そもそもセキュリティとは何か?セキュリティの意味を詳しく説明
最終更新日:2021年04月30日
セキュリティとは何か?どんな意味があるのか。
私たちが暮らす現代社会では、いろいろな場面で「セキュリティ」という言葉が使われています。しかしセキュリティの意味を問われて、明確に本当の意味を答えられる人は少ないのではないでしょうか。
ここではサイバーセキュリティについて語る前に、そもそもセキュリティとは何か、どんなことを意味するのかを簡単に説明していきます。
セキュリティの意味
「セキュリティ」は、英語で「security」と書き、一般的には、安全、防犯、保安、防衛、防護、治安、安心、安全保障などの意味があります。語源はラテン語の「セクーラ (sēcūra)(心配がないこと)」から来ていると言われています。
「セキュリティ」という用語は,一般的には故意の攻撃からの防衛の意味で使われますが、守るものによって、いろいろな意味合いがあります。
例えば個々人のセキュリティと言えば、個人の命、財産、住居を守る「警護・警備」。組織を守る「警備・保安」。国家を守る「防衛」、そして、大切な情報資産を守る「情報セキュリティ」です。
特に近年、ネットワークが発達し、ネットワークを通じて多種多様な媒体が繋がるにつれて、様々な脅威にさらされるようになったため、情報セキュリティの中でも、特にデジタルデータのサイバーセキュリティの強化が必要になりました。
情報セキュリティの定義
総務省の「国民のための情報セキュリティサイト」※によると、情報セキュリティとは、一般的には、情報の機密性、完全性、可用性を確保することと定義されています。
つまり、紙に記載されているものから、パソコンのHDD、SSD、USBメモリなどの媒体に保管されているファイルでの顧客情報、従業員の個人情報、人事情報、取引先とのメールのやりとりの履歴等々、会社にとって大切なデータ(情報資産)を安全・安心に使うための「防護」が「情報セキュリティ」です。そして、情報セキュリティを確保するための対策が、情報セキュリティ対策です。
もう少し噛み砕いて説明しますと、個人で、あるいは会社で、パソコンやスマートフォンなどインターネットに繋がる機器を通じてIT環境を使用する際に、情報が漏れたり、情報が破損したり、その他の影響などで普段使えるサービスなどが使えなくなったりしないように対策を行うことが情報セキュリティ対策なのです。
なお、情報セキュリティに関する事故や攻撃を情報セキュリティインシデントと言い、事故や攻撃などの問題が起きた時には「インシデントが発生した。」などと使われます。
※国民のための情報セキュリティサイト 情報セキュリティって何?
情報セキュリティの定義、3要素とは
情報セキュリティの意味を考える時に大切な、セキュリティの3要素というものがあります。その3要素とは「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」のことです。
情報セキュリティの3要素は、3つの頭文字をとってCIAと呼ばれています。
これら3つの要素は、大切な情報資産の改ざんや消失、物理的な破損を防ぎ、安全に情報を取り扱うために留意するものとして「ISO/IEC 27001(国際的に通用させる規格や標準類を制定するための国際機関の規格)」、「JISQ27000(国際規格を日本語訳したもの)」で定義されています。
これら3つの要素が揃っていないと、情報セキュリティが万全であると言えないのです。
これら3つの要素についてさらに詳しく説明します。
機密性
情報セキュリティにおける「機密性」とは、大切な情報が、許可されている特定の人しか決まった作業「閲覧(見る)」「更新(変える)」「削除(消す)」が限られた人にしかできないようにするなど、情報に対するアクセス権限の保護・管理を徹底することです。
例えば、会社で個人のクライアント情報のデータファイルを自分が作成した場合、自分はなんでもできます。同じ部署内で手伝いをしてくれる人なら、その人も変更ができるようになっていなくてはいけませんので、変更できるようにする必要があります。
社内の別部署の人なら、状況に応じて閲覧だけなら可能にするかもしれません。しかし、個人情報を扱うファイルですので、情報が漏れないようにそれ以外の人は何もできないようにする必要があります。
このように、情報を必要に応じて区別して権限を付与し、保護・管理を行って、守られるようにすることが機密性です。
機密性が守られなかった場合、情報資産の漏洩や改ざん、削除などが行われてしまう可能性が高まります。
具体的な機密性を保持する対策には以下のようなものがあります。
・情報資産を保存するHDDなどの媒体は、正しくアクセスコントロールされている場所に設置し、正しく運用する
・パスワードは簡単に盗み取られるような「11111111」「12345678」などの単純なものにしない
・IDやパスワードなどをメモなどに残して保管しない
・情報資産を外部へ持ち出されることがないように、媒体の管理を行う
・正当な権限を持つ者だけが情報にアクセスできる仕組みを作り、守るよう徹底する
・アクセス権の設定や、暗号化などの情報漏洩防止対策も行う
完全性
情報セキュリティにおける「完全性」とは「情報が正確で、完全な状態」であることです。それは、データに間違いがなく、最新のものである状態を言います。
データが誰かに改竄されていたり、一部、あるいは全部が削除されてしまったり、顧客情報が古いものに置き換わっていて使えないものだとしたら業務に支障が出てしまいます。
このような事が起きず情報が正確で完全な状態である状態を保つことが、情報セキュリティでは「完全性」と言います。
以下のような対策を行うことで完全性を保つようにします。
