ブログ

情報セキュリティとは?その脅威と対策方法について

公開日:2021.01.20

更新日:2024.06.06

KDDIウェブコミュニケーションズ

情報セキュリティとは?その脅威と対策方法について

今や私たちの生活に欠かせないものであり、企業経営の分野においては重要な経営資源のひとつともされている「情報」。

その情報を扱ううえでは、安全なネットワーク環境の中で情報機器を接続し、安心して使用できる状況を維持し続けることが何より大切です。情報漏洩や不正アクセス、自然災害など、あらゆるシチュエーションを想定し、情報セキュリティ対策を講じることが求められています。

本記事では、安心・安全なIT環境の維持に不可欠である「情報セキュリティ」とは何か? 情報セキュリティの脅威や効果的な対策について、考えを深めていきます。また、昨今の情報セキュリティ対策に主流で取り入れられている「二段階認証」についても、あわせて紹介いたします。

情報セキュリティとは?

情報セキュリティとは?

情報セキュリティとは、情報における「機密性・完全性・可用性」の3つを確保、維持できている状態のことです。これらは「情報セキュリティの3要素」とされており、「Confidentiality(機密性)」、「Integrity(完全性)、「Availability(可用性)」のそれぞれの頭文字をとって「CIA」とも呼ばれます。 この「3要素」に、近年新たに追加された4要素を加えた、情報セキュリティ対策に重要な「7要素」について、詳しく紹介していきたいと思います。

情報セキュリティの3要素=情報のCIA

機密性(Confidentiality)

機密性とは、アクセスする権限を持った人のみが情報を閲覧したり操作することができ、且つその状態を保ち続けていることです。権限の中にはアクセス制限などが含まれ、権限を得ていない人物からのアクセスを防ぐことによって、情報漏洩やデータ改ざんなどを回避することに効果的です。

完全性(Integrity)

完全性とは、情報が正しく信頼できる内容であり、常に最新の状態へ更新され続けていることです。人為的ミスによる誤入力やデータ削除、悪意のあるデータ改ざんなどから情報を守ることが、セキュリティ事故を阻止することへとつながります。

可用性(Availability)

可用性とは、機密性と完全性が保持されている状態であることを前提とし、いつでも情報へアクセスできる状態が続いていること、また、その指標です。たとえサーバーダウンや機器の故障、災害時などであっても、途切れることなく稼働し続けられることが求められています。

新たに加わった4要素

真正性(Authenticity)

真正性とは、情報の利用者やその情報自体に偽りがないことを明らかにし、認証できることです。なりすましなどの被害を防ぐため、二段階認証やデジタル署名といった対策が有効であるとされています。

責任追及性(Accountability)

責任追及性とは、何の情報に対していつ・誰が・どのような動作を行ったのかを追跡し、明確にすることです。対策としてログをしっかり残しておくことで、万が一情報漏洩や改ざんが起こった場合、再発防止・原因究明などにつながります。

信頼性(Reliability)

信頼性とは、情報機器を稼働させる際に故障や不具合などなく、正確に処理が行われることです。バグなどのような意図しない原因によってインシデントが発生しないよう、設計や構築後の管理に注意を払う必要があります。

否認防止(Non-repudiation)

否認防止とは、情報に関する動作やそれによって起こる事象を、後々操作を行った本人に否認されることがないように証明することです。否認防止には、責任追及性の対策が大きく影響します。デジタル証明などを活用して証拠を残すことが、対策として有効とされています。

情報セキュリティの脅威について

情報セキュリティの脅威について

万が一、情報セキュリティの7要素がしっかり確保された状態で管理できていない場合、様々な脅威によってインシデントが引き起こされやすくなります。脅威とされる事象は時代の流れにより傾向が見られますので、情報セキュリティ対策にトレンドを取り入れ、内容を日々ブラッシュアップすることが必要です。

IPA独立行政法人情報処理推進機構では毎年、「情報セキュリティ10大脅威」を公開しています。ここでは、2019年に発生し社会的に影響が大きかったとされる「10大脅威 2020」の内容と、インシデント事例の一部を紹介し、現在問題とされている脅威の主流を把握していきましょう。

