セキュリティ

【初心者SE向け】「情報セキュリティ」の基本を現役エンジニアが丁寧に解説します

情報セキュリティの基本

エンジニアのササキノです。

セキュリティの考え方は今や我々エンジニアのみならず一般家庭のPCやスマホでも必須の知識となっています。

この記事では初心者エンジニアだけでなく誰が読んでも理解できるセキュリティの基本を丁寧に解説しています。

では早速見ていきましょう。

セキュリティの基本は情報資産を守ること

セキュリティを大まかに言うならば、
私たちの仕事や組織、PCやスマホにおいて「情報資産」の保護を考えるということです。

情報資産
情報資産は、主に企業活動によって収集した情報で、商品を開発する際に収集した技術情報や開発中に得られた新たな技術情報、そして、商品を販売する際に得られた顧客情報などが挙げられる。
引用: Weblio辞書

情報資産は顧客情報やシステムの設計書、企業で保持している特別な技術ということですね。これらの情報資産が不正に盗まれたり流出してしまうことは避けなければなりません。

まずは守るべき資産の明確化をすることがセキュリティの考え方のスタートです。

明確化したあとは、それらの情報資産をどのように守っていくか、サイバー攻撃から対策していくかを考えていきます。

セキュリティの三要素「機密性」「完全性」「可用性」

情報資産を守ることがセキュリティの基本だと分かりましたが、これだけでは抽象的です。
具体的に、セキュリティを考える上で大事な三要素があります。

情報セキュリティ三要素
①機密性
②完全性
③可用性

それぞれ解説していきます。

機密性:

『許可された人だけが情報に触れることが出来る』ということです。

例えば、IDとパスワードを管理し特定の人だけが入れるようにすることです。
インターネットにおいてもアカウントを作成するのは機密性を守ることに基づいています。

完全性:

『情報が改ざんされておらず、本来想定した状態になっている』ということです。

経営のかく乱や信用を落とす目的でサイバー攻撃によるWebページの改ざんが行われてしまうことがあります。
こうした本来の情報を保つためにセキュリティは必要になります。

また、データを扱う社員自身も手違いや不備で想定外の情報となってしまった、
というケースもありますので社内教育も必須です。

可用性:

「その情報に触れることが出来る人は、”いつでも”その情報に触れることができる」ということです。

例えば、スマホゲームアプリは基本的にメンテナンス時間以外はいつでも起動できるものです。

しかしゲームリリース当初にユーザのアクセスが集中してアプリサーバーが落ちてしまい、起動できなくなった、というケースがあります。
これは可用性を損なっている状態を指します。

また、サイバー攻撃の1つにアクセスを集中させてサイトを過負荷状態にさせ、サーバーをダウンさせる「DoS攻撃」というものがあります。

可用性のセキュリティについて考えるときは攻撃的な集中によるものか、そうでないかを判断し対処していく必要があります。

 

これら三大要素を意識したセキュリティ対策を講じていくことで、より安全な情報を確保していくことが出来ます。

<三大要素の図>

 

 

 

 

情報セキュリティマネジメントシステム(ISMS)に関する国際規格で『JIS Q 27000』という情報セキュリティについて記した規格があります。
要は国際的なセキュリティの考え方の指標になるものです。
この規格に上記で紹介した三要素が書かれています。

攻撃の流れと対策

サイバー攻撃の4ステップ

サイバー攻撃は基本的に次の4ステップで行われます。

侵入:社内PCにウイルスを感染
拡大:他PCへウイルス増加
調査:機密情報を探す
取得:機密情報を外部(攻撃者の元)へ送信する

何らかの方法でPCに侵入したウイルスは、社内インターネットを通じて他PCへ感染し増加します。これらのウイルスは機密情報を探し出し、外部のインターネットへ送信します(情報の漏洩)。

入口と出口のセキュリティ対策

こうしたサイバー攻撃の対策には入口出口の観点で対策します。

入口対策は、ウイルス対策ソフトとファイアウォールを用いて、早期のウイルス検出や特定のデータだけを通すような制限をかけます。しかしウイルスをすべて防ぐことはできません。

侵入してしまったウイルスに対しては出口対策をします。ウイルスは機密情報を外部へデータを送信しようとするので、PCの管理者権限を最低限に制限して外部への送信を不可能にします。また、感染したPCをインターネットから切り離すことでデータの流出を防ぎます。

ウイルスは侵入して当たり前と考える

大手セキュリティ会社の上級副社長だったブライアン・ダイ氏は『ウイルス対策ソフトは死んだ』と語りました。またダイ氏はウイルス対策ソフトで防げるのは45%であり、残り55%の攻撃は防ぐことが出来ないことを話しました。

セキュリティのスペシャリストでさえウイルスの侵入を防ぐことは半分も難しいと言わしめるほど、サイバー攻撃は複雑で巧妙です。

ウイルスは侵入して当たり前を前提に対策していくことが大切です。

ササキノまとめ

セキュリティは、『自分の所属する組織や仕事において情報資産を守ること』です。

情報資産をどう守っていくかを考える情報セキュリティ三大要素として「機密性」「完全性」「可用性」の3つの観点があります。
これらを把握していくことでセキュリティ対策を検討していくことが出来ます。

以上がセキュリティの基本(大まかな枠組み)となります。

基本を押さえた後はセキュリティにおいて具体的なサイバー攻撃やその対策の知識を学んでいくことで枠組みに肉付けを行っていきましょう。