情報セキュリティの概要

サイバー攻撃が増えている昨今、情報セキュリティの重要性が高まっています。ここでは情報セキュリティの概要を確認し、現在置かれている自分の環境を振り返ることができればと考えています。

---

以下内容で確認をしていきます。

　・情報セキュリティとは

　・情報セキュリティを保つための要件

　・情報セキュリティの構成要素

　・システムの脆弱性、脅威、リスクについて

---

　・情報セキュリティとは

　現在ネットワークを利用したサービスは必要不可欠なほど社会全体に普及しています。このネットワーク上には我々の重要な情報が流れています。またはその情報が保管されています。情報セキュリティとはこれら重要な情報を守り、誰でも安全にネットワークサービスを利用できるようにするためのものです。

　ユーザ側のセキュリティ意識向上は今後課題として残っていきますが、まず安全にサービスを利用できるようにするためには、サービス提供側の責任が大きくなります。そのため、情報セキュリティの重要性はこれからさらに高くなっていくことは間違いないといえます。

---

・情報セキュリティを保つための要件

　情報セキュリティが保たれている状態とは、情報及びITインフラストラクチャー（基盤となる設備・施設）が健全であること。そして情報やサービスなどの情報資産に対して、盗難や改ざん・破壊などが起こる可能性が低いこと、または許容できる範囲であることを指します。

　上記の状態を保つためにISO/IEC270000では以下のように定義されています。

　　情報の機密性・完全性・可用性を維持すること

　これらは情報セキュリティの「CIA要件」です。CIAとは以下の頭文字をとったものです。

　・C　Confidentiality　情報セキュリティの機密性

　　　→情報を秘密にすること（見たい人だけ見れる）

　・I　Integrity　情報セキュリティの完全性

　　　→情報が改ざんされず、発信者が意図した状態（Webであれば文言など変わっていないこと）

　・A　Availability　情報セキュリティの可用性

　　　→情報が適切に運用されている状態（見たいときに確実に見れること）

　これら3つの要素がそれぞれ作業することで、情報セキュリティは成り立っています。

---

・情報セキュリティの構成要素

　情報セキュリティの構成要素を確認します。まず、ご自身がサーバへ情報を取得する時のことを考えてみます。以下のような要素を利用することが想像できると思います。

　・情報にアクセスするためのソフトウェア
　・サーバに接続するための端末機器
　・自身が利用している物理的環境
　・サーバに接続するためのネットワーク
　・情報が保存されているサーバ
　・サーバが設置されている物理的環境

　これら構成される要素のそれぞれで情報セキュリティの対策を行うことを「多層防御」（Defense In Depth）といいます。DIDと表現されることもありますが、現在の情報セキュリティの根本的な考え方です。

　これらを適切に運用するためには、セキュリティポリシーが必要になります。各要素が単独で機能しても効果が薄くなるため、これらを調和させることが効率的なセキュリティを行う上での課題となってきます。

---

・システムの脆弱性、脅威、リスクについて

　情報セキュリティを見ていく上で、以下3つを目にすることが多くあります。

　　・脆弱性（Vulnerability）
　　・脅威（Threat）
　　・リスク（Risk）

　これらが情報セキュリティではどのように定義されているのかを確認します。

　　・脆弱性

　　脆弱性とは、そのシステムが持つ欠陥のことで「バグ」と表現されることもあります。
　　設計や仕様ミスから発生することもあれば実装・運用のミスからも生まれます。
　　ほとんどが人間によって生み出されているものという認識でよいかもしれません。

　　・脅威

　　脆弱性が実際に情報セキュリティの中で危険な状況を作り出したと判断できるものが
　　脅威になります。ただし、脅威と判断しても情報資産に対して実被害ががない場合が
　　あります。

　　・リスク

　　自分たちの情報資産に影響をもたらす可能性、被害の大きさを想定したものがリスク
　　となります。情報セキュリティとは、リスクに対応するものとなります。

　情報資産に対して全く影響のない脆弱性や脅威に対応しても、コストがかかります。
　費用対効果をよく考えることも重要となってくるでしょう。

　脆弱性、脅威、リスクは以下のような関係性があります。

　リスクを正確にとらえるには、脅威を正確に確認しそれが自身の情報資産にどのような影響をもたらすか考える必要があります。これをリスク評価といい、情報セキュリティにおいて重要な作業となります。

使用するシステム、ソフトウェアの脆弱性は日々発見されています。そのため、脆弱性を元にリスク評価を行うと膨大な作業量となります。なのでリスク評価の判断は脅威に対して行うことが望ましいといえるでしょう。

---

・最後に

　情報セキュリティは日々の対応が重要になります。1度の評価を長く守るのではなく常に脅威を確認しながら対策を打っていくことが大切です。一度ご自身の環境を見直す良い機会になったら幸いです。