情報セキュリティ10大脅威

出典元:IPA独立行政法人情報処理推進機構情報セキュリティ10大脅威2020

組織編順位

1位(前年1位)標的型攻撃による機密情報の窃取

2位(前年5位)内部不正による情報漏えい

3位(前年2位)ビジネスメール詐欺による金銭被害

4位(前年4位)サプライチェーンの弱点を悪用した攻撃

5位(前年3位)ランサムウェアによる被害

6位(前年16位)予期せぬIT基盤の障害に伴う業務停止

7位(前年10位)不注意による情報漏えい※規則は遵守

8位(前年7位)インターネット上のサービスからの個人情報の窃取

9位(前年8位)IoT機器の不正利用

10位(前年6位)サービス妨害攻撃によるサービスの停止

組織編の特徴

組織編の特徴

「標的型攻撃」が前年度に引き続き、1位となっています。特定の企業・団体・組織をターゲットに絞り、目的の機密情報を盗み出すために徹底的な下調べをして、巧妙な手口で攻撃を仕掛けます。一般的にはメールを介したマルウェア感染から、情報漏洩が発生するケースが多いようです。

情報漏洩事故の大半を占めるといわれている原因が、人的要因です。2位に「内部不正」と7位に「不注意」の2項目がランクインしており、どちらも脅威とみなされる順位が前年より上がっています。悪意のある行動であるかどうかの違いはありますが、共通するのは、情報に対する組織の管理ミスが大きく関連しています。このような人的要因によるセキュリティ事故を防止するには、情報セキュリティに関する社員教育を徹底し、意識の向上を図ることが重要です。また、機密情報についての取り扱い方法の見直しを図り、 下記を徹底しましょう。

  • ルールの制定
  • アクセス(閲覧)制限
  • アクセスログの取得

6位の「予期せぬIT基盤の障害に伴う業務停止」は、前年に比べて順位が大きく上がりました。昨今、多くの企業や団体が、クラウドでの情報処理を活用しています。そのため、大規模な障害が発生した場合、長時間にわたって情報機器の操作が出来ないなど、影響が広範囲に及ぶケースが増加しています。常に障害が起こることを想定し、最短でのシステム復旧や、業務を滞りなく継続できるための対策、定期的なフローの見直しを行うことが大切です。

9位の「IoT機器の不正利用」は、前年に比べて順位が下がっています。しかし、IoT機器は世間一般に普及傾向にあり、今後さらに広がることが予想されます。セキュリティ対策が不十分のままIoT機器を使用していると、知らぬ間にウィルス感染させられ、利用中のネットワークやサービスが被害を受ける、という手口が確認されています。便利なツールを安全に使用できるよう、どのような脅威が潜んでいるのかを認識し、強度の高いセキュリティ対策をすることが必要です。

他にも、なりすましや乗っ取り、不正アクセスなどセキュリティの脆弱性をつく手口が、前年と大きく順位を変えることなく各種ランクインしています。詐欺メールの細工は年々巧妙化し、本物と見分けがつかないクオリティになっています。そのため最近では、大手企業でも被害に合う事例が見受けられます。また、大きな組織を攻撃するため、ターゲットの関連会社や業務委託先までもが入念に調べ上げられた上で狙われる場合もあります。アカウントが乗っ取られた上、その権限の返還や復旧を引き換えに金銭を要求されるケース、踏み台として悪用されるケースなど様々です。いずれにしても、情報の窃取・漏洩のみならず、金銭的な損害が出るなど、二次被害へと発展する事例は少なくありません。

また、企業・団体で発生するセキュリティインシデントは大規模化しやすいため、万が一の場合、社会的信用の失墜と同時に様々な損害が膨れ上がることにより、事業存続の危機に陥ります。日々変化する情報社会の中で、機密情報を守り安全に業務を進めていくため、定期的に情報セキュリティを見直し、改善していくことが求められています。

