IT分野におけるセキュリティとは、
パソコンやスマホなどから大切な情報が流出したり、
所有者の許可なく使われたりせず、
安全に利用できるようにすることです。
IT分野でのセキュリティにおいては、
情報の
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
を維持することが重要であるとされており、
英単語の頭文字を取って「情報セキュリティのCIA」と呼ばれることもあります。
この3要素は、これまでのレッスンで学んだ「脅威」から守るには
必要不可欠な要素です。
各要素について詳しく見ていきましょう。
機密性(Confidentiality)
「機密性」とは、許可された人やデバイスだけが、
情報にアクセスできることです。
機密性をわかりやすい例で説明すると、
企業では会社の重要な情報にアクセスできる権利は、
限られた人(例えば部長以上など)にしか与えられていませんが、
これが機密性です。
また、アクセス権にランクを設定する場合もあるでしょう。
このランク以上の人はこの情報を書き換えることができるが、
ランク以下の人は閲覧のみできる、というのも機密性(アクセス権の設定)です。
機密性にはこの他にも、
- パスワードを設定する
- データの暗号化
などがあります。
機密性が保たれていなければ、
情報漏洩や情報の悪用により企業の信頼を損なったり、
法的責任を追わなけらばならないこともあるので、
非常に重要な要素になります。
完全性(Integrity)
「完全性」とは、情報が不正に削除されたり書き換えられておらず、
かつ最新の情報に更新されており、
正確で、完全な状態であることです。
完全性を保つには、
情報が書き換えられていないことや、情報が欠けていないことを
確認する必要があります。
例えば、
- バージョン管理
- データのバックアップ
などの方法があげられます。
バージョン管理では、ファイルにアクセスした人や、
どのように情報を変更したかを、
遡って確認することができます。
また、データをバックアップしておくことで、
データが破損してしまった時などに復元が可能です。
可用性(Availability)
「可用性」は、アクセスすることを許可された人やデバイスが、
いつでも使いたい時に利用できる状態にしておくことです。
システムに障害が発生せず、発生したとしてもすぐに復旧され
利用できる状態であること、これが「可用性が高い」状態です。
可用性が低い状態は、例えば、
システムに大量のアクセスがあり、つながらない・つながりにくい状態などです。
またシステムメンテナンスなどで、
一時的にサーバーに入れないことも可用性を低くしてしまいます。
つまり可用性は、先ほど解説した機密性と相反するものであり、
機密性を高めると可用性が低くなり、
可用性を高めると機密性が低くなります。
アクセス権やパスワードの設定で情報へのアクセスを制限しつつ、
アクセス権を与えられた人が使いやすいように可用性も高める、
バランスを考える必要があるのです。
一方で、サイバー攻撃を受けたり、突然の災害でシステムが停止すると、
可用性を保つことができません。
こういったことを避けるためには、予備の設備を用意しておいて、
一部の設備が使えなくなっても稼働できるような体制にしておく必要があります。
セキュリティでもっとも重要な3要素について解説しました。
次のレッスンでは3要素以外の重要な要素についても学びます。
