情報セキュリティとは?具体的な対策や身近な例を解説
情報セキュリティとは、企業が持つ個人情報や機密情報といった情報資産を外部からの攻撃や内部不正などから守り、情報資産の機密性、完全性、可用性を維持することです。情報セキュリティ対策を行うことで、組織の社会的な信頼を得ることができます。
- 情報セキュリティの定義
- 情報セキュリティの脅威
- 情報セキュリティの具体的な対策
情報セキュリティとは
情報セキュリティとは、企業や組織の大切な情報を守ることです。具体的には、「個人情報」や「機密情報」などの情報資産を、外部からのハッキングや従業員による無許可の持ち出しなどから守ることを指します。
また、情報セキュリティとITセキュリティは異なる概念です。ITセキュリティは、「ITに関連するシステムやデータ」に限定されたセキュリティ対策を指し、サイバー攻撃やウイルス感染からITシステムやデジタルデータを保護することがその役割です。
情報セキュリティの3要素とは
情報セキュリティでは、大切な情報資産を守るために「機密性」「完全性」「可用性」の状態を保つべきとされており、この3つをまとめて「情報セキュリティの3要素」といいます。それぞれの頭文字をとってCIAとも呼ばれます。
情報セキュリティの3要素と、規格やガイドラインによる定義は以下の通りです。
| 要素 | 内容 |
|---|---|
| 機密性(Confidentiality) | 認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性 |
| 完全性(Integrity) | 正確さ及び完全さの特性 |
| 可用性(Availability) | 認可されたエンティティ(利用者など)が要求したときに、アクセス及び使用が可能である特性 |
情報セキュリティの3要素は、国際規格であるISO/IEC 27000をもとに日本産業規格(JIS)として制定された「JIS Q 27000:2019」で定義されています。
以下で、機密性、完全性、可用性、それぞれについて詳しく見ていきましょう。
機密性(Confidentiality)
機密性とは、アクセスを許可された人だけが情報を使用したり、閲覧できたりすることを指します。情報の機密性を維持するためには、アクセス権限の管理、パスワードやIDの定期的な変更といった対策が必要でしょう。
身近な例としては、情報漏えいや不正アクセスを防ぐために、会社の中でも特定の権限を持った従業員のみが、社内の情報へアクセスできるといった状況があります。
完全性(Integrity)
完全性とは、保有する情報の改ざんや破損がなく、正確で完全な状態であることを指します。完全性を維持するには、機密性を維持したうえで、アクセス履歴を確認したり、変更履歴を残しておいたりといった対策が有効でしょう。
具体的には、データの信頼性と正確性を維持するために、万が一情報が改ざんされてもすぐに発見できる体制、例えば会社内にある個人情報や顧客情報のアクセス者を追跡できるようにしておくことが挙げられます。
可用性(Availability)
可用性とは、いつでも即座に情報を使えることを指します。可用性を維持するための対策として、定期的なデータのバックアップや停電時の電源確保などがおすすめです。
特に企業においては、アクセスを許可された従業員が、必要な情報を必要なときに確認できる状態になっていることが可用性とされます。
情報セキュリティの3要素はそれぞれが相互補完的な役割を担っているため、どの要素も欠かさずに維持していくことが重要です。
情報セキュリティの重要性
企業において情報セキュリティは、経済的損失を防ぎ、社会からの信頼を維持するうえで重要です。情報セキュリティ対策を怠り、機密情報や個人情報が漏えいすると、社会的な信頼が低下し、売り上げが減ったり、損害賠償請求を受けたりする恐れがあるでしょう。
逆に、情報セキュリティをしっかり保っている企業は、社会的な信頼を得やすく、ブランド力や売り上げの向上が期待できます。
NTT西日本では、法人さまが安心して事業を継続できるよう、サイバー攻撃・機密漏えい対策、リモート環境整備といった多岐にわたる情報セキュリティソリューションを提供しています。企業の情報システム担当の方に向けて、業務の負担軽減やIT環境の改善、向上につながるサービスがあります。詳しくは以下をご覧ください。
情報セキュリティの10大脅威