個人編順位

1位(初ランクイン)スマホ決済の不正利用

2位(前年2位)フィッシングによる個人情報の詐取

3位(前年1位)クレジットカード情報の不正利用

4位(前年7位)インターネットバンキングの不正利用

5位(前年4位)メールやSMS等を使った脅迫・詐欺の手口による金銭要求

6位(前年3位)不正アプリによるスマートフォン利用者への被害

7位(前年5位)ネット上の誹謗・中傷・デマ

8位(前年8位)インターネット上のサービスへの不正ログイン

9位(前年6位)偽警告によるインターネット詐欺

10位(前年12位)インターネット上のサービスからの個人情報の窃取

個人編の特徴

個人編の特徴

1位の「スマホ決済の不正利用」が初ランクインしたのは、2019年10月1日〜2020年6月末の「キャッシュレス・消費者還元事業」によって、スマートフォンのアプリケーションなどを利用する、キャッシュレス決済サービスの普及が影響していると考えられます。その利便性により、幅広い年齢層に利用されるサービスですが、セキュリティ対策が不十分のまま使用することにより、第三者からの不正ログイン・なりすましによる不正利用といった被害につながっているのが現状です。

3位の「クレジットカード情報の不正利用」は、前年1位から順位が下がっています。しかし、キャッシュレス決済の普及に関連して、クレジットカードの利用機会は増加傾向にあります。スマホ決済の登場で、クレジットカードは様々なデバイスとリンクし、利用範囲もさらに拡大しました。クレジットカード情報は以前にも増して狙われやすくなり、攻撃者の手口も巧妙化しています。スマホ決済・クレジットカード決済、いずれの場合であっても利用者は利便性だけを追求するのではなく「直接金銭的な被害が出やすいサービスを利用している」という自覚を忘れず、セキュリティ対策の見直しを図る必要があります。

2位の「フィッシングによる個人情報の詐取」は、パソコンや携帯電話でメールを受け取っている誰もが被害にあう可能性のある脅威です。前年に続いて上位にランクインしており、一般的な認知度も高く、様々な場面で注意喚起されている手口なのですが、無くなる傾向にありません。攻撃者は実在する有名企業や団体を装ったメールで、言葉巧みにフィッシングサイトへ誘導して個人情報を窃取します。中には本物とそっくりに作り込まれたメールや、メールを開封しただけでウィルスに感染し、情報が抜き取られるという危険な手法まで存在するので、受信したメールの取り扱いには注意が必要です。

そして、4位の「インターネットバンキングの不正利用」は、フィッシング詐欺やウィルス感染によって口座のログイン情報が第三者に渡り、金銭的な被害へと発展するケースが大半です。他人のログイン情報を窃取した犯人は、本人になりすまして不正送金などを行います。フィッシング詐欺の被害はここ数年減少傾向にありましたが、2019年9月頃から再び増加しました。被害を食い止め金銭的損害へ発展させないためには、個人情報の管理方法が重要になります。記憶しやすい簡易的なパスワードを、複数のアカウントで使い回している人は特に要注意です。

8位の「インターネット上のサービスへの不正ログイン」は、同じIDやパスワードを使いまわす利用者が主に標的とされています。何らかの手口によって窃取された個人情報は、日常的に利用しているあらゆるサービス・アカウントへも流用される可能性があると認識し、認証情報の見直しや二段階認証を導入して、認証方法自体の強化により被害を食い止めましょう。

個人編で特徴的なのは、 嘘のメッセージで不安をあおり金銭を騙し取る、不正アプリのインストールから個人情報を窃取する…など、出元や内容が不確かであっても騙される人が多いという点です。脅迫文や警告で心情を揺さぶられても焦らず、一旦落ち着いて発信元をしっかり確認しましょう。また、安全性を確保するためにも、アプリは必ずGoogle PlayやApp Storeといった正規のルートを介してダウンロードすることをおすすめします。

このように、「個人情報は常に狙われている」という意識をもって生活することが非常に重要です。日々、便利なツールやサービスが登場し普及していきますが、個人情報との連携を避けられないものも多く、一人が複数のアカウントを同時に利用する場合がほとんどです。被害が一つ発生すると、他のサービスアカウントも狙われて被害が拡大したり、本人のみならず、SNSや使用端末へ登録されている家族・友人などをも巻き込む可能性があります。被害を未然に防ぐためには、セキュリティの脆弱性をなくすことがポイントとなりますので、 下記のような基本的な点を見直してみてはいかがでしょうか。

