米国で4,000万という大量のクレジットカード情報が漏洩していたことが分かり、大きな社会問題になりました。情報の漏洩元は、複数のカード会社が共用している与信業務処理専門の企業です。この会社のコンピューターに蓄積されていた、クレジットカードを利用したユーザーのデータが流出したのです。情報漏洩が発生したのは2004年であり、このことに気が付いたのは、2005年4月に、あるクレジットカード会社の不正探知システムが異常を検出したのがきっかけだったということです。この間に、漏洩したカード所有者名、カード番号、および有効期限の情報を使った偽造カードが使われたのです。米国で発生したこの事件の被害は日本にも飛び火しました。この事件で、情報セキュリティが改めて大きな話題になり、企業などのセキュリティ・ポリシーの設定と厳密な運用が指摘されています。
ところが「情報セキュリティとは何か」というと、必ずしも明確ではありません。セキュリティ・ポリシーを決めるためには、対象とする情報セキュリティの範囲を規定する必要があります。2004年に電子情報通信学会が発行した「情報セキュリティハンドブック」では、「情報セキュリティとはさまざまな攻撃などの脅威から情報を守ることであり、そのための対策を情報セキュリティ対策という。あるいはこの対策を単に情報セキュリティということもある」と述べています。そして、守るべき情報の特性として、機密性(守秘性)、完全性(一貫性、整合性)、および可用性をあげています。また、「情報に対する脅威には、大別して、災害、故障、過失、不正行為がある。広義には、情報セキュリティはこれらの脅威に対する対策を指すことがある」と記述しています。
この記述からも、情報セキュリティ対策を考えるときの検討範囲が非常に広いことがわかります。企業や個人の情報セキュリティは、専門家あるいは担当者に任せきりにするのではなく、皆で考える問題なのです。
都丸敬介(2005.06.26)
スポンサーリンク