本連載では、ド素人エンジニアが、未来からきた猫型ロボットせきゅえもんと共にセキュリティの世界にダイブする物語をお届けします。本稿では、 情報セキュリティ の基本的な考え方やよく用いられる用語について解説していきます。
- 登場人物
山田たろう
・IT企業に勤めるド素人エンジニア。
・上司からの突然の無茶振りにより一人前のセキュリティ
エンジニアを目指すことになった
せきゅえもん
・山田たろうさんを立派なセキュリティエンジニアにするべく、
2050年から突然やってきた未来のセキュリティエンジニア育成
ロボット。
・語尾にいろいろと方言が入る。
目次
目指せ、一人前のセキュリティエンジニア!
せきゅえも~~ん!!どうしよう~!(泣)
どうしたんだい、たろうくん?
知らないお店で生牡蠣を食べたら、お腹こわしてしまったよ~(泣)(´×ω×`)
たろうくん、知らへんお店で生牡蠣は食べたらあかんって言われなかったかいな?Σ(=ω= ;) 食べ物の安全管理ができてないお店で食べると、ノロウイルスにかかるで~ヾ(。>д<)シ ちなみに、牡蠣は、生食用を出荷できる綺麗な海域で育った牡蠣なら生食で食べることができるけど、それ以外の海域で採れたものは、生で食べることはでけへんのやで。
そうなんだ、、じゃあノロウイルスにかかったかも。。(TдT)
ところで、情報セキュリティの安全管理は大丈夫かな?今日は情報セキュリティの品質を守るための術(すべ)について教えよう!(´ε` )
それより、、なにか薬を・・(TдT)
情報セキュリティ の 機密性、完全性、可用性とは
情報セキュリティの安全管理って何をすればよいの?(。・ε・。)
ところで、情報セキュリお店の食べ物の商品の品質を守ることと同じように、情報資産ちゅうものの品質を守ることが大切やで。\(・ω・`)」
お店の食べ物の商品の品質を守ることと同じように、情報資産ちゅうものの品質を守ることが大切やで。\(・ω・`)」
機密性、完全性、可用性ってなに?(。・ε・。)
機密性は、アクセスを認可された人だけが、情報にアクセスできることを確実にすることやで。例えば、パスワードを知っている人だけが情報にアクセスできるようにしとくことやで。\(・ω・`)
完全性は、情報資産が不正や改ざんが行われてのうて、正確な状態であることやで。責任者を決めることや、書類の押印、デジタル署名によって完全性を維持してんで。\(・ω・`)
可用性は、情報資産を必要なときに使用できることやで。システムが停止せえへんように、冗長化や、耐震耐火設備をしておくことは可用性を維持する対策になるで。\(・ω・`)
- 「機密性」とは、権限がある人しか利用できない状態!
- 「完全性」とは、情報として矛盾点がない状態!
- 「可用性」とは、権限がある人がいつでも利用できる状態!
機密性、完全性、可用性を確保することが、セキュリティの品質を守るために必要なんだね。(`・ω・´)っ
そうやな。たとえば、コンビニの○○マートさんのパンは、いつ行っても置いとるし、消費者は何も不安に思わんとって、安心して商品を口に入れることができるでなぁ。
それは、消費者が安心して食べることができるように、○○マートさんの会社が商品の品質を維持して、安定供給しているからなんやで。 情報セキュリティも同じで、この○○マートさんのように、いつも安全に情報セキュリティの品質を維持することが大切なんやで。\(・ω・`)
たしかに、、○○マートさんすごい。僕も以前、海外で怪しいお店の料理を食べたら、翌日に腹痛と高熱がでたことがあるから、安心・安全の品質を維持して、商品を提供している○○マートはすごいね!(≧◇≦)!
そうやな。たとえば、コンビニの○○マートさんのパンは、いつ行っても置いとるし、消費者は何も不安に思わんとって、安心して商品を口に入れることができるでなぁ。
気を付ける(´;ω;`)
情報セキュリティ の品質維持には「機密性」・「完全性」・「可用性」の確保がポイント!
あと、情報資産も機密性、完全性、可用性ちゅうクオリティーを確保することは、ステークホルダーに信頼されることに繋がるで。
ちなみに機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の三つの頭文字をとって、『CIA』とも呼ばれるで。\(・ω・`) この『CIA』は、人の意識的な取り組みと、環境や設備、技術によって、自ら作り出していく必要があるで。
機密性、完全性、可用性を総称してCIAと呼ぶ!
CIAってスパイ映画とかで出てくるアメリカの中央情報局と同じ略称だね~。ちなみに、このCIAを確保するための方法はあるの?(。・ε・。)
CIA(機密性、完全性、可用性)を確保する手段として、3つの情報セキュリティ対策(技術的対策・物理的対策・管理的対策)があるで。\(・ω・`)
CIA(機密性、完全性、可用性)を確保する手段として、3つの 情報セキュリティ 対策(技術的対策・物理的対策・管理的対策)がある!