  • IDやパスワードを使い回さない
  • 難しいパスワードを作成する
  • 使用していないサービスやアプリなどは退会、削除する

情報セキュリティの脅威によるインシデント事例

情報セキュリティの脅威によるインシデント事例

標的型攻撃による機密情報窃取の事例

なりすましメールによってマルウェアに感染し、企業の重要な顧客情報を盗み取られた事例です。

某企業の一部社員宛に、マルウェアが仕込まれた業務連絡を装うなりすましメールが送信され、添付ファイルを開いた社員のPCがウィルスに感染しました。攻撃者は感染したPCを操作することが可能となり、社内のネットワークを経由して、重要な顧客情報を探ります。攻撃者は、最も重要な情報へアクセス可能な人物が持つ、IDとパスワードへ辿り着きそれらを窃取。顧客管理システムへ侵入し、すべての顧客情報を攻撃者本人のPCへ転送したのです。盗まれた膨大な数の顧客情報が、その後悪用されたことは言うまでもありません。

この事例は、機密性・真正性・責任追及性の部分の管理が不十分であったと言えるでしょう。マルウェア感染が起こってしまったとしても、不正ログインが行われた段階で気付けていれば、顧客情報の流出は免れた可能性があります。

スマホ決済の不正利用の事例

スマホ決済の不正利用の事例
利用者提示型(ストアスキャン方式)決済の不正利用

スマートフォンのキャッシュレス決済アプリを使って買い物をする際、会計時に顧客側が提示する決済用QRコードを、犯人が何らかの方法で盗撮し不正利用へ発展するケースが多く見られます。

この事例は、機密性・完全性・真正性の部分が不十分であるといえるでしょう。

利用者提示型(ストアスキャン方式)決済を利用する際は、盗撮を防ぐためにスマホ画面用の覗き見防止フィルムを活用したり、決済画面が周囲の視線から死角となるように手をかざすなど、防犯意識を高めて利用することが大切です。

店舗提示型(ユーザースキャン方式)決済の不正利用

QRコード決済にはもう一つ、店頭に表示してあるQRコードを顧客側が読み取って支払う方法があります。これには「ステッカー型詐欺」のリスクがあるため注意が必要です。犯人が偽のQRコードを作成してステッカーなどに印刷し、正しいQRコードの上に貼る手口が多く発生しています。店側が気付かなければ、決済の度に売上金が犯人の元へ渡ってしまうので、不正利用防止のためにも定期的にQRコードをチェックする機会を作り、QRコードを慎重に管理しましょう。

情報セキュリティ対策

情報セキュリティ対策

企業としての情報セキュリティポリシー

所属している企業・団体の情報セキュリティポリシーの内容を知っていますか?

情報セキュリティポリシーとは、情報セキュリティ対策における方針・指針です。機密情報や顧客情報など、守るべき内容は企業や団体によって大きく異なります。そのため、各々に「適した情報セキュリティポリシーとは何か?」を模索し、具体的な内容を示しながら作成する必要があります。

検討すべき内容の一例

  • 守るべき情報(機密情報、顧客情報…etc.)
  • 想定される脅威
  • 脅威から情報資産をどう守るのか?
  • セキュリティ対策を実行する際の体制
  • セキュリティ対策の運用方法・運用規定
  • セキュリティ対策の基本方針
  • セキュリティインシデントが発生した場合のフロー
  • 情報セキュリティの7要素を満たしているか?

せっかく情報セキュリティポリシーを作成しても、内容を把握している人が情報セキュリティ担当者のみでは、全く意味がありません。大切な情報を共有している全ての人が、情報セキュリティポリシーの内容を理解することで、組織全体のセキュリティ対策への意識を底上げすることにつながります。

企業としての情報セキュリティマネジメント

企業としての情報セキュリティマネジメント

情報セキュリティポリシーが完成したら、それを中心に企業・団体として組織的・体系的に情報セキュリティを確保するため取り組んでいきましょう。その取り組みが、情報セキュリティマネジメントです。

情報セキュリティポリシーは組織の実態に沿った内容になっているのか?実際に運用しながら確認する必要があります。また、これは一度完成すればずっと使い続けられるものではありません。セキュリティの脅威も有効なセキュリティ対策も、組織や社会の状況を含め変化し続けるので、定期的に内容を見直し、適切な内容へ繰り返し書き換えていく必要があります。

