1.👋 はじめに
「セキュリティって大事なのはわかるけど、何から学べばいいの?」
「脅威・脆弱性・リスクの違いって何?」
「攻撃者ってどんな人たちなの?」
セキュリティの世界は専門用語が多く、最初はとっつきにくく感じますよね。
この記事ではセキュリティの根っこにある考え方をやさしく解説します。ここをしっかり理解しておくと、あとの知識がスムーズに身につきます💪
この記事を読めば:
- ✅ セキュリティの目的がわかる
- ✅ CIA三原則(機密性・完全性・可用性)がわかる
- ✅ 脅威・脆弱性・リスクの違いがわかる
- ✅ 攻撃者の種類と動機がわかる
- ✅ セキュリティの基本的な考え方が身につく
2. 🎯 セキュリティとは何か?
一言で言うと
情報セキュリティとは「大切な情報を守るための取り組み全般」です。
守るべきもの:
💾 データ(顧客情報・財務情報・機密文書)
🖥️ システム(サーバー・ネットワーク・アプリ)
🏢 ビジネス(サービスの継続性・信頼・評判)
何から守るか:
👿 悪意ある攻撃者
😓 内部の不正・ミス
🌪️ 自然災害・システム障害
なぜセキュリティが重要なの?
セキュリティインシデントが起きると…
💸 金銭的損失
└─ 不正送金・身代金・復旧コスト
└─ 事例:某大手企業がランサムウェアで数億円の損失
🏷️ 信頼の失墜
└─ 顧客情報漏洩 → ユーザーが離れる
└─ 事例:大規模な個人情報漏洩で株価が急落
⚖️ 法的責任
└─ 個人情報保護法・GDPRなどへの違反
└─ 罰金・訴訟リスク
🚫 サービス停止
└─ DDoS攻撃・システム破壊で業務停止
└─ 事例:病院のシステムが停止し診療ができなくなった
3. 🔺 CIA三原則:セキュリティの根幹
情報セキュリティの世界では「守るべき3つの性質」があります。それがCIA三原則です。3要素とも言ったりします。
🔒 機密性
(Confidentiality)
/\
╱ ╲
╱ ╲
╱ CIA ╲
╱ 三原則 ╲
╱___________╲
🔗 完全性 ⚡ 可用性
(Integrity) (Availability)
🔒 C:機密性(Confidentiality)
「見せてはいけない人には見せない」
機密性とは:
権限のある人だけが情報にアクセスできる状態
機密性が失われると:
❌ 顧客の個人情報が外部に漏洩
❌ 社外秘の設計書が競合他社に流出
❌ パスワードが盗まれて不正ログイン
機密性を守る手段:
✅ アクセス制御(誰がアクセスできるか管理)
✅ 暗号化(盗まれても読めない状態にする)
✅ 認証(本人確認を行う)
🔗 I:完全性(Integrity)
「最新かつ正しい状態で、勝手に書き換えられていない」
完全性とは:
情報が正確・完全で、不正に変更されていない状態
完全性が失われると:
❌ データベースの金額が書き換えられる
❌ ソフトウェアにマルウェアが混入される
❌ ログファイルが改ざんされて証拠が消える
完全性を守る手段:
✅ ハッシュ値(データの指紋のようなもの)による改ざん検知
✅ デジタル署名(誰が作ったか証明)
✅ アクセスログの記録
✅ バックアップ(改ざん前の状態を保持)
⚡ A:可用性(Availability)
「使いたいときに使える」
可用性とは:
必要なときに情報やシステムが利用できる状態
可用性が失われると:
❌ DDoS攻撃でWebサイトがダウン
❌ ランサムウェアでシステムが使えなくなる
❌ 自然災害でデータセンターが停止
可用性を守る手段:
✅ 冗長化(サーバーを複数用意・※予備を用意して二重にすること)
✅ バックアップ・ディザスタリカバリ
✅ DDoS対策(AWS Shield・Cloudflareなど)
✅ 監視・自動復旧の仕組み
CIA三原則のトレードオフ
⚠️ セキュリティのジレンマ
機密性を高める → アクセスを厳しく制限
→ 可用性が下がる(使いにくくなる)
可用性を高める → 誰でも簡単にアクセスできる
→ 機密性が下がる(漏洩リスク増)
つまり:
セキュリティ ↑ = 利便性 ↓
利便性 ↑ = セキュリティ ↓
→ バランスをとることが重要!
