メインコンテンツに移動

ページトピック

情報セキュリティとは?

情報セキュリティは、デジタル形式であれ物理的形式であれ、すべての企業情報を保護するプロセスです。組織は、ブランドの評判、顧客の信頼、規制コンプライアンスを維持するために、業務や顧客に関連する情報を保護します。情報セキュリティは、すべての情報が適切な承認を受けた後にのみ閲覧、コピー、変更、または破棄されることを保証するのに役立つプロセス、ツール、およびテクノロジーの概要を示しています。

情報セキュリティはなぜ重要なのですか?

情報セキュリティは、個人データやビジネスシステムの完全性、可用性、機密性を確保することで組織をサポートします。情報セキュリティが重要である理由はいくつかあります。

事業継続性の実現

効果的な情報システムにより、予期しないセキュリティイベントが発生した場合でも、企業はデータやシステムへの中断のないアクセスを維持できます。事業継続計画には、さまざまなセキュリティソフトウェアの採用、イベント発生時に従うべきポリシーの作成、組織の保護に役立つ技術的保護手段の導入が含まれます。

顧客の信頼の構築

情報セキュリティは、予期しないセキュリティイベントが発生する可能性を減らし、企業が顧客に中断のないサービスを提供できるようにします。組織が一貫してガバナンスを遵守し、ベストプラクティスに従い、安全な開発プラクティスを実施してきた歴史がある組織は、ユーザーデータを真剣に受け止め、保護することを顧客に示しています。

セキュリティリスクの軽減

企業が事業を展開する業界によっては、考慮しなければならない潜在的なリスクがいくつかある場合があります。情報セキュリティは、リスクを管理および軽減するための技術的および手続き的統制の実施を可能にします。

組織は、予期しないセキュリティイベントが発生する可能性を減らし、企業のリスク管理能力を向上させる新しいセキュリティ管理テクノロジーを統合できます。

ブランドレピュテーションの保護

情報セキュリティは、サービスを確実に提供し、顧客のプライバシーを保護し、業務上の要求に応える能力を高めることで、ブランドの評判を守ります。不注意によるセキュリティイベントが発生すると、ブランドの評判が損なわれる可能性がありますが、効果的な情報セキュリティ対策を講じることで、このような事態が発生する可能性は低くなります。  

情報セキュリティの主な原則は?

すべての企業が従う情報セキュリティには、いくつかの重要な原則があります。

機密性

機密性は、許可を得た人だけがプライベートなビジネスデータにアクセスできるようにするのに役立ちます。この原則は、デジタルファイルのアクセス制御を実装できるだけでなく、権限のない人がオフィスにアクセスするのを防ぐことができるため、技術的にも物理的にも適用されます。機密保持は、暗号化の使用、転送中および保管中のデータの保護、およびすべての企業データの保護にも及びます。

完全性

完全性とは、企業内のライフサイクル全体にわたるデータの正確性、信頼性、一貫性を指します。この原則は、データが正確であり、所有者の知らないうちに改ざんされていないことを確認することによってデータを保護することを目的としています。情報システムにおけるデータインテグリティの強化には、デジタルデータ署名の組み込み、暗号ハッシュの使用、不変の台帳へのデータの保存、ライフサイクル全体にわたるデータの検証が必要です。

可用性

可用性により、権限のあるユーザーは、遅延や中断なしに、必要なデータに確実にアクセスできるようになります。この原則は、常にデータにアクセスできるようにバックアップと復旧の戦略を実装することを目的としています。さらに、可用性には、サードパーティによる障害からの保護、データセンターのストレージの状態の監視、およびデータアーキテクチャの耐障害性の設計が含まれます。

否認防止

否認防止は、データに関して取られたすべてのアクションを確実に追跡、監視、記録するのに役立ちます。情報セキュリティシステムに否認防止機能を組み込むことで、企業はあらゆるデータの裏に監査可能な証跡を残すことができます。ユーザーが情報を操作したり、情報を変更したり、アクセスしたり、移動や変更を承認したりするたびに、これらの要素はすべて不変の台帳に記録されます。

情報保証

情報保証とは、ミッションクリティカルな業務を確実にサポートすることにより、情報システムを保護することです。これは、ISO 27001 などのセキュリティフレームワークの評価と順守、新たなリスクの積極的な管理、セキュリティシステムの定期的なテスト、潜在的な脅威の継続的な監視など、より広範な原則です。 

情報セキュリティ管理システムとは?

