

確実に権限を持つ人に情報を渡せても、内容が改ざんされていてはいけませんし、改ざんがなくても重要な情報が誰にでも見られる状態ではいけません。権限を持つ人だけが見られる状態になっていても、故障してアクセスできない状況も困りものです。

このように、機密性・完全性・可用性の３要素そろっていなければ情報セキュリティが欠けた状態なのです。

どうやって情報を守るのか

機密性を守る方法

機密性とは、ある情報資産にアクセスする権限を持つ人だけがアクセスでき、それ以外の人には公開されないことです。

これを維持する対策は主にアクセス制御・暗号化などです。

アクセス制御は、許可されていない人からのアクセスを制限する手段です。「誰が、何に対して、どのような操作が許されるか」を定義したルールを作り、そのルールに従ってユーザの動作を許可、または拒否するという仕組みです。

アクセス制御には以下３つの基本機能が備わっています。

認証
サイトやファイルなどにアクセスできるユーザを識別します。
例）パスワード認証、クライアント認証、生体認証　など

認可
認証によってアクセスを許可されたユーザが、どこまで操作しても良いか制限します。

監査
アクセス履歴を残し、管理者が想定したユーザがアクセスできているかをチェックします。

暗号化は、平文から暗号文を作ることを言います。平文（ひらぶん）とは、暗号化されていない情報やデータのこと。平文を暗号アルゴリズムと暗号鍵を使って暗号にします。

暗号アルゴリズム：暗号の法則
暗号鍵：アルゴリズムを解くための符号（ヒント）

暗号化には、暗号化する時と復号（暗号分から平文に戻すこと）する時に同じ鍵を使用する共通鍵暗号方式と、暗号化と復号で別の鍵を用いる公開鍵暗号方式があります。

共通鍵暗号方式には処理速度が速く、手軽に使用できるというメリットがあります。一方、一人一つの鍵が必要となるため、複数人に使用する場合は鍵の管理が大変になります。

公開鍵方式は処理速度が遅く、環境構築にも手間がかかりますが、鍵の数が共通鍵暗号方式よりも少なく、鍵の配布も容易で多人数に情報を配布する際に向いています。

これら２つの特徴を組み合わせたハイブリッド暗号もあります。
ハイブリッド暗号は、共通鍵暗号方式を使って平文を暗号化し、その共通鍵を公開鍵暗号方式で暗号化します。共通鍵は平文に比べてファイルサイズが小さいため、平文すべてを暗号化するよりも処理時間を大幅に減らすことができます。
こうすることで、共通鍵暗号方式の「処理速度の速さ」を活かしつつ、「鍵の配布が手間」というデメリットを穴埋めしているのです。

ハイブリッド暗号はクレジットカード情報をやり取りする際に使用されるSSLにも用いられています。

完全性を守る方法

完全性とは、情報資産の正確さを維持し、改ざんさせないことです。情報の完全性を守るときに大切になるのが「なりすまし」と「データが改ざんされていないことの証明」です。これらの疑いをなくして完全性を確保するために、デジタル署名（電子署名）が用いられています。

デジタル署名とは、署名の電子版のこと。確実が本人に承諾したと認めるための機能です。これには公開鍵暗号方式が使われています。

公開鍵暗号方式は、公開鍵と秘密鍵が必ずペアになっていて、秘密鍵は当事者しか持っていません。これを利用して「なりすまし」ではないことを証明します。

デジタル署名の手順は以下の通りです。

① 送信者は、平文をハッシュ化※1してメッセージ・ダイジェスト※2を作る
② 送信者はメッセージ・ダイジェストを平文として「送信者の秘密鍵」（署名生成鍵）を使って暗号化し、暗号文を作る
③ 送信者は①の平文と②の暗号文を受信者に送る
④ 受信者は受信した①の平文をハッシュ化し、メッセージ・ダイジェストを作る
⑤ 受信者は④のダイジェストと⑤のダイジェストを比較して、同一であれば「なりすましなし」「改ざんなし」が確認できる
※1　ハッシュ関数という関数を使用して平文を計算式で整えること
※2　平文をハッシュ関数で計算したもの。平文からダイジェストは作成できるが、ダイジェストから平文は作成できない

可用性を守る方法

可用性とは、情報資産に対して必要な時にいつでもアクセスできる状態にすることです。

たとえば、台風や地震などの災害が起こった際に、基幹システムがダウンすることが考えられます。その際は情報にアクセスできず、場合によってはサービスが停止してしまうことも考えられます。そうした状況に陥らないために対策を採っておく、というのが可用性の考え方です。

そのため、可用性はハードウェアや組織としての仕組みづくりが重視されます。

システムの二重化
システム障害時の影響を最小限に抑えるために、データのバックアップ体制を整えます。
全てのデータのバックアップ体制を整えるにはコストが必要なことから、どこからどこまでバックアップを取るのか考える必要があります。

UPS（無停電電源装置）の導入
災害などで突然機器が停電した時に備えて、UPS（無停電電源装置）を導入するのも可用性を守るための対策です。
UPSを導入することで、主電源から電力の供給が途絶えてしまっても、一定時間電力を供給することが可能です。

まとめ

サイバー犯罪は増加傾向にあり、悪意ある第三者からのサイバー攻撃の手法は多様化しています。なかでも悪意あるソフトウェア（マルウェア）の一種であるランサムウェアの被害は増大しています。
ランサムウェアとは、被害者のデバイスとデータを使用不能にするマルウェアです。ランサムウェアを扱う犯罪者は、デバイスとデータを人質に被害者に金銭を要求してきます。

過去、大手自動車メーカーの工場設備に付帯するパソコンがランサムウェアに感染し、約1日操業を停止したことがありました。これにより、自動車約1,000台の生産が停止し、大きな損害が発生しています。

企業を攻撃するための侵入口として、サイバーセキュリティ対策が進んでいない系列企業やビジネスパートナーを標的とするサイバー攻撃も見られます。関連会社全体で脆弱性をなくすように、サイバーセキュリティ対策を推進する必要があります。

進方さんのような「DXの専門家」にDX推進やデジタル化、業務効率化についてレクチャーしてほしい方、増えています！　初心さんのような初心者でも丁寧に、業務に沿った内容で研修を行います。お気軽にご相談ください！

---