「完璧なセキュリティ」はそもそも存在しない
CIA三原則のまとめ
| 原則 | キーワード | 失われると | 守る手段 |
|---|---|---|---|
| 🔒 機密性 | 見せない | 情報漏洩 | 暗号化・アクセス制御 |
| 🔗 完全性 | 改ざんしない | データ破損・改ざん | ハッシュ化・デジタル署名 |
| ⚡ 可用性 | 使えるようにする | サービス停止 | 冗長化・バックアップ |
4. ⚠️ 脅威・脆弱性・リスクの違い
セキュリティの世界でよく混同される3つの用語を整理します。
建物で例えてみよう🏠
【脆弱性】= 建物の「弱点」
└─ 鍵のかかっていない窓
└─ 壊れたフェンス
└─ 監視カメラの死角
【脅威】= 弱点を狙う「存在・出来事」
└─ 泥棒
└─ 台風
└─ 火事
【リスク】= 「損害が起きる可能性」
└─ 鍵のない窓(脆弱性)× 泥棒(脅威)= 空き巣リスク
└─ リスク = 脆弱性 × 脅威 × 影響度
IT システムで例えると
【脆弱性(Vulnerability)】
システムの弱点・欠陥
└─ パッチが当たっていないOS
└─ SQLインジェクションが可能なコード
└─ 「password123」という弱いパスワード
└─ 多要素認証が設定されていないVPN
【脅威(Threat)】
脆弱性を悪用しようとする存在・事象
└─ ハッカー・クラッカー
└─ マルウェア
└─ 内部の不正者
└─ 自然災害
【リスク(Risk)】
実際に被害が発生する可能性とその影響
└─ リスク = 脅威が成功する確率 × 被害の大きさ
└─ 高リスク:対策が急務
└─ 低リスク:受け入れるか低コストで対応
リスクへの4つの対応方法
①リスク回避(Avoidance)
└─ リスクの原因となる活動自体をやめる
└─ 例:危険なサービスを廃止する
②リスク軽減(Mitigation)
└─ 対策を実施してリスクを小さくする
└─ 例:パッチを当てる・MFAを導入する
③リスク転嫁(Transfer)
└─ リスクを第三者に移す
└─ 例:サイバー保険に加入する・クラウドに任せる
④リスク受容(Acceptance)
└─ リスクを認識したうえで受け入れる
└─ 例:コストと影響を比較して「このリスクは許容」と判断
5. 👿 攻撃者の種類と動機
「誰が攻撃してくるのか?」を知ることも重要です。
攻撃者の種類
🎩 ブラックハット(悪意のあるハッカー)
└─ 金銭目的・愉快犯・スパイ活動
└─ 企業・政府・個人を攻撃
└─ ランサムウェア・情報窃取・サービス妨害
🤍 ホワイトハット(倫理的なハッカー)
└─ 許可を得てセキュリティ診断を行う
└─ ペネトレーションテスター・セキュリティ研究者
└─ 脆弱性を発見して報告・修正を助ける
🩶 グレーハット(中間的なハッカー)
└─ 許可なく侵入するが悪用はしない
└─ 脆弱性を発見して報告(方法は違法)
🏢 国家支援型攻撃者(APT)
└─ 国家の支援を受けた高度な攻撃集団
└─ 長期間・隠密に活動(APT:高度持続的脅威)
└─ 政府機関・重要インフラが標的
😡 内部脅威(Insider Threat)
└─ 組織内部の従業員・元従業員
└─ 意図的な情報漏洩・不正アクセス
└─ または不注意・ミスによる事故
🤖 スクリプトキディ
└─ 既存のツールを使うだけの低スキル攻撃者
└─ 技術的理解は低いが数が多い
└─ 自動化ツールで手当たり次第に攻撃
攻撃者の動機
| 動機 | 攻撃者の例 | 目的 |
|---|---|---|
| 💰 金銭 | サイバー犯罪組織 | ランサムウェア・詐欺・情報販売 |
| 🕵️ スパイ活動 | 国家支援型APT | 機密情報の窃取 |
| 😤 報復・恨み | 元従業員 | データ破壊・情報リーク |
| 🎭 愉快犯 | スクリプトキディ | 目立ちたい・スキルの誇示 |
| 🌍 思想・主義 | ハクティビスト | 政治的メッセージの発信 |
| 🔍 好奇心 | 研究者・グレーハット | 技術的な探求 |
6. 🛡️ セキュリティの基本的な考え方
① 多層防御(Defense in Depth)
「1つの対策が突破されても次の壁で止める」
🌍 インターネット
↓
🔥 ファイアウォール(第1の壁)
↓
🌐 DMZ・WAF(第2の壁)
↓
🔐 認証・認可(第3の壁)
↓
🔒 暗号化(第4の壁)
↓
📋 ログ監視・検知(第5の壁)
→ どれか1つが突破されても
次の層で食い止める!