情報セキュリティ管理システム (ISMS) は、組織がデータのライフサイクル全体にわたって情報セキュリティを管理する方法を定義します。このシステムは通常、人員、プロセス、およびテクノロジーがどのように機能して、企業内のすべての情報システムに包括的なセキュリティ制御を提供するかを定義します。

情報セキュリティの標準とフレームワークにはどのようなものがありますか?

国際標準とフレームワークは、コンプライアンスプログラムの一環として、組織の情報およびデータセキュリティに役立つ記述的かつ規範的なガイダンスを提供します。以下に、組織が従うことができる標準とフレームワークの例をいくつか示します。

ISO-27001

ISO-27001 は、「組織」、「人」、「物的」、「技術的セキュリティの向上」という 4 つの主要テーマを中心に展開しています。これらのカテゴリはそれぞれ、次のようなさまざまな方法でセキュリティを強化することを目的としています。

  • 「人」をテーマにした従業員向けのセキュリティトレーニングを実施。
  • 物理をテーマにしたオフィスへの厳格なアクセス制御ポリシーを導入。
  • テクノロジーテーマでは、保管中および転送中のデータの暗号化を実装。

それぞれがより高い水準の情報セキュリティに貢献します。

  • AWS は ISO/IEC 27001:2022 への準拠の認証を受けています。これは、情報セキュリティリスクを体系的に評価し、脅威と脆弱性の影響を考慮することを意味します。
  • 一連の総合的な情報セキュリティ統制や他の形式のリスク管理を設計および実装し、企業およびアーキテクチャーのセキュリティリスクに対処します。
  • 情報セキュリティ統制がニーズを継続的かつ確実に満たすために、包括的な管理プロセスを採用します。

PCI-DSS

PCI-DSS は、金融データの保管、送信、処理を含むあらゆるカード決済が安全な方法で行われるようにするためのもう 1 つの広く使用されている標準です。販売店、処理業者、取得者、発行者、サービスプロバイダーなど、カード所有者のデータ (CHD) や機密性の高い認証データ (SAD) を保存、処理、転送するエンティティは PCI-DSS 規格に基づいて認証される必要があります。

PCI DSS の現在のスコープに含まれている AWS サービスのリストを確認できます。

HIPAA/HITECH

HIPAA (医療保険の携行性と責任に関する法律) は、個人健康情報 (PHI) の保護、データの機密保持、および不正開示の防止に役立つ米国連邦法です。HIPAA は、「対象事業体」(健康情報を電子的に送信する健康保険、医療情報センター、医療提供者) とその取引先に適用されます。

現在の HIPAA の対象範囲にある AWS サービスのリストを確認できます。

FedRAMP

FedRAMP (Federal Risk and Authorization Management Program) は、連邦政府機関が使用するクラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視を標準化することを目的とした米国政府全体のプログラムです。

FedRAMP の現在のスコープに含まれている AWS サービスのリストを確認できます。

GDPR

GDPR (一般データ保護規則) は、EU 居住者のデータを保護する EU の法的枠組みです。これはグローバルスタンダードです。EU の顧客と何らかの方法で関わりたい企業はすべて GDPR を遵守しなければならないからです。GDPR は、データの最小化を促進し、データ収集の法的根拠を確保し、ユーザーにデータの削除を要求する権利を与えることを目的としています。

AWS のお客様は、すべての AWS サービスを利用して、GDPR に準拠しながら、お客様の AWS アカウントで AWS サービスにアップロードされた (GDPR で定義される) 個人データ (顧客データ) を処理できます。

FIPS 140-3

FIPS 140-3 は、連邦圏で活動するすべての米国機関が利用しなければならない暗号モジュールです。この規格は FedRAMP の一部であり、企業がさまざまな保護および予防セキュリティ対策を講じることを義務付けています。

AWS はサービスごとにさまざまな FIPS エンドポイントを提供しています。

情報セキュリティ技術にはどのようなものがありますか?

