業界/資格

情報セキュリティーとは？個人・企業別の対策や資格の種類など網羅的に解説

2024年02月26日

技術

はじめに

デジタル化の進展によって、私たちのまわりには、これまで以上にさまざまな情報が飛び交うようになりました。また、企業において情報は「ヒト・モノ・カネ」に継ぐ「第4の経営資源」ともいわれるようになっています。
こうした環境下において、情報セキュリティに関する知識は、ますます重要になってきています。そこでこの記事では、そもそも情報セキュリティとは何なのか、脅威・リスクへの対策、運用管理をしていく上での仕組み、情報セキュリティに関する資格などについてご紹介していきます。

情報セキュリティとは

情報セキュリティとは、情報の「機密性」「完全性」「可用性」を維持することを指します。この3つは、情報セキュリティの3大要素といわれています。大切な情報が外部に漏えいしたり、データが改ざんされたり、ウイルスに感染して使えなくなったりしないように必要な対策を行うことです。
一方、サイバーセキュリティとは、サイバーという名前の通り、インターネットなどのネットワークやコンピュータのセキュリティに対象をフォーカスした概念になります。情報セキュリティの一部にサイバーセキュリティがあり、情報セキュリティは物理的なセキュリティなど、その他の脅威も含めた対策と違いについて理解するのがよいでしょう。

情報セキュリティ10大脅威とは

IPA（独立行政法人情報処理推進機構）では毎年、「情報セキュリティ10大脅威」という資料を発表しています。社会的に影響が大きかったと考えられる情報セキュリティにおける事故や攻撃などから、IPAが脅威候補を選出し、約160名のメンバーからなる「10大脅威選考会」が審議・投票を行って、個人と企業それぞれの上位10位が決定されるものです。
2006年から毎年発表されていますが、直近(2021年)の1位から10位までの脅威は以下の通りとなっています。

個人
1位	スマホ決済の不正利用
2位	フィッシングによる個人情報等の詐取
3位	ネット上の誹謗・中傷・デマ
4位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求
5位	クレジットカード情報の不正利用
6位	インターネットバンキングの不正利用
7位	インターネット上のサービスからの個人情報の窃取
8位	偽警告によるインターネット詐欺
9位	不正アプリによるスマートフォン利用者への被害
10位	インターネット上のサービスへの不正ログイン

企業
1位	ランサムウェアによる被害
2位	標的型攻撃による機密情報の窃取
3位	テレワーク等のニューノーマルな働き方を狙った攻撃
4位	サプライチェーンの弱点を悪用した攻撃
5位	ビジネスメール詐欺による金銭被害
6位	内部不正による情報漏えい
7位	予期せぬIT基盤の障害に伴う業務停止
8位	インターネット上のサービスへの不正ログイン
9位	不注意による情報漏えい等の被害
10位	脆弱性対策情報の公開に伴う悪用増加

参考：情報処理推進機構|情報セキュリティ10大脅威 2021

個人・企業別の対策

インターネットや企業で利用される各種情報システムは非常に利便性も高く、有用なものです。その一方で、上述したようなさまざまな脅威にさらされていることもまた事実です。そこで、こうした脅威からもたらされるリスクを低減・回避するために、セキュリティ対策を行う必要性があるというわけです。以下では、個人・企業における対策例を解説していきます。

個人の場合

代表的な対策例は次の通りです。

ID/パスワード管理の徹底
利用しているID/パスワードは他者に漏れたりしないよう厳重に管理しましょう。類推しやすいモノ、文字数・文字種が少ないパスワードは危険です。定期的に変更を行うようにしましょう。
ウイルス検知ソフトの導入
パソコンがウイルスに感染すると、自身の情報漏洩にとどまらず、他者のコンピュータにも同様の被害を及ぼしてしまいかねません。安全にコンピュータを利用するためには、ウイルス対策ソフトを導入し、ウイルス検知用データを常に最新の状態にしておくことが大切です。
OS/ソフトウエアのアップデート
OSやソフトウエアには、脆弱性と呼ばれる不具合が発見されることがあります。脆弱性はそのままにしておくと、不正アクセスやウイルス感染の温床となります。それらを修正するためのプログラムが開発元から配布されますので、必ずアップデートを行うようにしましょう。

なお、脅威を招くような悪質なWebサイトもありますので、ホームページを閲覧する場合にも十分な注意が必要です。

企業の場合と社内教育

企業の場合、システム等に不具合が生じサービスが停止してしまうと、自社内だけではなく、社会全体に大きな影響を与えてしまうということも考慮する必要があります。企業が情報セキュリティ対策を行うことは、当然の責務です。
そのため企業においては、個人における対策に加え、以下のようなより高度な対策を行う必要があるでしょう。

情報へのアクセス権の管理
権限を持った人のみが情報にアクセスできる状態にする。
定期的なデータのバックアップ
万が一情報が破損したり改ざんされたりしても容易に復旧できる体制を整える。
セキュリティシステムの導入
ファイアウォールや不正侵入検知システムなどの導入を図る。
内部からの情報漏洩対策
物理的な対策も含めた、情報資産の管理・バックアップを行う。
情報セキュリティポリシーの策定と教育
全社員に自社の情報セキュリティポリシー・情報セキュリティ対策などを周知する。