情報セキュリティの10大脅威とは、情報処理推進機構(IPA)が情報へ危害が及ぶリスクのある要因をランキング形式で10個選定したものです。このランキングは毎年発表されており、社会的な影響度が強い事象のなかから、情報セキュリティに精通する専門家たちが慎重に選定しています。以下で、2025年の10大脅威について見ていきましょう。
| 順位 | 内容(組織向け) |
|---|---|
| 1 | ランサム攻撃による被害 |
| 2 | サプライチェーンや委託先を狙った攻撃 |
| 3 | システムの脆弱性を突いた攻撃 |
| 4 | 内部不正による情報漏えい等 |
| 5 | 機密情報等を狙った標的型攻撃 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 |
| 7 | 地政学的リスクに起因するサイバー攻撃 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) |
| 9 | ビジネスメール詐欺 |
| 10 | 不注意による情報漏えい等 |
2025年においては、ランサム攻撃による被害や、システムの脆弱性を突いた攻撃など、サイバー攻撃を中心に外部からの脅威が上位を占めていますが、内部不正や不注意による情報漏えいなど、組織内部からの脅威もランクインしています。
そのため、システムのアップデートやUTM等のセキュリティシステムの導入など、外部への対策を進めるとともに、アクセス権限の管理や二段階認証といった内部対策を進めることが重要になるでしょう。
また、2025年版で初選出されたのが地政学的リスクに起因するサイバー攻撃です。このサイバー攻撃では、外交や安全保障上の対立をきっかけに、国家にとって重要な情報を持つ組織や、攻撃に成功した際の社会的なインパクトが大きい組織、重要インフラ企業などが狙われます。
実例として、2025年上半期では、大手保険会社や人気テーマパークなどがランサムウェア攻撃を受けて個人情報が漏えいした可能性があると発表しています。また、PRテック企業や専門小売店チェーンでも不正アクセスによる情報漏えいがありました。
2026年においても同様の情報セキュリティの脅威がランクインすることが想定されます。
情報セキュリティで気をつけることと具体的な対策
情報セキュリティ対策では、従業員一人ひとりの意識付けや、日常的なアクションの改善・改革、会社としてのセキュリティ強化などから、くまなくアプローチしていくことが大切です。以下では、情報セキュリティ対策を管理的対策、物理的対策、技術的対策の3つに大きく分類し、それぞれ詳しく解説していきます。
管理的対策
情報セキュリティ対策における管理的対策とは、組織や個人に対して情報セキュリティの意識を高めるための取り組みを指します。具体的には、以下のような対策が考えられます。
- 情報セキュリティに関する勉強会、意識調査を行う
- セキュリティポリシーを策定する
- 監査役を設置する
- ISMS認証を取得する※
管理的対策によって、個々人の情報セキュリティ意識が高まることで、結果として組織全体の情報セキュリティが強化されます。これにより、顧客や取引先からの信頼性が増し、競合他社との差別化につながることもあります。
- ※ISMS認証とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が定めた、セキュリティマネジメントの認証制度です。規格名称で「ISO27001」と呼ばれることもあります。
物理的対策
物理的対策とは、物理的な情報の漏えいを防ぐことを指します。考えられるリスクとしては、捨てたごみから情報を抜かれる、社内に不法侵入される、パソコンを公共の場で盗み見られるなどです。
このようなリスクを回避するためには、個人情報が記載された用紙を破棄する際はシュレッダーにかける、防犯カメラを設置する、公共の場で仕事をする際は盗み見防止のフィルムを利用するといった対策が有効です。
技術的対策
技術的対策とは、外部のサイバー攻撃から情報を守ることです。サイバーセキュリティ対策といわれることもあり、情報セキュリティ対策のなかでは最も重要です。具体的には、以下の対策が考えられます。
- UTM等のセキュリティシステムやセキュリティ対策ソフトを導入する
- 二段階認証システムを導入する
- ソフトウェアやアプリケーションを定期的にアップデートする