ワークロードとアプリケーションを保護するために連携して機能する情報セキュリティプログラムには、主にいくつかのカテゴリがあります。

データ保護

データ保護とは、機密情報、アカウント、およびワークロードを不正アクセスから保護するのに役立つあらゆるサービスを指します。中核となるデータ保護サービスには、転送中と保管中のデータの暗号化、鍵管理、機密データの回復が含まれます。

ネットワークとアプリケーションの保護

ネットワークとアプリケーションの保護テクノロジーは、企業がネットワークセキュリティコントロールポイントで展開するあらゆる戦略とポリシーに関係します。これらのテクノロジーは、受信トラフィックを識別してフィルタリングし、不正な接続がネットワークにアクセスするのを防ぐのに役立ちます。コアテクノロジーには、ネットワークのセキュリティを強化するファイアウォール、VPN、エンドポイント検出、その他のアプリケーションレベルの境界が含まれます。

ID およびアクセス管理

Identity and Access Management (IAM) セキュリティツールを使用すると、企業はアクセス制御を管理し、権限レベルを割り当て、機密データにアクセスできるアカウントを決定できます。ID コントロールは、特定のアカウントが持つアクセスレベルと、そのアクセスレベルで表示および操作できるものを決定するのに役立ちます。データレベルの制御とアカウント権限システムの両方に関係します。

コンプライアンスと監査

コンプライアンスと監査とは、ベストプラクティスに従い、環境を監視し、組織全体でコンプライアンス基準が満たされていることを確認する能力を指します。企業が事業を展開している業界によって、監査して遵守すべき正確な基準は異なります。

物理的なセキュリティ管理

物理的なセキュリティ制御は、物理的なオフィス、サーバー、およびビジネススペースに関連するアクセス制御のもう 1 つの形式です。これには、安全なサイトの設計、可用性の計画、および物理的なアクセスポリシーの実装が含まれます。物理的および環境的なセキュリティは、アクセスの監視、動きの記録、および企業が監査できるようにデータの記録を維持することにも及びます。 

情報セキュリティはクラウドでどのように機能しますか?

企業がクラウドサービスを使用する場合、セキュリティとコンプライアンスはクラウドプロバイダーと企業の間で共有される責任になります。この二重の責任は責任共有モデルと呼ばれ、クラウドセキュリティを確保するために各当事者が果たさなければならないそれぞれのタスクを指します。

顧客は、顧客データ、プラットフォーム、アプリケーション、ID およびアクセス管理、クライアントデータの暗号化、ネットワーク構成などの管理責任を負います。クラウドプロバイダーは、クラウドプロバイダーが運営するハードウェア、ソフトウェア、ネットワークなど、クラウド内のサービスを実行するすべてのインフラストラクチャに責任を負います。

責任共有の具体的な内容は、企業が提携するクラウドプロバイダーによって異なります。その責任の分担は、一般的にクラウド「の」セキュリティとクラウド「内の」セキュリティの区別として理解されています。

AWS は情報セキュリティ要件をどのようにサポートできますか?

AWS では、セキュリティが最優先事項です。AWS は、アプリケーションとワークロードを構築、移行、管理するための最も安全なグローバルクラウドインフラストラクチャとして設計されています。これは、政府、医療、金融サービスなどのセキュリティに最も敏感な組織を含む、数百万のお客様からの信頼によって裏付けられています。

セキュリティは AWS とお客様の間で共有される責任です。この共有モデルでは、ホストオペレーティングシステムと仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまでの要素を AWS が運用、管理、および制御するので、お客様の運用上の負担が軽減されます。PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-3 を含む 143 以上のセキュリティ標準とコンプライアンス認証をサポートしており、お客様が世界中のコンプライアンス要件を満たすことができるように支援しています。また、データの使用方法、アクセスできるユーザー、暗号化方法をユーザーが決定できるように、ユーザー自身のデータを完全に制御できます。

AWS セキュリティサービスは、クラウドでの情報セキュリティへの取り組みをさらにサポートできます。例:

今すぐ無料アカウントを作成して、AWS での情報セキュリティを開始しましょう。