情報セキュリティはセキュリティの基本中の基本
情報セキュリティとは
情報処理安全確保支援士のテキストの一番最初に書かれている内容ですね。
2.33 情報セキュリティ(information security)
情報の機密性(2.12),完全性(2.40)及び可用性(2.9)を維持すること。
※日本工業規格JIS Q27000:2014
ホワイトハッカー(Ethical Hacking)仕事は簡単に言うと、コンピュータのハードディスクに格納されているファイル(情報)を守ることですね。
私事ですがインターネットの無い時代は会社から巨大なラップトップパソコンが支給されていて、3.5インチのフロッピーディスクにファイルを書き込んで情報をやりとりしてました。
その時のブラックハットハッカーは「3.5インチのフロッピーディスク」を盗むしかなかったのですね。(スタンドアロンの時代)
今は、ファイルはハードディスクに格納され、ファイルの容量も巨大になり、ネットワーク回線を利用して簡単にファイルのやり取りができるようになりました。(オンラインの時代)
情報技術や通信技術が発達したおかげなのですが・・・
要は、全てのコンピューターがネットワークでつながった結果、他人のパソコンに覗きにいくことが可能になったのですね。
そこで、「情報と情報にかかわる全ての資産」を守るために「情報セキュリティ」ができました。
情報と情報にかかわる全ての資産とは
- ハードディスクに格納されているファイル(情報)
- コンピューター(ハードウェア)
- ハードディスクやUSBなどの記録媒体
- データベース
- ソフトウェア
- ネットワーク
- 施設、人、書類
- 設備(電話、ファックス、書類、人間、電気、水道、ガス) ・・・など
どれか一つ障害が起きても運用が止まってしまうからです。
これらの情報資産を守るためにできた「情報セキュリティ」ですが、JIS Q 27000によって、情報の「機密性」、「完全性」、「可用性」を維持することと定義されています。
JISはご存じのとおり「日本産業規格」日本の国家規格のことで、重要だとわかりますね。
でも、「機密性」、「完全性」、「可用性」ってなんのこっちゃよくわかりませんね。
機密性(confidentality)
2.12 機密性(confidentiality)認可されていない個人,エンティティ又はプロセス(2.61)に対して,情報を使用させず,また,開示しない特性。
日本工業規格JIS Q27000:2014
機密性とは簡単に言うと「決められた人だけが対象のデータにアクセスできるようにする」ことです。
誰が「極秘情報」にアクセスできるのか?
アクセスといっても「追加できる」「参照できる」「変更できる」「削除できる」などありますが
たとえば
- 重役だけアクセスできる。
- システム室の担当だけアクセスできる。
- 人事部の担当だけがアクセスできる。
- 新入社員(入社一年目)はアクセスできない。
大事な情報を他人に見らないようにすることです。要は「極秘情報」の取り扱い方(ルール)になります。
パソコンから特定の情報をアクセスするとか、コンピューター室、研究室(施設)や、特定のエリアに入出するときに「ID」「パスワード」で管理することにより、情報の漏洩を防ぎリスクが減らせます。
[word_balloon id="1″ size="M" position="L" name_position="under_avatar" radius="true" balloon="talk" balloon_shadow="true"]銀行のコンピュータセンターに勤めていた時に、コンピュータセンターに入出するときに顔写真付き「IDカード」を守衛さんに見せて持ち物のチェックをして入室し、常に「IDカード」を首からぶら下げ、コンピュータ室に入る際は「ID」と「パスワード」で入出していました。また、コンピューターにログインするときも「ID」と「パスワード」で開発だけできる環境でした。[/word_balloon]
[word_balloon id="1″ size="M" position="R" name_position="under_avatar" radius="true" balloon="talk" balloon_shadow="true"]余談ですが「IDカード」を忘れるとコンピュータセンタに入れません。欠勤になります。コンピュータセンタでは「IDカード」を常に首からぶら下げていないと守衛さんに捕まります。コンピュータ室に入るときに「パスワード」を間違えると守衛室に連行されます。すごく厳しいですがあたりまえですね。「IDカード」に顔写真をつけたり、パスワードも複雑にして管理されていました。[/word_balloon]
完全性(Integrity)
2.40 完全性(integrity)正確さ及び完全さの特性。
日本工業規格JIS Q27000:2014
完全性とは簡単に言うと「情報が正しく保たれている」ことです。
提供する情報が正しいとは
- ホームページやファイルの内容が悪意をもって変更されていないこと。
- 地震や火災、他人からの攻撃によって情報が破壊された場合に、バックアップより復元できること。
- 操作ミスにより情報が変更されることを防ぐこと。
- プログラムのバクにより誤って情報が変更になった場合のリカバリーができること。
[word_balloon id="1″ size="M" position="L" name_position="under_avatar" radius="true" balloon="talk" balloon_shadow="true"]情報(プログラム、データ)は常にバックアップを取っておき。障害が発生した場合にすぐ情報をリカバリーできることですね。[/word_balloon]
とりあえず、情報に問題が発生したら元に戻せることですね。
可用性(Availability)
2.9 可用性(availability)認可されたエンティティが要求したときに,アクセス及び使用が可能である特性。
日本工業規格JIS Q27000:2014
可用性とは簡単に言うと「情報がいつでも提供して、いつでも利用できる」ことです。
いつでも情報が利用できるとは
- コンピューターやネットワークに障害が発生しても代替えコンピュータに切り替えて安全に運用が続けられること。
- 停電など起きてもUPS(無停電電源装置)で電源供給してコンピュータが安全に運用できること。
[word_balloon id="1″ size="M" position="L" name_position="under_avatar" radius="true" balloon="talk" balloon_shadow="true"]公共のシステムに携わっていたとき、大型コンピーターを正、副と2台用意して、正のコンピューターが障害を起こした場合(ハード障害など)、自動的に副のコンピューターに切り替わり運用をしていました。
また、ホームページは「本番用」と「サブ用」を構築しておいて、何か問題があった場合に「本番用」を停止して「サブ用」を「本番用」に切り替えて運用していました。[/word_balloon]
「機密性」、「完全性」、「可用性」について、自分だったらこんなことができるなとイメージできれば理解しやすいと思います。