内容の見直し作業には、実施サイクル(PDCAサイクル)を活用し、より適切な内容へ作り上げることをおすすめします。

PDCA実施サイクル

①計画(Plan)
情報セキュリティポリシーを作成する。

②導入・運用(Do)
情報を共有している人全てに情報セキュリティポリシーの内容を周知し、その範囲内で業務を行う。

③点検・評価(Check)
現場で情報セキュリティポリシーが守られているか、また、導入後の状況・問題点などを踏まえて、内容をチェックする。

④見直し・改善(Act)
点検・評価を参考に、情報セキュリティポリシーの見直し・改善を行う。

情報セキュリティの認証制度「ISMS認証」

企業や団体として、どのように情報セキュリティ対策を行っていくのかを検討し、体系化することはとても大切なことですが、それは決して簡単な作業ではありません。指標の一つとしてISMS( Information Security Management System )認証のガイドラインは、整備の参考になるでしょう。

ISMS認証というのは、日本情報経済社会推進協会(JIPDEC)が認定する第三者機関へ申請を行い、審査で必要事項を満たしていれば、ISO/IEC27001による国際規格の認証を受けられ、情報セキュリティを適切に取り扱う組織として ISMSマークの使用を許される、という制度です。「情報セキュリティマネジメントシステム」とも呼ばれています。

ISMS認証を取得することで、想定されるメリットの一例
  • 情報セキュリティの管理がしやすくなる
  • 情報セキュリティ強化につながる
  • 社員の情報教育が浸透しやすくなる
  • 取引先や顧客へ安全性を証明できる
  • 対外交渉の際、有利に働く場合がある

企業・団体・組織として「情報管理が適切に行われているか」という社会的需要は年々高まっていることもあり、昨今ではIT企業の場合、認証取得は常識という傾向にありますし、他業種でも取得を目指すことは珍しくありません。

ISMS認証取得までの流れ

①取得範囲を定める
全体での取得のみならず、部分的(部署・支店ごと等)な申請が可能。

②基本方針の決定
何に重きを置いたセキュリティ対策を行うのか、方向性を決める。

③情報資産の洗い出し
・洗い出した情報資産にはどのようなリスクが潜んでいるのか?
・そのリスクにはどんな損害を生む可能性があるのか?
・どういった管理方法があるのか?

④文書作成
運用・審査に必要とされる内容をまとめる。

⑤教育
運用段階へ移行するため、①~④の内容をふまえて情報を共有するすべての人(社員・職員・委託業務先…など)へ向けた教育を行う機会を設け、ISMSの理解を深める。

⑥内部監査
企業・団体内で定められた担当、または外部への依頼によって内部監査が行われる。監査では、規定を満たす運用が出来ているかを確認し、必要な部分があれば改善する。

⑦マネジメントレビュー
審査に臨む最終段階として、運用してきた結果を踏まえ、運営陣が改善策などを検討する。

⑧第一段階審査
文書審査。マニュアル・手順書などが国際規格が定める要求事項に適しているかの審査。

⑨第二段階審査
現地審査。認証審査員による運用状況の確認。不備がある場合、是正の対応が完了することで審査終了。

⑩認証
認証書が手元に届く。

ISMS認証は3年ごとの更新です。審査を通り続けるためには日々の運用が大切ですので、重要な情報資産を守るため、安全な情報セキュリティの環境維持に努めていきましょう。

プライバシーマーク(Pマーク)とISMS認証の違い

ISMS認証と似ている認証制度に、プライバシーマーク(Pマーク)があります。一見良く似ているので混同されがちですが、これらは大きな違いがあります。

項目 ISMS Pマーク
規格 国際標準規格 ISO/IEC27001
日本工業規格 JISQ27001
日本工業規格 JISQ15001
保護範囲の対象 個人情報も含めた情報資産全般 個人情報
取得範囲 一部署・支店・プロジェクト単位など、認証の取得範囲に制限なし 企業・団体全体(法人単位)
更新 3年毎 ※毎年継続審査あり 2年毎

上記以外にも違いは様々ですが、おおまかな項目ごとの違いから、主な事業内容が「B to B」の場合はISMS、「B to C」主体の場合プライバシーマークを選択する、というのが一般的な検討材料になるようです。

