はじめに
今回はセキュリティの基礎についてアウトプットしていきたいと思います。セキュリティはIT分野だけでなく、仕事をする上では必須の知識であり、プライベートにも関わってきます。例えば、どの業界の仕事でもメールは使うと思いますが、誤った客先へ機密情報のメールを送ってしまうと会社の損失へとつながってしまいます。また、SMSで指定口座へ振り込むように連絡が来たがフィッシング詐欺だったりなど生きる上で切っては切れない関係です。しかも、世の中はよりIT化が進んでいくので重要度は増す一方です。ですから、セキュリティを学ぶことは周りへ迷惑をかけない、そして自分を守ることに繋がるのです。重要性を伝えた上で次へいきましょう。
登場人物:きのこ、どんぐり、パソコン
→会話形式できのこは「キ」、どんぐりは「ド」、パソコンは「パ」と表現します
※登場人物は空想であり実際に存在するものではありません
例題(解答はページ下部にあり)
問1:システム開発の上流工程において、システム稼働後に発生する可能性がある個人情報の漏洩や目的外利用などのリスクに対する予防的な機能を検討し、その機能をシステムに組み込むものはどれか
ア 情報セキュリティ方針
イ セキュリティレベル
ウ プライバシーバイデザイン
エ プライバシーマーク
<セキュリティの歴史>
繋がることで便利になったネットワークの世界。
でも・・・・・・ 「つながって便利」だけではありませんでした
コンピュータが外の世界につながるということは外の世界からもコンピュータにアクセスできるということです。
システムを破壊しようと迫る脅威・・・
大切な機密情報がひょいと盗まれかねない危険・・・
コンピュータの高性能化より扱う情報が多様化すればするほどそれらから身を守ることの重要性は高まる一方なもんでセキュリティは企業活動を行う上で、かなり重要視すべき項目となったのです。
<セキュリティの反面教師>
キ:「やっぱオレみたいに忘れっぽいとさーーーーー、パスワードはフセン貼るのが一番だよなーーーーー」
ド:「え・・・?それ一番ダメだろ」
はい、パスワードは人には知られてはいけないので見えるところに書いてはいけません。見えなくてもメモしてはいけないと言われています。現実問題はどうかはともかく、パスワードは絶対に人から知られないために記録を残さず、記憶に留めるものだと覚えてください。
<ネットワークに潜む脅威>
インターネットなど、外部のネットワークにつながるとすごく便利で助かるのですが・・・その便利さは、様々な脅威とのトレードオフなのです。侵入や破壊、妨害など外部と繋がれたネットワークには、様々な脅威が存在しています。
世界中にあちこちにつながっているインターネット。企業のネットワークをインターネットに繋ぐと確かに便利なのですが、それは同時に「外部ネットワークに潜む悪意とも繋がる」という危険性をはらんでいます。
例えば外部の人間・・・特に悪意を持った人間が自社のネットワークに侵入できてしまうとどうなるか。情報の漏洩はもちろん、重要なデータやファイルを破壊される恐れが出てきます。また、侵入を許さなかったとしても、大量の電子メールを送りつけたり、企業Webサイトを繰り返しリロードして負荷を増大させたりとすることで、サーバの処理能力をパンクさせる妨害行為なども起こりえます。
考えてみれば、事務所に泥棒が入れば大変ですし、FAXを延々と送りつけてきて妨害行為を働くなんてのも古くからある手法ですよね。そのようなことと同じ危険が、ネットワークの中にもあるということなのです。
悪意を持った侵入者は、常にシステムの脆弱性という穴を探しています。これに対して、企業の持つ情報という名の資産をいかに守るか。それが情報セキュリティです。
セキュリティマネジメントの3要素
情報セキュリティは、「とにかく穴を見つけて片っ端から塞げばいい」というものではありません。たとえば次のように穴をふさいでみたとしましょう。
パ:「とにかく堅牢に。パスワードは3重に、かつ指紋認証、声帯認証、虹彩認証をパスした人だけがネットワークにアクセスできます。」
キ:「つ、使いづらくてやってられるかーーー!!」
