守るべき情報は、顧客情報、社員の個人情報、
会議記録や規格書などの業務文章、設計書などの機密文書
など、紙に書かれた有形なものも、ハードディスク内の無形情報とさまざまです。
これらは企業にとって重要な資産で、破壊、漏洩、改ざんなどから守らなければならない対象です。
これら守るべき情報が、「情報資産」と呼ばれます。
特に近年のIT(Information Technology )技術の普及に伴って、
情報が電子ファイル化されることが多くなっています。
これによって、削除や変更、コピーが簡単になり、危険が増しています。
さらにネットワーク経由でアクセスされることも、危険が増している要因になっています。
また、2005年4月施行の個人情報保護法を契機に、情報の漏洩が企業の不祥事として認識されるようになり、
企業の信用を守ると言う意味でもセキュリティ対策が不可欠になっています。
なお情報資産に損害を与える可能性のある事柄を脅威と呼びます。
また、存在する脅威に対してつけ込むことができる 弱点を脆弱性 と呼びます。
そして損害の起きる可能性の大きさをリスクと呼びます。
セキュリティ対策をするためには、どのような脅威があるかを知る必要があります。 以下で、意図的な脅威と非意図的な脅威に分けて分類します。
これは、誰か悪意のある者の意図的な行為によって生じる脅威で、次のような不正があります。
| 破壊、消去、改ざん | データを正しく使えないようにする |
| 漏洩 | 持ち出し以外に、ファイル交換ソフトによる漏洩など |
| 盗聴 | 操作が読み取られる場合、通信データの傍受 |
| 盗難 | 機器の盗難もあるが、ファイルの不正コピー |
| サービス停止 | サーバーのダウン、通信回線の利用を不可能にする業務妨害 |
| 不正利用 | 資源の不正利用 |
| 踏み台 | 他のサイトを攻撃する拠点に使われる。 |
| ウィルス | データ破壊、漏洩などを、他のマシンに拡大させる。 |
| メールやホームページ関連の脅威 | spamメールによる業務妨害、 フィッシング詐欺、 なりすましによる契約(自身の場合と相手がなりすましされている場合がある) |
人為的な脅威と非人為的な脅威があります。
人為的な脅威とは、操作ミスや不注意による脅威で
ヒューマンエラーとも呼ばれます。
誤ったファイルの削除や、機器を誤って壊すことも含まれます。
これに対する対策として次の事柄が挙げられます。
非人為的な脅威とは、偶発的な故障や、災害による脅威を意味します。 これに対する対策として次の事柄が挙げられます。