規格・対象範囲などが限定されるプライバシーマークに比べると、ISMSはあらゆる情報の管理に対応できる認証制度といえるのではないでしょうか。

二段階認証などの情報セキュリティ対策

二段階認証などの情報セキュリティ対策

ISMS認証の取得など、第三者認証が受けられる制度というのは、対内外どちらにとってもメリットのある情報セキュリティ対策であると考えられます。しかし、認証を受けられるまでの道のりは、時間も経費も要します。「これから認証取得を検討する」という場合でも、早急にできる情報セキュリティ対策も必要になるでしょう。そこでおすすめなのが「二段階認証」です。

二段階認証は、利用しているアカウントやサービスへログインする際の認証方法を二段階にすることです。通常はID・パスワードで一段階目の認証を行い、二段階目の認証は一段階目とは別の認証方法(指紋やセキュリティコードなど)を利用することで、セキュリティ強度を高められるとされているのです。

情報セキュリティの脅威はごく身近に存在しており、常に脆弱性の隙を狙われ続けています。10大脅威のランキング部分でもご紹介した通り、様々な脅威から大切な情報を守るためには、認証強化がキーポイントです。すぐに取り組める対策の一つとして、組織または個人として利用しているアカウントの整理を行い、一つひとつの認証方法について見直すことをおすすめします。

なお、二段階認証についてはこちらの「二段階認証とは?|メリット、導入方法、二要素認証との違い」でより詳しく解説しています。

企業・団体における情報教育について

企業・団体として、情報セキュリティの脅威から情報資産を守るためには、情報教育を徹底することが必要不可欠です。ISMSのような第三者認証を取得していない場合であっても、情報資産はどこの組織にも少なからず存在するはずです。管理者は守るべき情報を整理し、管理方法の整備やルール制定が必要です。そして、情報を扱うすべての人に対して定期的な教育の時間を確保し、セキュリティ対策について意識付けを行うことが、組織としてのセキュリティ強度を底上げすることにつながります。関連会社・業務委託先がある場合は、情報教育の内容やセキュリティ対策に関する情報を、会社間で共有・周知しやすい環境へ整備することが大切です。

情報セキュリティ関連の資格試験について

情報セキュリティ関連の資格試験について

情報社会で生きる現代人にとって、情報セキュリティはもはや、切っても切り離せないものとなりました。大切な情報資産を守るための対策の一環として、様々な情報セキュリティ関連の資格試験が存在します。少し前までは、IT関連の職種の人、またはそういった職種を目指す人のための資格というイメージでしたが、どんな職種であっても情報セキュリティ対策が必要とされるようになった昨今は、業種の垣根を越えて取得する人が増えているのです。ここでは、いくつかの資格を簡単に紹介します。

情報処理安全確保支援士 ※旧:情報セキュリティスペシャリスト(SC)

国家資格。企業・団体の安全な情報システムを確保するため、企画・設計・開発・運用を支援し、セキュリティ対策の調査・分析を通じて、評価をもとに必要な指導・助言を行う人材の資格。

情報セキュリティマネジメント試験 ※旧:情報セキュリティアドミニストレータ(SU)

国家資格。情報セキュリティマネジメントの計画・運用を行い、企業・団体の情報セキュリティ確保に貢献するため、評価・改善を行う。継続的に情報セキュリティの脅威から組織を守るための基本的な知識・技能を認定する試験。

情報セキュリティ管理士試験

民間資格。情報セキュリティについての管理全般と、実践に活かせる知識をもつ人材育成を目指し、その知識に対する理解度および習熟度をはかり、評価するための資格。

個人情報保護士認定試験

民間資格。個人情報保護法を正しく解釈し、個人情報を安全に管理することを体系的に理解したうえで、実務においてその知識を活用した管理・運営を行うことができる人材を認定する資格。