具体的になにをすればよいの?(。・ε・。)
一つずつ説明していくなぁ。まず技術的対策は、情報通信技術によって予防するセキュリティ対策のことやで。例えば、アクセス制御や認証技術、暗号化、冗長化やらしたらよいで。\(・ω・`)
ウイルス対策ソフトを導入してウイルス感染を防いだり、ファイアウォールやDMZ、IDS/IPSを設置して構築することで不正アクセスを防いでいることは、この技術的対策に分類されるんだね。(`・ω・´)
そうやな、たろうくん、当たりやで!
物理的対策は、物理環境によって予防するセキュリティ対策のことやで。入退館管理や施錠管理、監視、災害対策などをするんやで。
オフィスの入口にスマートロックや生体認証を設置したり、監視カメラをつけることは物理的対策に分類されるんだね。(`・ω・´)
せやね!情報セキュリティ対策についてわかってきたなぁ。d(≧▽≦*d)
管理的対策は、人や組織を管理して予防するセキュリティ対策のことやで。例えば、セキュリティポリシーの策定、周知徹底・教育、監査などの対策を行うとよいで。
人によるミスを防いだり、情報セキュリティのリテラシーが向上すると、セキュリティが強化されるね。いくら技術や物理で対策したとしても、結局は人が関わっているから、社員の情報セキュリティ教育は重要だね。(*´I`*)
せやな(^^) 現代は情報がめっちゃ高い価値がある情報化社会やさかい、情報の品質を守ることがとても重要やねん。情報セキュリティ対策は、その場しのぎの対策ではだめで、品質を維持するためには継続的に対策をしていかなあかんで。≧▽≦)ノ
おわりに
今日はせきゅえもんのおかげで勉強になったよ~
たろうくんはまだまだ勉強が足りへんね(´・ω・) これからももっとセキュリティについて勉強してや!がんばってな~!(^^)! ところで、お腹痛かったのは大丈夫なん?(;´・ω・)
忘れてた(*_*;)!トイレ行ってくるっ!(>_<)
まとめ
本稿では会話形式で、情報セキュリティの基礎的な考え方や情報セキュリティで使用されるワードをご紹介致しました。
情報セキュリティとは、企業や組織の大切な資産である情報を、安全な状態とするために守ることです。情報セキュリティの品質を維持するためには、情報資産ごとにCIAを確保する必要があり、管理的対策、技術的対策、物理的対策の側面から情報セキュリティ対策を施していく必要があります。
情報セキュリティの品質を確保するためには、機密性、完全性、可用性の確保のほかにも、真正性(Authenticity)、責任追及性(Accountability)、否認防止性(Non-repudiation)、信頼性(Reliability)を含めることもあるとされています。付け加えますと、機密性、完全性、可用性の『3大要素』に、真正性、責任追及性、否認防止性、信頼性を加えた要素を、『情報セキュリティの7大要素』と言います。
情報セキュリティ対策について改めて見直してみると、パスワードが簡単でアクセスの権限がない人もアクセスできてしまい、「機密性」が確保できていないケースや、また学校の先生の場合では、生徒の成績などを手入力でExcelなどへデータ入力をした際に、誤って入力してしまい、「完全性」が損なわれているケースなどあったりしないでしょうか。そのような場合は、パスワードを複雑にすることにより「機密性」を高めたり、手入力だけでなく、ダブルチェックや二人で読み合せによる校合などをすることにより「完全性」を高める工夫をしてみると良いかもしれません。
ぜひこの機会に、情報セキュリティ対策について「情報セキュリティの3大要素」、「7大要素」の観点から、セキュリティ面を改めて見直してみるのはいかかでしょうか。
セキュリティに関する別の記事も公開しておりますので、合わせてご覧ください。
せきゅえもんが教える 押さえておきたいセキュリティの世界 Interop Tokyo編
せきゅえもんが教える 押さえておきたいセキュリティの世界 基礎から学ぶセキュリティ環境構築 情報セキュリティインシデント編
定義
- 『情報セキュリティ』の定義:
「JIS Q 27000:2019」では、『情報セキュリティ』を『情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追及性、否認防止および信頼性のような特性を維持することを含めることもある。』と定義されています。
【出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」(JIS Q27000:2019)、一般財団法人 日本規格協会】 - 『機密性』の定義:
「JIS Q 27000:2019」では、『機密性』を『許可されていない個人、エンティティ又はプロセスに対して、情報を使用されず、また、開示しない特性。』と定義しています。
【出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」(JIS Q27000:2019)、一般財団法人 日本規格協会】 - 『完全性』の定義:
「JIS Q 27000:2019」では、『完全性』を『正確さ及び完全さの特性。』と定義しています。
【出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」(JIS Q27000:2019)、一般財団法人 日本規格協会】 - 『可用性』の定義:
「JIS Q 27000:2019」では、『可用性』を『許可されたエンティティが要求したときに、アクセス及び使用が可能である特性。』と定義しています。
【出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」(JIS Q27000:2019)、一般財団法人 日本規格協会】