IT社員3人組によるリレーブログ

某IT企業に勤める同期3人が、日常で思ったことを記録していきます (twitter: @go_mount_blog)

情報セキュリティ基本要素(CIA)について説明します (初心者、就活生向け)

サイバーセキュリティ Shohei 初心者向け

どうも、ITコンサルタントのShoheiです。

 

遅くなってしまいましたが、初回記事で触れた本をようやく読み終わりました。

それぞれの本のレビューは後日気が向いたら書こうかと思いますが、

やはり色んな書籍から情報収拾するのはすごく有益ですねー。

 f:id:go-mount:20180814181438j:image

色々と読んできましたが、今日は一周回って、情報セキュリティの基礎の基礎、情報セキュリティのCIAについて解説をしていきたいと思います。

かなり初歩的な内容ですが、全ての基礎となるので、IT関連の人も今一度押さえておきましょう。

 

 

情報セキュリティとは

情報セキュリティとは、情報資産を危険なものから保護し、安全に保つことを言います。

情報資産は、PCやソフトウェア、紙媒体を含むデータ、ネットワーク設備などに加え、業務に関するノウハウだとか、会議での発言内容なども含まれます。

そいつらを如何に脅威から守り、安全に保つかを考えること、実践すること、それが情報セキュリティです。

安全に保つってなんやねん

上述の定義だと、何をすれば安全と言えるかが曖昧ですが、有名なセキュリティ対策実践規範(JIS Q 27002)が、セキュリティを構成する三要素を以下のように定義してくれています。

組織では、以下の三点をバランスよく実現することを念頭に、セキュリティ対策を進めています。

今日はそれぞれについて説明していきます。

f:id:go-mount:20180814184221p:plain

 

 機密性とは(Confidentiality)

機密性というのは、読んで字のごとくですが、権限のない人が情報を利用できないようにすることです。

下の例ですと、左の犬には情報資産へのアクセス権限を与えるが、右の犬は社外の犬なのでアクセスさせないように設定する、といったものです。

f:id:go-mount:20180814200134p:plain

よく個人情報何万件流出!といったようなニュースを見るかと思いますが(Yahooの件とか、年金機構の件とか)、これは機密性が失われた、と言い換えることができます。

 

機密性を保つための対策として、以下のようなものがあげられます。

・アクセス制御

(そもそも誰にアクセスさせていいのかを決め、アクセスできないような設定をかける)

・暗号化 (例え不適切な人にデータを見られたとしてもわからないようにする) 

 

完全性(Integrity)

情報資産が正確である状態を維持することです。

まずは下の絵をご覧ください。

 

f:id:go-mount:20180814201848p:plain

上図の上のケースだと、伝えた情報(メッセージ)が正確に伝わっています

しかし、下のケースだと悪意を持つ第三者によって情報が改ざんされているため、情報の完全性が失われています

極端な例でいうと、完全性が失われたことに気づかずに1時に公園に行った結果、知らない人に拉致されてしまうかもしれません。

情報の価値と信頼性を担保するためにも、この完全性を保つための対策は重要となります

 

完全性担保のための対策は以下のようなものがあげられます。

・各種デジタル証明書 (この情報の出所や情報自体は怪しいものではないですよ、と第三者に証明してもらう仕組み)

・改ざん検知 (情報と、その情報から生成される証明符号のようなものをセットで送り、送信者側で証明符号を生成したときにそれらが一致しないと、改ざんされたとみなします)

 

可用性(Availability)

最後は可用性です。

必要なときに、情報資産を利用できる状態にすることです。

例えば以下のケースは可用性が失われている状態です。

f:id:go-mount:20180814203024p:plain

 

え、これも情報セキュリティで考えるべきことなの?って思う方もおられるかもしれませんが、これも一つの要素になります。

 

あえてもう一つ例を出しましょう。

情報資産が、通販会社のWebページだとします。

悪意のある第三者によって、大量のアクセスを仕掛けられ、Webページが使えなくなりました。

この場合、情報の完全性も機密性も失われていませんが、可用性を失うことで大事なビジネスチャンスを失っていますよね

f:id:go-mount:20180814203403p:plain

こんなことあるの?と思われる方もいらっしゃるかもしれませんが、DoS攻撃DDoS攻撃など、これを目的とした攻撃が起きることは日常茶飯事です。

また、"明日お前の企業にDDoS攻撃仕掛ける。仕掛けられたらお前らのビジネスも止まるし評判も落ちるぜ。やめて欲しかったら金銭払いな"なんていう脅迫犯罪のケースも多々あるようです。

 

"ほんとにそんなことあるの?そんな、サイバー攻撃なんて滅多に起こるわけないじゃん"って方。

では自分の目で確かめて見てください。

Digital Attack Mapというサイトにいくと、今現在起きているDDoS攻撃が可視化されています。Googleが運営しているサイトで、怪しいサイトではないです。

サイトが重かったりするのでスクショを貼っておくと、以下のような様子で攻撃が見える化されています。さすがGoogle。。。面白いですね。

f:id:go-mount:20180814205018p:plain

話を戻すと、可用性担保のために上記のような攻撃への対策ツールをいれておくだとか、そもそもの基盤を冗長化(壊れたり攻撃にあったりしても、持ちこたえられるようにしておく)をすることが対策となります。

 

まとめ

情報セキュリティ三大要素、CIAについて説明しました。