なお、中小企業においては、大企業に比べてどうしても対策が滞りがちです。具体的にどうしたらいいのか、どこから手をつけたらいいのかわからない、そういった場合は、IPAが制定した情報セキュリティ5か条も参考にするとよいでしょう。

（1）OSやソフトウエアの最新アップデート
（2）ウイルス対策ソフトの導入
（3）パスワードの強化
（4）機密情報の共有設定の見直し
（5）脅威・攻撃の手口を知る

情報セキュリティインシデント

情報セキュリティに関わる事件や事故のことを情報セキュリティインシデントと呼びます。情報漏洩などの事故が一度でも発生すると、世間の信頼は大きく失われます。また、流出した情報の被害に対する補償といった話にも波及しかねませんのでその対策は必須です。
情報セキュリティインシデントの情報を共有し、対策を施すことにより、事故の予防に努めることが肝要です。

情報セキュリティ監査

個人情報保護法の施行をきっかけに、企業が情報資産を守ることについて真剣に考えるようになりました。一方で、上述したような、人的・物理的・技術的なセキュリティ対策を総合的に行えている企業はまだまだ多くはありません。
そこで、情報資産を守るための適切なセキュリティ対策ができているか外部の専門家などが検証・評価する作業が情報セキュリティ監査です。
監査を受けることにより、自社の不十分な点を洗い出し、対策を講じることにより、将来的に情報セキュリティマネジメントシステム認証の取得にも繋げることができます。

情報セキュリティマネジメントとは

企業や組織で情報セキュリティの運用・管理をしていくことを情報セキュリティマネジメントと呼びます。その対策の中心に、情報セキュリティポリシーがあります。実施にあたっては、実施サイクル（PDCAサイクル）が大切で、具体的には以下を繰り返していくことが肝要です。

Plan：情報資産の洗い出し、リスクや課題の整理、情報セキュリティポリシーの策定
Do：全社員への周知・教育
Check：ポリシーが遵守されているかどうかの監査、評価
Action ：監査・評価をもとに、情報セキュリティポリシーを見直し・改善

情報セキュリティマネジメントシステム

情報セキュリティマネジメントシステムは、企業や組織における情報セキュリティを運用・管理するための仕組みのことを指します。英語表記したときの頭文字を取ってISMS（アイ・エス・エム・エス）と呼ばれています。
ISMS適合性評価制度において認証を受けると、名刺やホームページ等にロゴマークを載せることもできます。

情報セキュリティポリシー

情報セキュリティポリシーとは、情報セキュリティ対策の方針や規程、行動指針のことをいいます。どのような情報資産を、どのような脅威から、どのようにして守るのかを示すものです。被害に合わないためにも情報セキュリティポリシーを策定することは不可欠です。
ポリシーや情報セキュリティ対策の評価、情報システムの変更、新たな脅威などを踏まえ、定期的に対策基準の評価や見直しを行うことも重要となってきます。

基本方針/対策基準/実施手順

情報セキュリティポリシーの策定にあたっては、一般的に「基本方針」「対策基準」の2つの要素を情報セキュリティポリシーとして整理し、「実施手順」として個別対策などの細則を盛り込んで構成します。
基本方針では、情報セキュリティが必要な理由とともに、情報セキュリティの目標と達成するために企業がとるべき行動を記載し、社内外に宣言します。対策基準では、基本方針を実践するための、守るべき規程を具体的に記述します。実施手順では、それぞれの対策基準について、どのように実施するか、具体的な手順として記載します。

管理基準

企業が求められる情報セキュリティ対策は、多様な観点で評価され、具体的な対策が要求されています。経済産業省では、企業が効果的な情報セキュリティマネジメント体制を構築してコントロールを整備・運用するための実践的な規範として、情報セキュリティ管理基準を策定しています。情報セキュリティマネジメントにおける管理策のための国際標準規格であるISO/IEC 17799:2000（JIS X 5080:2002）をもとにし、組織体の業種及び規模等を問わず汎用的に適用できるよう作成されたものです。管理基準は「マネジメント基準」と「管理策基準」の2項目からなります。情報資産の監査を行う際の判断の尺度として用いられる基準でもあります。

情報セキュリティ3要素/7要素

情報セキュリティには、3要素/7要素という概念があります。
情報セキュリティ3要素とは、機密性、完全性、可用性の3つを示し、英語表記したときの頭文字を取ってCIAと呼ばれています。

機密性（Confidentiality）
認可された者だけが情報にアクセスできることを確実にすること
完全性（Integrity）
情報処理方法の正確さ、完全である状態を安全防護すること
可用性（Availability）
認可された利用者が必要なときに情報にアクセスできること

