情報セキュリティを学ぶと「機密性／完全性／可用性」という3要素を教わりますが、直感的に何のことだか分かりません。

今回はIT初心者向けに「サイバーセキュリティ対策はこれが出来ているかまずはチェックしてほしい」とセミナーなどで伝えている3要素を解説します。

まずはこの３要素を全て行えているかチェックし、その後、組織それぞれの特性や事情からどこにお金を掛けて強化していくか検討することをお勧めします。
特に暗号化に関しては、盗聴や盗難された場合の有効な防御策になるので、３要素と同じくらい優先度を上げて検討してほしいと思います。

１．アクセス制限

情報にアクセスできる人を制限します。
ネットワーク経由だけでなく物理的なアクセスも考慮して最適化します。

主なアクセス制限の例

• 共有フォルダは特定ユーザーのみアクセス可能にする。
• ファイルの閲覧にパスワードをかける。
• ファイルの編集にパスワードをかける。
• 特定のURLにアクセスできないようにする。
• 新しいソフトはインストールできないようにする。
• 物理的に鍵をかけた場所に書類をしまう。

厳密なルールにすると結局守られず抜け穴を作る要因になるため、組織によって必要十分なアクセス制限を見極めることが重要です。

最も大事なのは情報セキュリティに対する職員の意識付けです。
マルウェアを呼び込んだり、重要情報の盗難・紛失は、職員のセキュリティに対する意識の低さが根底にあります。
アクセス制限による職員の行動自体に気を配り、セキュリティ意識が浸透しているかを定期的にチェックしましょう。

２．ログ保管

情報にアクセスした履歴を記録します。
記録しただけで満足せず、簡単に確認できるようにしておきます。

主なログ管理の例

• ファイルの閲覧した日時とユーザーを記録する。
• アクセスしたインターネットのURLを記録する。
• PCの起動時間とログインユーザーを記録する（ログインIDを分ける）。
• USBメモリの貸し出しは帳簿に記載する。
• 部屋の入退室を記録する。

紙帳簿に記入することは、職員に対するセキュリティに対する意識付けと一目で分かる一覧性から古典的ですがコストパフォーマンスがいいと思います。

またPCへのログインは全職員に別々のIDを割り当てることが理想ですが、様々な理由で共有アカウントIDを利用する場面もあると思います。
その場合は出勤簿や入退室履歴など別の手段で絞り込める状態であれば、全く問題ありません。

理想を追い求めて何もしないより、段階的にアップグレードしていくことの方が重要です。

３．バックアップ

情報を複製し安全な場所に保管します。
PCがランサムウェアに感染してしまったり、自然災害により機器自体が壊れてしまうことを想定して計画的に行います。

バックアップするときのポイント

• 保存する媒体は経年劣化しにくいHDDを選ぶ。USBメモリに保存するなら数年で交換する。
• 物理的に保存場所を分散させる（津波や火災で消失する可能性）。
• クラウドに保存するときはパスワードを掛けるか暗号化する（生で読み取れない状態）。
• 定期的にバックアップの状態を確かめる。

近年はクラウドストレージが安価に利用できるようになりました。
ですが、大手で働いている人も同じ人間ですので間違いを起こします。
外部のリソースもうまく活用して、大切な情報を守っていきましょう。