#はじめに
セキュリティを理解するために学んだことをアウトプットして理解を深めたいと思います。
背景
現在の日常においてWebサイトは生活の一部となっている。
一方で、それを逆手にWebシステム上の精密情報を抜き取り、不正な攻撃で狙いを定める攻撃者の犯罪行為は後を絶たない。そのため、Webシステムの運営にあたってセキュリティ対策が必要となっている
#情報セキュリティの3要素
情報セキュリティとは情報の「機密性」「完全性」「可用性」を維持することとされている。
これらの要素を情報セキュリティの3要素と呼んでいる。
また、情報セキュリティの3要素は、以下3つの用語を英語表記したときの頭文字を取って「CIA」と呼ばれています。
- 機密性(confidentiality)
- 完全性(integrity)
- 可用性(availability)
それぞれ深掘りして内容をみてみましょう!
#「機密性」
機密性は、情報を認められた人だけが使用できるような状態であること。
イメージとして、家の鍵は家族だけしか使用できないニュアンスです。
第三者の他の鍵で開いたら困りますね。
情報を外部に見せない、漏らさないことを意識することで、高い機密性を保持できます。
反対に、企業内に保持する情報に誰でもアクセスできる状況にあれば、それは機密性の低い状態と言えます。
機密性の低い状態はなぜいけないのか?
機密性が低ければ、情報漏えいや情報の破損などの原因に繋がるから。
機密性を高める方法
- パスワードに「123456」などの安易なものを設定しない
- ID/パスワードをメモなどに残さない
- 情報を外部へ持ち出さない
- 正当な権限を持つ者だけが情報にアクセスできる仕組みを作る
余談ではありますがもっとも多くの人が使用している、もっとも危険なパスワードは「123456」という記事を見たことがあります。
「123456」は7年連続トップ 危険なパスワードは「123456」
#「完全性」
完全性は、改ざんや過不足のない正確な情報が保持されている状態を指す。
Webサイトの改ざんが起こった場合には、企業としての信頼を失うことにもつながりかねません。
完全性を保持する対策として、
- 情報にはデジタル署名をつける
- 情報へのアクセス履歴を残す
- 情報の変更履歴を残す
- バックアップなどの情報を保管するルールを決める
#「可用性」
可用性は、情報をいつでも使える状態を保持すること。必要な時にいつでもアクセスできる状態を確保できる状態を意味する。
可用性を保つために、以下のような施策が考えられる
- システムの二重化(多重化)
- UPS(無停電電源装置)
- システムのクラウド化
#最後に
セキュリティと聞いて、漠然としたイメージだったので具体的に情報セキュリティとは3要素であり、どういった要素が満たされていれば情報セキュリティがしっかりしているといえるのかが理解できたのは学びになりました。また続きを発信して行きます!!!