< 情報セキュリティとは >
個人、組織の情報資産を「機密性」「完全性」「可用性」に関する脅威から保護するためのもの
普段私たちが使っているパソコンやスマートフォンなどの端末やインターネットの利用
データなどを危険な状況・観点から情報を守ること
三大要素とは
「機密性」「完全性」「可用性」=【CIA】
が情報セキュリティにおける三大要素となっています。
情報セキュリティに限らず単語としては把握できますが、個人的にはつまりどんなこと?とイメージが湧かなかったので解釈するにあたって単語をかみ砕いて理解します。
未経験で業界挑戦しエンジニアとしてこれからを目指すにあたり、【目に見えない情報というもの】をいかにして捉えるかを日々苦戦しております。
そこで情報セキュリティにおいて、情報資産=家(家の中のもの)と例えてとらえてみることにしました。
※以降の記述はイメージとして捉えやすくする・把握するための内容です。
・機密性 Confidentiality
情報資産を正当な権利を持った人だけが使用できる状態にしておくこと
ex : 情報漏えい防止、アクセス権の設定、暗号の利用などの対策
※自分の家に家族のみが出入りすることができる状態。
正当な権利=家の鍵を持っている人のみが利用できる。
使える人が特定の人に限られていること
・完全性 Integrity
情報資産が正当な権利を持たない人により変更されていないことを確実にしておくこと
ex : 改ざん防止、検出などの対策
※家が破損していたりなくなっていないこと、あるべき形であること
・可用性 Availability
情報資産を必要なときに使用できること
ex : 電源対策、システムの二重化、バックアップ、災害復旧計画などの対策
※いつでも家(家の中のもの)が使えること。
体を洗いたい時にお風呂が使える、寝たい時にソファやベッドが使えること。
壊れたときに予備や代替できるものや状況があること
使いたい時に使える状態であること
新要素
主な情報セキュリティの3要素に加えて、
1996年に「真正性」「責任追跡性」「信頼性」が、
2006年に「否認防止」の4つの要素が追加され、現在では情報セキュリティの7要素とされています。
どんな脅威があるか
・意図的脅威 ・偶発的脅威 ・環境脅威
◆意図的脅威と偶発的脅威は共に「人」が脅威元である【人為的脅威】としてまとめられます。
・意図的脅威 [サイバー攻撃]
意図として不正な侵入、攻撃を目的として行うこと。
情報を盗みだすことや攻撃した相手のコンピュータを操作不能にしたりすること等。
ex : コンピュータウイルス、不正侵入、盗聴
・偶発的脅威
操作ミスや設定のミス等意図としない、場合での脅威。
人間なのでミスが一切なくすことは難しいですが、ミスが発生する頻度を少なくする(確認事項を増やす)ことや、ミスが起きないような手順・仕組みを改善するなど。
ex : 操作ミス、生じやすい手順
・環境脅威
主に自然災害全般の脅威。
ex : 火災 地震 雷
◆10大脅威
独立行政法人情報処理推進機構IPAによる、その年における「個人」と「組織」それぞれの被害状況を確認することができます。
IPA 情報セキュリティ10大脅威リンクはこちら
対策
以下、それぞれ個人と組織における対策です。
企業
・ID,パスワードなどのアカウント管理を徹底
・適切なアクセス制限を設定する
・ソフトウェアを常にアップデート
・適切なツールを導入
・テレワークの運用ルールを策定する
・従業員への情報発信,研修の実施
個人
・適切なパスワード,設定管理
・許可されたデバイス以外は業務に使用しない
・安易にソフトウェアをインストールしない
・フィッシングメールに注意する
・Webサイトの閲覧に注意する
・個人情報をデバイスに保存しない
「個人」と「組織」共に【意図的脅威】が占めている割合が多いです。
極論【一切使用しない】ことで解決できますが・・・
情報を取り扱う環境や「もの」はこれからますます増えていきます。
利便性が高く恩恵を受けている故に使用しないことはできません。
日常生活を送る中で、情報技術が関係している環境を選ぶ【利用する、利用しない】ことも難しく、適応や変化をすることが求められているのではないでしょうか。
「いたちごっこ」といわれる脅威 主に意図的脅威:サイバー攻撃]と対策・対処の技術は双方共に変化していき種類も増え続けていきます。
皆さんは情報セキュリティについてどのように感じて捉えていますか?
提供する立場・利用する立場隔てなくどのような種類や観点、影響範囲等を業界に携わる方々に限らず理解して関わっていくことが重要だと個人的に感じます。