Contents
記事の概要
情報セキュリティの全体像と、セキュリティについて考える上で必要にある3つの観点にについて解説します。
情報セキュリティはサッカーに例えるとわかりやすいのでサッカーで例えて説明します。
情報安全確保支援士試験に向けて暗記する必要があるキーワードは赤文字にしているので参考にして下さい!
情報セキュリティの3大要素
一般的に、以下3つの要素が存在するときに、情報に対してのセキュリティが必要になると言われています。
| 要素 | 例えば |
|---|---|
| 情報資産 | あなたのスマートフォンです。 スマートフォンには連絡先、写真、アプリ、個人的なメッセージ、 メールなど、多くの個人情報が保存されています。 これらはあなたにとって非常に価値のある情報資産です。 |
| 脅威 | スマートフォンを落としてしまう、盗まれることです。 スマートフォンをどこかに置き忘れるか、盗まれるというのは、 その中の個人情報が漏洩するリスクを伴います。 さらに、誰かがその情報を不正に利用する可能性もあります。 |
| 脆弱性 | スマートフォンのロックが解除されている状態のことです。 スマートフォンがロックされていない状態で置き忘れたり、 盗まれたりすると、誰でも簡単にデバイスを操作できてしまいます。 ロック画面が設定されていない、または簡単なパスコード (例:「1234」や「0000」)が設定されているのも脆弱性の一例です。 |
分かりやすく言うと、情報資産とは「守る必要があるもの」、脅威は「情報資産を脅かす存在」、脆弱性は「弱点(脅威がついてくる弱い部分)」です。
身近なものに例えると
サッカーで例えると、情報資産は「ゴール」、脅威は「相手チーム」、脆弱性は「怪我している選手」です。
相手チーム(脅威)はゴール(情報資産)を取るためにあの手この手で攻めてきますが、もしディフェンスのポジションに怪我をしている選手(脆弱性)がいたら、そこを攻められたらゴールを奪われる可能性が高いですよね。
そこで、怪我をしている選手を後退させるなど弱点をカバーする必要があります。
情報セキュリティ確保の手順
情報セキュリティを確保するためには大まかに以下の手順を取るとよいとされています。
- 手順①意識付けと体制の整備
- 基本方針を決めたり、情報セキュリティ委員会を設置します。
- 手順②全社的なルールを決める
- 情報セキュリティポリシを作成します。
- 手順③ルールを社内に浸透させる
- セキュリティ教育を行ったり周知活動をします。
- 手順④再評価
- 定期的に評価したり、監査を受けて必要に応じで見直しを行います。
④の見直しにより、必要おに応じて①~③に戻り、対策を取ります。
サッカーで例えると以下のようになります。
①意識付けと体制の整備 ⇒ 監督やチームメンバを集める
②全社的なルールを決める ⇒ 選手の動き方(攻め方、守り方)を決める
③ルールを社内に浸透させる ⇒ 練習して作戦をチーム内に叩き込む
④再評価 ⇒ 試合の結果を振り返りフィードバックを受ける
セキュリティ確保の手順はサッカーチームを作るのと同じ手順ですね。
まず、監督やチームメンバを集めて、相手にゴールを奪われないように選手のフォーメーションや動き方を決めます。
次に練習で作戦をメンバに叩き込み、試合に臨みます。最後に試合の結果を分析してもっと強くなるために改善します。
情報セキュリティポリシについては以下の記事で説明しているので見てみてください!
情報セキュリティ確保時の注意点
情報セキュリティを確保する際は対策は総合的に行う必要があり、以下の4つの注意事項を抑える必要があります。
- 注意①抑止効果を狙う
- 侵害を思いとどまらせることです。
例えば、内部の犯行を防止するために罰則を課したり、ペナルティを設けることで内部の犯行を思いとどまらせることができます。また、セキュリティ教育を定期的に行うことで、内部のPCがウイルスに感染するリスクも低減できます。
- 注意②予防対策を行う
- 侵害されないように予防することです。
例えば、重要なデータは暗号化してパスワードをかけることや、2要素システム、生体認証を使用します。また、役割に基づくアクセス制御(RBAC)を使用して必要最低限の権限を付与します。
- 注意③事後対策をする
- 侵害された時に早急に検知すること、また、早急に元の状態に戻し、復旧させることです。
- 注意④再発防止策を検討する
- 同様の手口で侵害されないように対策することです。
サッカーで例えると以下のようになります。
カウンター攻撃を得意としているチームと今後戦うとすると以下のように置き換えることができます。
①抑止効果を狙う = 相手チームの罠(カウンター攻撃)に掛からないよう、相手の罠の掛け方を味方に把握させる。
②予防対策を行う = 罠(カウンター攻撃)に掛かっても対処できるようにディフェンスメンバの数を増やすなど。
③事後対策をする = 罠にはまったらすかさず監督がチームメンバに合図をして知らせる。
④再発防止策を検討する = 試合終了後、カウンター攻撃を受けないように対策する。
情報セキュリティ3要素
情報セキュリティの3要素には「機密性」「完全性」「可用性」があります。
これらは情報セキュリティ管理の基本的な指標を表しており、各要素は以下のように定義されています。
| 要素 | 定義 |
|---|---|
| 機密性 | 情報が権限のない者によって見られたり、盗まれたりすることを防ぐことです。 例えば、パスワードや暗号化が機密性を保つために用いられます。 |
| 完全性 | 情報が正確で、変更や破壊を受けていない状態を維持することです。 データの改ざんを検出し防ぐために、ハッシュ関数やデジタル署名などが使用されます。 |
| 可用性 | 権限を持つユーザーが必要とする時に情報やシステムが利用可能であることを確保することです。 これは、ハードウェアの故障、ソフトウェアの問題、自然災害などに対する冗長性や バックアップ計画によって支えられます。 |
これら三つの要素は、バランスを取りながら管理される必要があり、一つの要素が他の要素に影響を与えることもあります。
例えば、機密性を極端に高めると、時には可用性が低下することがあります。
身近なものに例えると
「機密性」「完全性」「可用性」を、レストランの運営に例えてわかりやすく説明してみましょう
機密性(Confidentiality): レストランで考えると、お客様の予約情報や個人情報が外部に漏れないように保護することに相当します。レストランのスタッフだけがアクセスでき、外部の人間がこの情報を見ることができないようにするための措置です。これにより、顧客のプライバシーが保護されます。
完全性(Integrity): メニューに表示されている料理が実際に提供される内容と一致していることを保証することです。つまり、メニューに「新鮮なサーモンのサラダ」と記載されている場合、それが正確に、新鮮なサーモンを使って調理されたサラダとして客に提供されることが完全性に該当します。レシピや料理の品質が保たれることが重要です。
可用性(Availability): レストランが予約できる状態であるか、料理が注文できるかということです。たとえば、営業時間中にレストランが開いていて、顧客が好きな時に料理を注文できる状態が保たれていることが可用性に当たります。キッチン機器やスタッフが十分に整っていて、顧客のニーズに応える準備ができていることが必要です。
この記事も参考になるかも!