② 最小権限の原則(Principle of Least Privilege)
「必要最小限の権限だけを与える」
❌ 悪い例:
全従業員に管理者権限を付与
→ 1人が感染しただけでシステム全体が危険
✅ 良い例:
経理担当 → 経理システムのみアクセス可
開発者 → 開発環境のみアクセス可
管理者 → 必要な時だけ管理者権限を使う
→ 被害範囲を最小限に抑える!
③ 多要素認証(MFA)の重要性
認証の3要素:
🧠 知識情報(Something You Know)
└─ パスワード・PINコード・秘密の質問
📱 所持情報(Something You Have)
└─ スマートフォン・セキュリティキー・ICカード
👁️ 生体情報(Something You Are)
└─ 指紋・顔認証・虹彩
多要素認証(MFA) = これらを2つ以上組み合わせる
例:パスワード(知識)+ SMS認証(所持)
→ パスワードが盗まれても
スマホがなければログインできない! 🔒
④ セキュリティバイデザイン(Security by Design)
「後付けでなく、最初から設計に組み込む」
❌ 悪い例(後付けセキュリティ):
機能を全部作ってから
「さあセキュリティ対策をしよう」
→ 根本的な設計が弱い・対策が中途半端
✅ 良い例(セキュリティバイデザイン):
設計段階から
「このデータは誰がアクセスできる?」
「この入力値は検証しているか?」
「ログはどこに記録する?」
を考える
→ 後から直すより早く・安く・確実!
⑤ ゼロトラスト(Zero Trust)
「信頼しない・常に確認する」
従来の考え方(境界防御):
社内 = 安全・社外 = 危険
→ 社内に入れば信頼する
ゼロトラストの考え方:
場所を問わず、すべてのアクセスを検証する
→ VPNで社内に接続しても毎回認証・認可
なぜ必要?
クラウド・リモートワーク・IoTの普及で
「社内・社外」の境界があいまいになったから
7. 🎯 まとめ
| 概念 | 一言で言うと |
|---|---|
| 🔒 機密性(C) | 権限のある人だけが情報にアクセスできる |
| 🔗 完全性(I) | 情報が正確で改ざんされていない |
| ⚡ 可用性(A) | 必要なときにシステムが使える |
| ⚠️ 脆弱性 | システムの弱点・欠陥 |
| 👿 脅威 | 弱点を狙う存在・出来事 |
| 📊 リスク | 被害が起きる可能性とその影響度 |
| 🛡️ 多層防御 | 複数の防御層で攻撃を食い止める |
| 🔑 最小権限 | 必要最小限の権限だけを与える |
| 📱 多要素認証 | 複数の認証要素を組み合わせる |
| 🏗️ セキュリティバイデザイン | 最初から設計にセキュリティを組み込む |
セキュリティは「100%安全」を目指すのではなく、リスクを適切に管理することが目的です。CIA三原則を軸に、脅威・脆弱性・リスクを正しく理解することで、効果的なセキュリティ対策が立てられるようになります🌟
次回は認証・認可・暗号化を詳しく解説します!パスワードの仕組み・多要素認証・公開鍵暗号・デジタル署名など、セキュリティの核心技術を深掘りします!
💬 質問や感想があれば、コメント欄でお気軽にどうぞ!
👍 役に立ったら、いいね&ストックをお願いします!
🎓 ここまで読んでくださって、本当にありがとうございました!
🔗 シリーズ記事
- 【第一回】CIA三原則・脅威・脆弱性・リスクをやさしく解説(この記事)
- 【第二回】認証・認可・暗号化(近日公開)
- 【第三回】Webアプリケーションの攻撃と防御(近日公開)
- 【第四回】ネットワークセキュリティ(近日公開)
- 【第五回】セキュリティ設計と運用(近日公開)
- 【第六回】最新のセキュリティトレンド(近日公開)