ITスタッフが取得すべきセキュリティ認定資格はこれだ！

情報セキュリティに関する各種認定資格をセキュリティ専任スタッフの育成に活用する

（2006年02月05日）

　企業による情報漏洩事件の多くが従業員によって引き起こされているという現状から、企業においては、いかにして従業員にセキュリティ・ポリシーを守らせるかが最重要課題と言える。そのためには、従業員に適切な指導を行ったり、運用後の問題点や改善案を指摘したりできるセキュリティ専任スタッフが必要となる。このようなセキュリティ専任スタッフはどのようにして育成すればよいのだろうか。そこで活用したいのが、情報セキュリティに関する各種認定資格である。

坂田岳史
ITコーディネーター

今日の企業・組織に求められる情報セキュリティとは

　2005年4月の個人情報保護法の完全施行によって、企業・組織には、より厳格な情報セキュリティ対策が求められるようになった。にもかかわらず、カード信販会社のサーバから顧客のクレジットカード番号が流出するといった情報漏洩事件があとを絶たない。なぜなら、完璧な情報セキュリティ体制を維持することが困難であるからだ。

　情報セキュリティを確立するには、情報漏洩対策を行えば済むというものではない。セキュリティ（Security）という言葉を辞書で調べると、「安全」「確実に」「まちがいなく」などと訳される。つまり、情報セキュリティとは、情報の漏洩、改竄、盗聴、紛失といった事故が発生しないように管理することに加え、必要なときに確実に利用できるようにすることを指す。さらに、内容に誤りが含まれないように管理することも含まれる。

　情報漏洩対策の観点から情報セキュリティが注目されているが、セキュリティに関する取り組みは従来から行われている。ただし、近年はインターネットの普及やソフトウェアの複雑化により、新たなセキュリティ要件が求められるようになったのである。

　例えば、インターネットがもたらす利便性は、企業や組織にとって今や欠かせないものであるが、情報の盗聴や改竄、Webサイトへの侵入／破壊、ウイルス／ワームによる被害など、多くの問題が発生する危険性を秘めており、新たなセキュリティ対策を講じなければならなくなった。従来から行われているセキュリティ対策と最近になって必要になったセキュリティ対策の違いは、表1のとおりである。

表１：従来からのセキュリティ対策と最近になって求められるセキュリティ対策の違い

企業組織におけるセキュリティ対策の基本

　セキュリティ対策には、さまざまなアプローチが必要となるが、闇雲に対策を行っても意味がない。セキュリティ対策を確実に実行するためには、リスク認識とリスク管理を行う必要がある。まずは、この2点について説明しよう。

リスク認識

　リスク認識とは、どのようなセキュリティ対策を行うかを検討する前に、自社の情報管理においてどのような脅威や脆弱性があるのかを認識するものである。なお、脅威と脆弱性、リスクとリスク管理は、次のような意味を持つ。

脅威：システムや組織に危害を与える、潜在的な原因
脆弱性：脅威によって影響を受けるシステムの弱さ
リスク：将来発生する可能性がある危険
リスク管理：リスクを分析、発見、評価、制御すること

　まずは自社の情報システムにどのような脅威があるのかを洗い出す必要がある。主な脅威には、自然災害やハードウェアの故障などの「物理的脅威」、悪意のあるプログラムなどが引き起こすデータの破壊などの「技術的脅威」、従業員のミスなどの「人的脅威」がある（表2）。そして、それぞれの脅威に対して自社においてどのような脆弱性があるかを知ったうえで、適切な対策を考えなければならない。
　例えば、「従業員によるデータの持ち出し」という脅威に対して「従業員の認識不足」という脆弱性があるとすると、「内部からの情報漏洩」というリスクが出現する。この場合対策としては、「従業員の意識向上」を図る必要がある。また、「外部からクラッカーがサーバに不正侵入する」という脅威に、「ファイアウォールなどが整備されていない」という脆弱性があれば、「外部からの不正侵入による情報漏洩」というリスクが現れる。対策はもちろん、「ファイアウォールの設置」である。また、「不審者に侵入されやすい」という脆弱性があれば、「情報の持ち出し」というリスクが現れるので、入退室管理を行うといった具合だ。

表2：脅威、脆弱性、リスクの関係