コラム

社会人なら知っておくべき情報セキュリティの考え方

2017年11月29日
中小企業診断士 情報処理安全確保支援士 一ノ瀬誠

 情報セキュリティ犯罪はは日々複雑化しており、企業にとって大きなリスクとなっています。 今回は経営者のみならず社会人全般に知っていただきたい情報セキュリティに関する考え方をいくつかのキーワードから紹介したいと思います。

<トレードオフ>
 セキュリティの強固さと利便性はトレードオフの関係にあります。これは情報セキュリティに限らず、すべてのセキュリティにいえることですでもあります。
 例えば駅の駐輪所に自転車を置いて出かけるとき、自転車に鍵を2つ付けると盗まれにくくなりますが、出かけるときに2つ施錠、帰ってきたら2つ開錠をしなければならず、毎日時間を取られます。
 情報システムについても、セキュリティを強固にしすぎて使い勝手が悪くなると業務効率が悪くなり、果ては使用されないシステムとなってしまう可能性があります。
 やみくもにセキュリティを強固にするのではなく、適切なセキュリティレベルを予め定めて、それを目指して実装しなければなりません。

<フォルスポジティブとフォルスネガティ>
 個別の情報セキュリティ対策を行っていく上で最初に考慮しなければならないのは、「ホワイトリスト」を作るのか、「ブラックリスト」を作るのか、という選択です。
 迷惑メール防止を例にして考えてみます。
 「ホワイトリスト」を作成する方法をとった場合、つまり受信してもよいメールアドレスリストを作ってリストに含まれないのメールアドレスからのメールは受け取らない方法をとった場合は、 迷惑メールは来なくなります。これは迷惑メールを受け取らないという目的を果たしています。強固なセキュリティに守られた状態と言えます。 ただし、この方法を取った場合は、受信したいメールアドレスが増えるたびに登録作業が必要です。忘れたり、スペルを間違えたりすると重要なメールを受信できないという事態も発生する可能性があります。 このように受け取りたいのに受け取れなかったというエラーの発生はフォルスポジティブと呼びます。
 「ブラックリスト」を作成する方法をとった場合、つまり受信したくないメールアドレスリストを作ってリストに含まれるメールアドレスからのメールは受け取らない方法をとった場合は、 必要なメールは今まで通り届きます。サービスを便利に活用できている状態と言えます。ただし、迷惑メール発信者は、頻繁に送信元ドメインを変えてきます。迷惑メールを受信することは防ぎきれません。 受け取りたくないのに受け取ってしまうエラーの発生はフォルスネガティブと呼びます。
 どちらが良いのか判断に迷うところですが、用途が限られている情報システムは、可能な限りホワイトリストを使うべきです。つまり、フォルスポジティブを選択します。
 ホワイトリストだと、利便性が大きく損なわれてしまい使い物にならなくなるような場合のみブラックリストで対応します。
 例えば、会社からのインターネットでコンテンツブロックを掛けるような場合ですね。

 情報セキュリティについて検討する際は、これらの”考え方”を頭の片隅に入れておきましょう。

戻る