そう、「セキュリティのためだ」と堅牢なシステムにすればするほど、今度は「使いづらい」という問題が出てきてしまいます。そもそも「安全最優先」というのであれば、そこでつながっているLANケーブルを引っこ抜いちゃえばいいのです。でも、それだとネットワークの利便性が享受できないからよろしくない。じゃあ、安全性と利便性とをどこでバランスさせるか・・・。これがセキュリティマネジメントの基本的な考え方です。どんなリスクがある?どれだけ危険?どう対処すべき?リスクに優先度をつけながら、総合的に対処する。
そんなわけで情報セキュリティは、次の3つの要素を管理して、うまくバランスさせることが大切だとされています。
3つの要素
機密性:許可された人だけが情報にアクセスできるようにするなどして、情報が漏洩しないようにすることを指します。
完全性:情報が書き換えられたりすることなく、完全な状態を保っていることを指します。
可用性:利用者が、必要な時に必要な情報資産を使用できるようにすることを指します。
セキュリティポリシ
さて、色々検討した末に、「ウチの情報セキュリティは、こんな風にして守るべきだぜ」と思い至ったとします。でも、思ってるだけじゃ何も反映されません。誰か一人が頑張っても、他の人がサボってセキュリティ事故を起こしたら意味がありません。
そこで、企業としてどのように取り組むかを明文化して、社内に周知・徹底するわけです。これを、セキュリティポリシと呼びます。我が社が保護すべき情報資産は何か・・・なぜそれを保護すべきなのか・・・どうやって保護するのか・・・
セキュリティポリシは基本方針と対策基準、実施手順の3階層で構成されています。
セキュリティポリシの3階層
①基本方針:情報セキュリティに対して、企業としての基本方針を定める。
「・・・というわけだから、我が社はこれこれこーで取り組むべきだ」
②対策基準:上の方針を実現化するために、行うべき対策や基準を定める。
「それではこれとあれとそれを、やらなくてはなりますまい」
③実施手順:業務の中でどのように実施していくかの具体的な手順を定める。
「で、ではあの。詳細な運用マニュアルとか作りますね」
個人情報保護法とプライバシーマーク
企業からの情報漏洩として、最近とみに取り沙汰されるのが「個人情報」に関するものです。個人情報とは、次のような内容を指します。
個人情報
氏名、生年月日、性別、住所、電話番号、家族関係、などなど・・・
情報に含まれる氏名や生年月日、他の記述で個人を特定できちゃうと個人情報
そして、それに結び付けられた各種個人データも、個人情報に含まれます
個人情報保護法というのは、こうした個人情報を、事業者が適切に取り扱うためのルールを定めたものです。例えば「顧客リストが横流しされて、セールスの電話がジャンジャカかかってくるようになった」などに代表される、消費者が不利益を被るケースを未然に防ぐことが目的です。
不利益を被るの例:「いや、そーいうの興味ないですから。もうかけないでくださいね・・・え?いや必要ないんで。だからもうかけてこないで・・・は?名簿に載ってる?じゃあ削除し・・・え?出回ってる?」
個人情報に関する認定制度として、プライバシーマーク制度があります。これは「JIS Q 15001(個人情報保護マネジメントシステムー要求事項)」に適合して、個人情報の適切な保護体制が整備できている事業者を認定するものです。
プライバシーマーク制度の認定を受けた事業者は、そのことを示すマークを企業Webサイトや名刺などに表示することが許されます
例題の回答
問1:正解:ウ
問題文の「個人情報の漏洩や目的外利用などのリスク」が「プライバシー」に関連づけられ、正解の候補は、選択肢ウとエに絞られます。選択肢エのプライバシーマークは、その名前の通り、「マーク」であり、その機能がシステムに組み込まれるものではありません。したがって、消去法により、正解は選択肢ウになります。
おわりに
いかがでしたでしょうか。セキュリティが如何に重要で、単に堅牢なシステムを作れば良いものでないことがわかったと思います。今回は基礎中の基礎ですのでしっかりと頭に入れておきましょう。
投稿者
エンジニアファーストの会社 株式会社CRE-CO 田渕浩之