- ソフトウェアの脆弱性を診断する
- クラウド化する
クラウド化とは、自社で管理していたサーバーやシステムから、インターネット上で利用できる外部のクラウドサービスにシステムやデータを移行することです。クラウドサービスを提供している企業は、システムやデータ管理を専門にしており、セキュリティ対策に関して豊富な知識とノウハウを持っています。そのため、自社で管理するよりも高いセキュリティレベルで情報を管理することが可能です。
NTT西日本では、高度なセキュリティ機能のもとで社内データを管理できるクラウドサービス「おまかせクラウドストレージ」を提供しています。「おまかせクラウドストレージ」を使うと、社外の取引先とも簡単にファイルの共有やデータ移行することができます。また、このクラウドでは多要素認証または特定の回線からのみアクセスを許可する回線認証※を使用しているため、情報の機密性が高く、安心してご利用いただけます。
クラウド化はセキュリティ対策に有効な手段ですが、クラウドサービスのほかにもさまざまな情報セキュリティに関するサービスを契約していると、管理が煩雑になることもあるでしょう。NTT西日本では、当社でご契約いただいている複数のサービス情報をまとめて管理できる法人のご契約者向け無料ポータルサイト「ビジネスマイページ」を提供しています。ビジネスマイページは、複数人で管理が可能なため、「回線契約の管理情報が社内で散らばりがち」であったり、「異動や退社時の引き継ぎに手間がかかる」といったことでお困りの法人さまをサポートします。
- ※ 回線認証:IPv6通信への対応が必要です。
よくある質問
ここからは、情報セキュリティにまつわるよくある質問に答えていきます。
情報セキュリティ基本方針とは?
情報セキュリティ基本方針とは、企業をはじめとする組織が情報セキュリティをどのように認識し、どのように対策するかの方針を定め、外部に公開する文書のことです。情報セキュリティ基本方針は機密性、完全性、可用性という情報セキュリティの3要素を維持することを目的に定められます。
情報セキュリティ基本方針を定めることは、組織全体の意識を統一するだけでなく、外部への信頼性を高めることにもつながるため、誰が見ても分かりやすい簡潔さや、誰にでも受け入れられやすい柔軟性を意識して定めることが必要です。
情報セキュリティに関する資格でおすすめは?
情報セキュリティ資格のなかで取得がおすすめなのは、グローバル三大資格といわれるCISSP、CISA、GIACの3つです。
加えて、情報処理安全確保支援士や情報セキュリティマネジメント試験、CISMといった資格も情報セキュリティに関する知識を証明する資格としておすすめです。情報セキュリティの資格は、大きく国内資格とグローバルな資格に分けられます。自身の目的や用途に合わせて、取得を目指す資格を考えるとよいでしょう。
情報セキュリティはNTT西日本におまかせ
情報セキュリティには、情報セキュリティの10大脅威に代表されるようにさまざまな脅威があり、それらに対応するために幅広く対策を講じる必要があります。
しかし、これらの対策をすべて組織内で完結させようとすると、情報システム担当者の負担が増えてしまいます。また、情報システム担当者に専門知識や経験がない場合は、セキュリティの安全性に問題が生じるリスクがあります。効率的かつ安全に情報セキュリティ対策を行うためには、アウトソーシングサービスのご利用も有効です。
NTT西日本では、機器・監視・サポートまで必要なセキュリティ対策をまとめた安心のパッケージ「セキュリティおまかせプラン」や、稼働のかかる情報システム業務の軽減をご支援する「情シスおまかせコンシェルジュ」を提供しています。
「情シスおまかせコンシェルジュ」ではセキュリティリスクの視える化や社内PCなどのIT資産の一括管理など、セキュリティリスクの予防に加え、稼働のかかる社内問い合わせに対応する「ヘルプデスク」機能などが備わっており、情報システム業務のひっ迫にお悩みを抱える企業に対応しています。また、これらの管理機能は、先に紹介した法人のご契約者向け「ビジネスマイページ」でご利用いただけます。「ビジネスマイページ」は、NTT西日本とのご契約がある法人企業向けポータルサイトであり、ご契約情報の一元管理などの基本機能とあわせ、ご紹介したセキュリティ対策の管理までまとめて便利にご活用いただけます。お気軽にお問い合わせください。