・誰が、いつ、どのようなデータにアクセスしかを記録するなど、完全性を担保するための規定を設定した上で、手順書やマニュアルを作成し、遵守するよう徹底する。
・情報資産へアクセスする際に操作制限を加えて、不特定多数の人間がデータにアクセスして改善や削除などを行わないようにする。
・暗号化したデータを保管・利用するなど、データの破壊やミスによる上書きなどを防ぐための技術的・物理的な対策を行う。
完全性が守られなかった場合、情報資産の改竄や削除の可能性があります。
可用性
「可用性」とは、その情報資産への正当なアクセス権を持つ人が、情報資産を使いたいときに安全にすぐにいつでも使えるようにしておく事です。前に上げた「機密性」と「完全性」が保たれているうえで成り立つ要素です。
会社の顧客情報などは、外部に漏洩してはいけないデータですが、セキュリティが厳しすぎてデータを必要とする社員がすぐ見られない状態では意味がありません。
安全・安心の状態な状態で、すぐに必要なデータを使える事が「可用性」なのです。
医療用、金融、交通などのシステムが障害を起こして復旧に何日もかかったら、甚大な被害が発生する事は想像に難くありません。
そのため、可用性を守るために様々な対策が考えられています。
主に、可用性を高めるためには「冗長化」という方法が取られます。
冗長化とは何か
「冗長化」とは、全く同じものを複数台用意し、障害に備えるという事で、「冗長化」あるいは「多重化」と呼ばれています。
「冗長」というと無駄が多いとか長いという、悪い意味で捉えられる事が多いと思いますが、情報セキュリティにおいては、良い意味で使われます。
障害が起きた場合に大変な問題となる医療、金融、交通などインフラのシステムは、ファイブナイン(99.999%)の稼働率が求められる水準があります。
これは、データを使いたい時に99.999%の確率で使えるようになっている事です。1年で考えると、365日のうち5分程度しか止まっても良い事になりません。
大きなデータなら、更新するだけでも多大な時間がかかりますので、バックアップしていたデータを上書きしたら良いというわけにいかないのです。
ここで、「冗長化」が必要になるのです。全く同じものが二つ以上あれば、何かあった時にすぐ使う事ができ、復旧に時間がかかりません。
情報セキュリティにはあと4つの要素がある
情報セキュリティには、大切な3つの要素「機密性」「完全性」「可用性」がありましたが、現在はそれに加えて、4つの要素が定義され「JIS Q 27000:2019 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語」では、「情報セキュリティ(information security)とは、情報の機密性(3.10),完全性(3.36)及び可用性(3.7)を維持すること。 注記 さらに,真正性(3.6),責任追跡性,否認防止(3.48),信頼性(3.55)などの特性を維持することを含めることもある。」と記載されています。
ここで、追加された4つの要素について簡単に説明します。
真正性(Authenticity)
「真正性」を維持するとは、なりすましではなく、利用者の情報が本物であるという特性を維持する事です。真正性を維持するためには、デジタル署名や二段階認証システムの導入、指紋認証、顔認証などの生体認証システムも利用されています。
責任追跡性(Accountability)
「責任追跡性」を維持するとは、企業や個人などが、行なった動作を追跡し、責任を追求できるようにする特性を維持することです。操作ログやアクセスログが主な対策で、インシデントが発生した場合、追跡できる記録があれば、犯人が特定しやすくなります。
否認防止(Non-repudiation)
「否認防止」を維持するとは、情報に関する事象や行動が後から否認されないよう証明する能力です。「責任追跡性」が担保されることで対策する事ができます。情報漏洩や不正アクセスによって、データ改ざんが行われてしまった場合、改ざんされた内容が正確ではない事を示さなくてはいけません。
自分たちで改竄したのではない事を証明するために、犯人を特定したとしても、改竄を行なった側が「自分はやっていない。」と否認する場合があります。それを防ぐ情報セキュリティが、「否認防止」です。
このような場合に備えて、アクセスログ・操作ログ、デジタル署名などを残しておき、特定された本人が否認できないよう防止することができます。
情報セキュリティにおいては、7要素ではなく6要素と言われることもあり、その場合、否認防止は2.の責任追及性に含めて考えられます。
信頼性(Reliability)
「信頼性」を維持するとは、システムなどが、欠陥や不具合などがなく意図した通りの結果を出し、安心して利用できるよう維持することです。
可用性はシステムを利用する側が安心して使えることで、信頼性はシステムを提供する側が安心できるものを提供することのように解釈できます。
まとめ
情報セキュリティ対策は「網羅性(取りこぼしが無いように色々な事をもれなく実行する事)」が大切です。
7つの要素をしっかり理解し、大切なデータを守るための対策を行いましょう。
◆企業一覧
◆ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます!この機会に、Industlink Collegeへ登録しませんか?
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら
「数あるソリューションのなかでどれが自社に最適か?選びきれない」などとお悩みの方へ。
沖縄県から委託をうけた事務局が中立的な立場でご相談に対応いたします。お気軽にご相談ください。