情報セキュリティとは?
セキュリティとは、情報や資産を守るための取り組み全般を指します。では、情報セキュリティとは何でしょうか?
第1講座では、この基本的な問いからスタートしていきます。
- 機密性・完全性・可用性の3要素(CIAトライアド)
第1講
まず、情報セキュリティとは何か? から考えていきましょう。
情報セキュリティとは、不正なアクセス、攻撃、窃盗、または損害から、データ・リソースを保護すること全般を指します。
その要件を満たすために、情報セキュリティの3要素と呼ばれるものがあります。
情報セキュリティの3要素には、「機密性」「完全性」「可用性」があります。それぞれの性質は、次のとおりです
- 機密性:Confidentiality(コンフィデンシャリティ)
データは、アクセスを許可された人だけが見られる状態を保つこと - 完全性:Integrity(インテグリティ)
データが不正に改ざんされたり、壊れたりしていない状態を保つこと - 可用性:Availability(アベイラビリティ)
必要なときに、データやシステムを利用できる状態を保つこと
さえちゃん、この中で相反するものがあるんだけど、それはなんだかわかるかな?
相反するもの…といえば、デザイナーズ物件はかっこいいけど、住み心地めちゃくちゃ悪いみたいな?
まあ、そんなイメージ…。トレード・オフの関係にあるものよ
トレード・オフの関係とは、片方のメリットを享受すると、もう片方はデメリットが増えていく関係のこと
正解は、機密性と可用性がトレード・オフの関係にあります。
では、最高レベルの機密性を追求してみましょう。
パソコンをネットワークに接続せず、外部メディアの使用も禁止します。さらに、パソコンを持ち運び不可能な重量にして、耐火性の高いダイヤル式金庫に保管します。そして、その金庫のある部屋に入るまでに、複数の認証を要求するように設定したとしましょう。
このような対策を施せば、確かに機密性は最大限に保たれるはずです。しかし、その代償として可用性、つまり使い勝手は著しく低下します。
インターネットに接続できず、持ち運びもできず、使用するたびに複雑な手順を踏まなければならないパソコンは、実用的とは言えません。
これは機密性100%、可用性0%という極端な例です。
なるほど…。機密性と可用性、どちらかに偏らず、ちょうどいい具合を見つけていくことが大事なんだね
最適はどこか? を探すのが、情報セキュリティではとても重要なの。特に情報セキュリティでは運用コスト面も含まれるので、情報資産をどう守っていくか? というのは、難しいテーマね
トレード・オフの関係はわかったけど、完全性が仲間外れだよね。この2つとはどういう立ち位置になるの?
完全性は、機密性や可用性とは少し異なる性質を持っていて、データの正確さと一貫性を保つ完全性は、むしろ機密性と可用性の両方を支える基盤となる要素なんだよ
ほぅ、両方を支える基盤ねぇ
例えば、データが改ざんされていたら、それがどんなに機密性高く保護されていても、また、すぐにアクセスできても意味がないよね。正しいデータであることが前提にあって、そこで初めて機密性や可用性の価値が生まれるってこと
なるほど! データが正しくなければ、機密性も可用性も関係なくなっちゃうから、そうだよね。そういう関係性か…
第1講のまとめ
- 情報セキュリティとは、不正なアクセス、攻撃、窃盗、または損害から、データ・リソースを保護すること全般を指す
- 情報セキュリティの3要素である「機密性」・「完全性」・「可用性」のうち、「機密性」と「可用性」はトレード・オフの関係にある
Confidentiality、Integrity、Availability、この3つの頭文字をとって、CIAトライアドって呼ばれています。トライアドは「三位一体」っていったらわかりやすいかな。情報セキュリティを端的に表す用語として、まず学習のスタートで覚えておいてね!