最近勉強したことのアウトプットかつ共有として、情報セキュリティについてわかりやすく解説します。
極力専門用語を使わないように気を付けておりますが、至らない箇所などがありましたらご指摘いただけますと幸いです。
また、図解などがないためわかりずらいかもしれませんが、ご質問いただけますとわかる範囲で回答させていただきます。
■目次1. セキュリティが必要な理由
世間一般的にセキュリティといえばホームセキュリティやオフィスセキュリティなどの物理世界のセキュリティのイメージが強いと思います。
ただ実はあまり気にしていないだけで、「セキュリティ」は実は身近に感じているため、意識して考えると実はここにも「セキュリティ」が実装されていると感じることができるのではないのではないでしょうか。
そもそもなぜ物理世界でセキュリティが必要になったのかというと、家であれば通帳など、オフィスであれば顧客情報など他の人に盗まれたら困るものを守るため必要とされております。
例えばあなたの所属している学校や会社で保管してある自分の個人情報が盗まれ悪用したとしたら一大事ですよね!
身に覚えのない契約を勝手にされたり、変な郵送物がたくさん届いたり想像しただけで嫌になると思います。
そういったことを未然に防ぐためにセキュリティは存在しております。
また、セキュリティは普段は表立って目立たないけど、陰で支えてくれる非常に重要な役割をしているのも特徴の一つですね。
物理世界に限って言うと、流石に自分たちで24時間365日守るわけにはいかないのでセコムやアルソックなどの警備会社に委託し、専門家に守ってもらうのが今日の一般的なありかただと思います。
2.情報セキュリティとは
一言でいうとサイバー世界の資産を守るための対策が私の中では一番しっくりきます。
サイバー世界でも物理世界と同じように盗まれたら困るデータを守るためという理由でセキュリティをする必要があります。
情報セキュリティで守る対象は顧客情報のデータやID・パスワードなどの個人情報データを始め、通信の内容や端末の情報などパソコン上では確認できますが、実世界には存在しないデータが該当します。
そのため物理世界ではある程度人手によって守られている部分はありましたが、サイバー世界ではシステム的に守ることが求めまれます。
ただ、守る世界がことなるだけで下記のように基本的にはサイバー世界でも物理世界と似ていると感じます。
3.具体的なセキュリティ対策
ここからは具体的なセキュリティ対策について説明します。
一般的に有名な対策はパスワードですね!
今や当たり前となってきたパスワードも実はパスワードポリシーというものがあり、一度は見たことがあるかしれませんが、例えば英小文字、英大文字、数字を1つずつ使って合計8文字以上で設定する必要があるなどというサイトに心当たりがある人も多いのではないでしょうか。
ただ今回はそこまで細かく説明せずに、ざっくりと世間一般としてどのような情報セキュリティがあるのかをカテゴライズして説明します。
カテゴライズには情報セキュリティの一般的な考え方である「CIA( Confidentiality 、 Integrity 、 Availability )」に基づいてカテゴライズします。
CIAについては情報セキュリティの基本となる考え方で下記ホームページが参考になるため、ここでの説明は割愛します。
https://www.fujitsu.com/jp/solutions/business-technology/security/secure/column/201703-1/
具体的な対策名(例:TLS通信、サーバー認証、コールドスタンバイ)は今回はあえて控えております。
■ Confidentiality (機密性)
・ファイルにパスワードをかける
・通信の情報を暗号化する
・許可した人しかアクセスできないようにする
■ Integrity (完全性)
・ファイルに署名する
・ファイルのアクセス者を記録する
・ファイルの変更履歴を保存する
■ Availability (可用性)
・データをバックアップする
・ネットワークを複数実装する
・システムを二重化する
見てわかる通り、それぞれ異なる視点からの対策が存在しており、どの対策をすれば良いのか非常に迷うと思います。
ここで列挙した対策を全部実装すればセキュリティ対策が万全なシステムになるというわけではないので、次節にて実装レベルについての話をします。
4. セキュリティ対策の実装
前述の通り様々な対策がありますが、バランスが大事ということをここではご説明いたします。
例えば物理世界で1円玉を守るために強固な金庫に入れて保管する人はめったにいないですよね!
サーバー世界でも同じような考えで、価値がある情報を保存していないサーバーに対しては、強固なセキュリティ対策を実装しようとは思いませんね 。(裏で重要なシステムとつながっているなどがあれば話しは別ですが。。。)
そこで重要になるのがどこまでセキュリティ対策を実装するかの指標となります。
極論、強固なセキュリティ対策を実装しようと思えば、お金さえかければ非常に強力な対策が実装できますが、お金をかけてもそのシステムがもたらす利益を上回ったら、赤字となり意味がないですよね!
また、セキュリティ対策をしすぎると、認証が多くなったりするため処理が重くなり、利便性が下がることも考慮しなければなりません。
システムが取り扱う資産や情報に対してアセスメントを実施して、脅威分析や許容範囲などをしっかりと考慮して適切なセキュリティ対策を実装することを心掛ける必要があります。
また、システムやセキュリティ対策に対してコンサルティングしてくれる専門家もいるため、セキュリティ対策を迷ったら専門家に相談するのはありだと思います。
5. まとめ
最後に、情報セキュリティで一番重要なのは多層防御の考えです。セキュリティ対策を1つ実装すれば安全になるといった万能なセキュリティ対策はないため、複数の対策を組み合わせて強固なシステムを作ることが重要です。
また、実装する上でもう一つ重要となるのはセキュリティ対策にかかるコストです。 システムの用途や取り扱うデータなどを考えて適切なセキュリティ対策を実施することを心掛けましょう!
今回は情報セキュリティの考え方や対策について説明しました。これを読んで少しでも理解が深まれば幸いです。
/べみほー