現役ハッカーが教える情報セキュリティ入門 第1回 ~情報セキュリティはなぜ必要??~
近年は情報技術の発展によって多くの方が情報端末(パソコン・スマートフォンなど)を日常的に利用する機会が増えています。
その為、日々の生活がより便利に豊かになっています。
しかし、その裏では様々な脅威に晒されています。
高度に情報化された社会であるが故に情報という要素が非常に重要な存在になっています。
ビジネスにおいては情報をどれだけ保有しているか、上手く活用出来ているかが非常に重要になっています。
個人においても通販サイトの購入履歴や購入の為のクレジットカード決済、病院での診察履歴など多くの情報が自動化・システム化され、個人を特定することのできる情報がデータ化されています。
このように、現代の社会において「情報」という存在は非常に重要な存在になっています。
そして、「情報」が重要になっているからこそそれを狙う者たちが存在しています。
そんな悪意を持った攻撃者から「情報」を守る為に情報セキュリティ対策が必要になってきます。
情報セキュリティ対策は難しいと考えている方が多くいますがそんなことはありません。
ITの知識が乏しい方や初心者の方、新社会人の方などにも分かるように簡単に解説していきます。
第1回の今回は導入として簡単に「なぜ対策が必要なのか・実際の脅威」をお話していきます。
※当ブログは、アフィリエイトプログラムに参加して商品を紹介しております。当ページのリンクを介して商品を購入すると著者に収益が発生することがあります。
目次
なぜ情報を守る必要があるのか?
前述したとおり現代の社会において「情報」は非常に重要なものになっています。
なぜ「情報」が重要な存在になっているのか?それは、個人を特定することのできる物・企業・組織の今後を決定しうるものになっているからです。
個人における「情報」とは何なのか??
個人における情報と言えば「個人情報」になるでしょう。では、個人情報とはまずもってどのように定義されているのか確認してみましょう。
「個人情報保護法」において個人情報とは以下の様に定義されています。
『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。』
つまりは、「氏名」だけで個人を特定することが出来る人物であるのならそれは保護されるべき「個人情報」となりえるのです。
また、「氏名」だけでは特定することが出来ない・難しい場合であれば現住所や年齢・性別といった付加的な情報と一緒に扱うと保護される「個人情報」となります。
この定義からすると携帯番号・メールアドレス・パスワードやクレジットカード情報。はたまた通販サイトの購入履歴や病気の履歴・病院への通院履歴などは個人を特定することのできる情報になります。
参考サイト:プライバシーマーク制度
会社・組織における「情報」とは何なのか??
会社・組織における「情報」は個人における情報とは少し異なります。
基本的に会社・組織は利益を得るために活動を行います。そのため、A社では非常に重要な情報であってもB社には何ら価値のない情報も存在します。
つまりは、会社・組織によって情報に対する価値観は変わります。では、一般的に会社・組織においての「情報」には何が該当するのでしょうか?
一般的な会社・組織が保有する情報として挙げられる一点目としては「雇用している従業員・スタッフの個人情報」です。2点目は「取引先の情報」です。3点目は「特許などといった技術情報」です。4点目は「会社・組織そのものの情報(経営状態など)」です。ざっとこの4点の情報が企業・組織が保有する情報ではないでしょうか。
会社・組織はこれらの情報をうまく利用することによって利益をえる活動をしていると言えます。
本題!!なぜ情報セキュリティ対策が必要なのか??
上記で「個人」と「会社・組織」における「情報」とは何なのかを確認しました。
上記の「情報」についての説明を見ていただければ分かるように「情報」は保有することで力を発揮します。そして、現在のように高度な情報化社会においては「情報」という力を利用して多くの物事を行うことが可能になります。良いことにも悪いことにも活用することが出来ます。良いことででの活用であればしっかりとした管理のもと利用されるので問題はないでしょう。しかし、悪いことに利用するとなれば問題ありでしょう。
まず、「企業・組織」においては「情報流出・漏洩」によって社会的信用の失墜や億単位にもなる可能がある損害賠償など目に見える被害が出ます。それ以外でもシステム・サービスの停止や業務活動が遂行できなくなり企業がそのものが行えなくなる可能性も出てきます。最悪倒産の危機に瀕するかもしれません。そうなれば、従業員が路頭に迷ってしまいます。
次に「個人」においては個人的情報の流出によって電話番号が悪用され振込詐欺やオレオレ詐欺などの標的になります。また、メールアドレスが流出すればフィッシングメール詐欺の利用されてしまいます。そしてクレジットカード情報が流出してしまったならば不正利用されるでしょう。病気やそのほかの身体的な特徴が流出したのであればそれらを利用しての脅迫なども考えられます。
「情報」は簡単に悪用することが出来ます。そしてそれがビジネスになりうるのです。実際、メールアドレスや電話番号といった情報から病気の情報などは闇サイトなどで高値で取引されています。たかが「個人情報」されど「個人情報」です。高度な情報化社会であるが故です。
情報を悪用されないようして自ら情報を守っていく事が非常に重要になってきています。「自分は大丈夫」「自分は関係ない」という事は通用しません。
実際にどのような脅威が存在しているのか??
「情報」を守る事の大切さを簡単にお話してきました。では、実際にどのようの脅威が存在しているのか簡単に確認しておきましょう。
- システムが想定した通りに機能しない可能性
- 悪意ある攻撃者または偶発的な要素による妨害・加害行為
- 内部者の故意、ミス、不作為による事故
上記3点はJNSA(日本ネットワークセキュリティ協会)によって挙げられている情報セキュリティにおける脅威になります。簡単ではありますが要点はつかめています。
では、IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ 10大脅威 2021」を確認してみましょう。
「情報セキュリティ10大脅威」は毎年発表されています。あくまで前年度の起こったインシデントや社会的に注目を浴びた脅威についてランキング形式で紹介してるものになります。このランキングに掲載されていないから脅威にではないというわけではありません。
しかし、時代背景をしっかり捉えていて尚且つきれいにまとめられているので脅威に確認にはもってこいです。
他のページで2021年のランキングについて解説しているので一読してみてください。
※情報セキュリティ10大脅威2021について現役ハッカーが解説【個人編】
※情報セキュリティ10大脅威2021について現役ハッカーの目線で解説【組織編】
※JNSA:日本ネットワークセキュリティ協会(外部サイトに移動します。)
※IPA:独立行政法人情報処理推進機構(外部サイトに移動します。)
まとめ
情報セキュリティ入門第1回の今回は導入という事で簡単になぜ情報セキュリティ対策が必要なのか、どのような脅威が存在しているのかを確認していきました。
今後さらに踏み込んだ情報セキュリティ対策に関する事や実際に存在している脅威についてお話してきます。
情報セキュリティ初心者の方に読んで頂きたいのでなるべく簡単にお話していければと思います。