SPREAD情報セキュリティサポーター

民間資格。 情報セキュリティに関してサポートを必要としている人の疑問・不安などを聞き、インターネットを安心・安全な環境で使用できるようアドバイスできる人材。

SPREAD情報セキュリティマイスター

民間資格の「SPREAD情報セキュリティサポーター」の上位資格。

CompTIA Security+

民間資格(ベンダーニュートラル)。情報セキュリティ確保に必要なシステムの設定、脅威の分析と適切な緩和方法や、関連ポリシーを正しく理解した上で、情報セキュリティの3要素を維持しながら運用するための知識・技術を証明する試験となっており、以下の対象条件があります。

  • 情報セキュリティ関連の業務経験2年以上
  • 情報セキュリティの技術的側面を日常的に扱っている
  • 出題範囲を含めたセキュリティに関する幅広い知識がある
情報セキュリティ監査人認定講習会

内部監査の重要性を理解し、実施方法や運用プロセスに関するマネジメント方法などについて理解を促す講習会。 

公認情報セキュリティマネージャー(CISM)

民間資格。情報セキュリティ管理経験者を対象とする、 ISACA® 認定の国際的資格。企業・団体の情報セキュリティの管理・運営を行うプロフェッショナルな知識・経験を証明し、さらなる資質向上の証となっており、「情報セキュリティ管理に関する5年以上の実務経験」の対象条件があります。

シスコ技術者認定 

民間資格(ベンダー資格)で、エンジニアを対象とするシスコシステムズ社による国際資格の1つ。世界的に認知度が高く、レベル別の資格(エントリー ・アソシエイト・プロフェッショナル・エキスパート・アーキテクトの5つの試験レベル)がある。初心者からでも段階的な資格取得が可能で、レベルに合った知識を獲得することができる。

コミュニケーションAPIサービス
「Vonage」のご紹介

vonagepoe_primary

Vonageは、電話やSMS・ビデオ・チャット・SNSなど、さまざまなコミュニケーションチャネルをWeb・モバイルアプリケーションやビジネスへ組み込めるクラウドAPIサービスです。自動電話発信や電話転送、対話型IVR、自動SMS通知や二要素認証など、多岐にわたるサービスを実現できます。

コミュニケーションに関わる機能を自社で1から開発するのには多大な工数がかかります。通信の暗号化といったセキュリティ対策など考慮せねばならない点も多く、そのために実装を諦めてしまう企業も少なくありません。

しかしVonage APIと連携すれば、それらの工数をすべてVonage側が担ってくれます。お客様側でのインフラ開発はもちろん、ネットワークの構築・維持コストも必要ありません。ただ数行のコードを書き加えるだけで、自社サービスをマルチチャネル化できるのです。

Vonage Verify

Vonage Verifyはワンタイムパスワードの生成から送付、正誤判定までをワンストップで提供している二要素認証(2FA)APIです。Vonage Verifyを利用することで、自社で1から開発することなく、二要素認証のシステムを自社サービスに導入できます。

Vonage Verify ではマルチチャネルな配信ロジックを組むことも可能で、国内外を問わず高いワンタイムパスワード到達率を誇ります。また認証成功時に料金が発生する仕組みのため、不要なコストがかかりません。

自社で二要素認証のシステムを開発する場合、インフラプラットフォームの費用やPINコードの管理が必要になったり、不正アクセスの防止策や失敗試行の検出方法を考慮したりと、大幅な導入・運用コストがかかります。

しかし Vonage Verifyなら、認証成功率が一定の値を下回ったりや認証回数の閾値を超えたりした場合、パスワード送付を自動で停止します。不正行為を防止する仕組みがあらかじめ備わっているため、認証成功時の利用料金だけでセキュリティ対策を実施できるのです。

まとめ

今回の記事では「情報セキュリティ」とは何かを紐解き、安全なセキュリティ環境の維持に欠かせない重要な3要素、新たに加わった4要素についてご紹介しました。また、私たちの身近に存在する様々な情報セキュリティの脅威から、大切な情報資産を守るために必要な対策や、より強固なセキュリティ対策を目指すための認証制度・資格について知ることで、それぞれの環境に必要な情報セキュリティのカタチを考えるきっかけにしていただければと思います。

執筆者情報

KDDIウェブコミュニケーションズ
KDDIウェブコミュニケーションズ
KDDIウェブコミュニケーションズは、常に「開発者目線」を大切にしており、ブログ記事がお役に立てれば幸いでございます。


「多要素認証」の最新記事 Related post