イントロダクション
こんにちは!エンジニアのM.Y.です!!
エンジニアと切っても切れないテーマ、セキュリティについてです。
社内の注意喚起で使用されたスライド資料を公開します!
(本資料は社内共有用に作成された資料です。あくまでも参考情報としてご利用ください。)
また、補足情報として
- セキュリティがなぜ注目されているか?
- セキュリティの基本要素
- セキュリティクリアランス
について簡潔に分かりやすく紹介させて頂きます!
セキュリティ喚起スライド
セキュリティがなぜ注目されているか?
近年、セキュリティに関する話題を耳にする機会が増えてきたのではないでしょうか?その理由は何でしょう?
理由は単純で、サイバー攻撃による被害が年々増加しているからです。
総務省のデータからもサイバー攻撃が年々増えていることが読み取れます。
サイバー攻撃が増えている原因
サイバー攻撃が増えている原因は、さまざまな要因が複合的に絡み合っています。
主な原因としては、以下のようなものが挙げられます。
- インターネットの普及
- テレワークの普及
- クラウドの利用拡大
- 攻撃ツールの高度化
また、サイバー攻撃の約7割はソーシャルエンジニアリング、ヒューマンエラー、悪意のある内部者による不正行為等の人的要因によるものだそうです。参考
サイバー攻撃を防ぐには一人ひとりが意識を持ってセキュリティ対策に取り組む必要があります。
セキュリティの基本要素
情報セキュリティの基盤となるのが、3大要素と4要素です。
これらは情報セキュリティを包括的に捉えるのに重要な概念で、バランスよく保つことで、より強固な情報セキュリティ体制を構築することができます。
セキュリティ3大要素
情報セキュリティの3大要素は、以下の3つです。
3大要素は聞いたことがある方も多いかと思います。
- 機密性:情報のアクセスを許可されたユーザーのみがアクセスできる状態を維持すること
- 完全性:情報が正確かつ完全な状態を維持すること
- 可用性:必要な時に必要な情報にアクセスできる状態を維持すること
セキュリティ4要素
近年、3大要素に加えて以下の4要素も重要視されています。
- 真正性:情報が本物であり、改ざんされていないことを確認すること
- 責任追跡性:誰が情報にアクセスし、どのような操作を行ったかを追跡できること
- 否認防止:情報へのアクセスや操作を否定できないようにすること
- 信頼性:情報システムが信頼できる状態を維持すること
エンジニアとしては、システムの「要件定義」「設計」「実装」「テスト」「リリース」「運用」の全工程でセキュリティ対策を考えておきたいですね。(DevSecOpsの考え方)
セキュリティクリアランス
2024年4月9日、「セキュリティクリアランス」制度の創設に向けた法案が衆議院本会議で賛成多数で可決されました。
簡単に説明すると、「信頼できる人かどうかをチェックする制度」です。
信頼できる人だと判断されれば、その信頼度に応じて、国家安全保障に関わる機密情報にアクセスできるようになります。
セキュリティクリアランスの考え方
セキュリティクリアランスは国家安全保障に関するものですが、セキュリティクリアランスの考え方は企業においても重要な考え方です。
- 部長が部下のアカウント・パスワードを使用する
- パートナー企業に過剰なアクセス権限を与える
- セキュリティリテラシーが低い社員が本番環境のDBにアクセスできる状態になっている
などなど、セキュリティクリアランスの考え方は当たり前なものですが、意外と守れてないことも多いのではないでしょうか?
場合によっては、同じ「部長」という役職でもセキュリティリテラシーによってアクセスできる情報に差をつけた方が良いかもしれません。
まとめ
セキュリティは年々重要度が高まっており、技術面と人的側面の両方から対策を講じることが不可欠です。
一人ひとりがセキュリティ意識を持ち、適切なアクセス制御を行うことで、より強固な情報セキュリティ体制を築くことができます。
頭では分かっていても実際には徹底できていないことも多い分野かもしれません。
サイバー攻撃に対する保険等もありますが、一度失った信頼は戻ってきません。
筆者も再度、身の回りのセキュリティを見直して見ようと思います!