これら3要素に真正性、責任追及性、信頼性、否認防止を加えたものを情報セキュリティ7要素と呼びます。

真正性
利用者・プロセス・システム・情報などが偽物ではない「なりすまし」ではない状態のこと
責任追及性
誰が・いつ・何に・どのような行為を行ったかを明確にし追跡できるようにすること
信頼性
意図した動作および結果に一致すること
否認防止
否認されないように証明すること ※責任追及性の中に含めて考える場合もあります。

ISO/IEC27001

ISO/IEC27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。企業が自社で保護すべき情報資産を洗い出し、個々の情報資産に対して、情報セキュリティ3要素である、機密性・完全性・可用性をバランスよくマネジメントして情報を有効活用するための組織の枠組みを示しています。
この規格は、複雑・高度・多様化し、悪質でかつ巧妙化する情報セキュリティ事件・事故について、ますます広範な対策が求められるなか、リスクマネジメントを行ううえで必要なISMSの確立・実施・維持・継続的な改善、情報セキュリティのリスクアセスメントおよびリスク対応を実現するための要求事項を定めることを主な目的としています。

資格の種類

情報セキュリティに関する資格については、IPA主催の国家試験、および民間団体の認定試験があります。
また、内容も利用者側に向けた試験とセキュリティを推進する側の試験があります。いずれも実際の仕事に活かせる資格になりますので、順に見ていきましょう。

情報セキュリティマネジメント試験

情報セキュリティマネジメント試験は、情報セキュリティマネジメントを通して情報セキュリティ対策に貢献し、種々の脅威から持続的に組織を守るために必要な基本的スキルを認定する試験です。
情報処理技術者試験の新たな試験区分として創設されたもので、CBT方式で上期、下期に実施されています。
試験時間は午前と午後の各90分、多肢選択式です。それぞれ100点満点中60点で合格となります。
試験対策としては過去問の学習が大切です。すべて公開されていますので、受験を考えている方はまずは過去問からチャレンジしてみましょう。

難易度と合格率

IPAによると、令和1年度の応募者数は36,679名、合格率は49.4%と、国家試験ではあるものの合格率は比較的高めです。
情報処理技術者試験の中では、ITパスポート試験についでやさしい試験となっています。

参考：情報処理推進機構|情報処理技術者試験・情報処理マネジメント試験

情報処理安全確保支援士試験（旧情報セキュリティスペシャリスト試験）

サイバーセキュリティ対策を担う人材の育成ならびに確保のための試験です。以前あった情報セキュリティスペシャリスト試験は、2016年10月に廃止となり、情報処理安全確保支援士試験へ移行されました。
情報処理技術者試験制度とは独立した資格であることから高度情報処理技術者試験には含まれませんが、情報処理技術者試験制度のスキルレベル4（高度情報処理技術者試験）と同等にあたります。
情報処理の促進に関する法律に基づく国家資格であり、試験に合格後、登録することにより国家資格として認められます。

難易度と合格率

情報処理安全確保支援士試験の合格率は例年10％台となっています。受験者の多くはすでに下位区分の基本情報技術者試験（スキルレベル2）や応用情報技術者試験（スキルレベル3）に合格できる実力を有している場合が多いため、難易度は相対的に高くなっている模様です。

参考：情報処理推進機構|情報処理技術者試験・情報処理安全確保支援士試験

情報セキュリティアドミニストレータ試験

2008年度秋期まで実施されていた試験です。情報セキュリティに関する基本的な知識をもち、組織における現場責任者として、さまざまな施策を立案・実施し、その結果の評価を行う者を対象としたユーザー側としてのスキルを測る試験でした。
2009年に情報セキュリティスペシャリスト試験と統合されましたが、2017年春以降は「情報処理安全確保支援士」の試験開始に伴い、情報セキュリティマネジメント試験が利用者側（ITのセキュリティ知識・技能を認定）の試験区分となっています。

参考：情報処理推進機構|情報処理技術者試験・情報セキュリティアドミニストレータ試験

情報セキュリティ初級認定試験

全日本情報学習振興協会が認定する一般従業員・ユーザーに向けた試験になります。情報セキュリティに関する基本的な意味を理解しているかどうかが問われます。試験時間は60分、70％以上の正答で合格となります。過去の平均合格率は61.7％です。2年間という有効期限があり、定期講習により更新されます。
企業の情報漏えいは、ほとんどが事務・管理系の職場から発生し、一番多い原因はヒューマンエラーといわれています。社員全員が情報漏洩リスクに対する危機意識の向上を図るうえで、有用な試験といえそうです。

参考：全日本情報学習振興協会　情報セキュリティ初級認定試験

まとめ

情報セキュリティ対策にあたっては、その脅威を認識し、個人・企業ともに対策を講じていくことが必要不可欠です。特に企業においては、情報漏洩などの事故が一度でも発生すると、世間の信頼は大きく失われ、被害に対する補償といったことも想定されます。
重大なインシデントを防ぐために、適切なリスクマネジメントを行い、アセスメントの実施によりPDCAサイクルを回し、常に見直し・改善していくことが大切です。
また、情報セキュリティに関する知識を深めるために、各種資格を取得するのも有効でしょう。