公益・一般法人オンライン

Ⅰ　はじめに

中小規模の法人・組織においても業務を行う上で、パソコンやインターネットなどデジタルの活用は不可欠となってきている。一方で、それらを狙ったサイバー攻撃による情報漏えい等の被害報道が続いている。組織はデジタルの活用と併せて情報セキュリティの確保にも取り組んでいく必要がある。
本稿では、中小規模の法人・組織が情報セキュリティを確保するための基礎知識や具体的な進め方等について解説する。

Ⅱ　情報セキュリティの基礎知識

情報セキュリティの確保についてシンプルに考えると、どのような情報を、どのような脅威から、どのようにして守るのかを考えることになる。ここでは、情報やそれを脅かすリスクについて説明する。

1　情報資産を脅かす要因

事業活動を行っていると日常で様々な「情報」を扱うことになる。例えば、「取引先リスト」や「組織独自の技術情報」、「取引先から秘密として提供された情報」など、事業に必要で組織にとって価値のある情報や、「顧客や従業員の個人情報」といった管理責任を伴う情報が挙げられる。これらは、組織の資産となる情報であることから「情報資産」とも呼ばれる。
情報資産を脅かす要因（脅威）は、大別すると「外部要因」と「内部要因」がある。例えば、外部要因としては、「コンピュータウイルス（以下、ウイルス）」や「不正アクセス」などが挙げられ、内部要因としては「内部不正」や「人為的ミス」などがある。
（独法）情報処理推進機構（IPA）では、情報セキュリティに関する脅威のトレンド「情報セキュリティ10大脅威」を毎年公表している【表1】。自組織を取り巻く脅威を把握するうえで参考にして欲しい。

 【表1：情報セキュリティ