情報セキュリティの基本の基本について

なんとなく、セキュリティについてまとめてしまおうと思う。

ある本でセキュリティについて以下のように書かれていて、心に残ったことがある。

セキュリティは、便利さと被害妄想との間のバランスである

割と抽象的である気がするのでもう少し具体的に落とし込んでいこうと思う。

情報セキュリティのCIA

情報セキュリティのCIAというものを聞いたことがある人もいるだろう。IPAの資格試験にもよく出てくるものであり、AP(応用情報処理),SC(情報処理安全確保支援士)などにもよく出てくる単語だと思う。 それぞれの意味としては以下の通りである。

  • 機密性(Confidentiality)・・・機密情報が意図した相手以外に漏れていないこと
  • 完全性(Integrity)・・・情報が誰にも改ざんされていないこと
  • 可用性(Availability)・・・使用可能である状態の時、使用したときに使用できること

機密性/完全性/可用性を合わせて情報セキュリティのCIAと呼ばれる。

例えば、Webサイト(ショッピングサイトとか)を例にとるとCIAは以下のことに対応している。

  • 機密性・・・パスワードやクレジットカード情報が第三者に漏れていないこと(情報漏洩/盗聴などの攻撃)
  • 完全性・・・注文した住所ではないところに荷物が届けられる(情報の改ざんなどの攻撃)
  • 可用性・・・サーバーダウンとか(DoS攻撃など)

CIAを考慮しつつセキュリティを考えていくべきってたくさんの本に書いてある。 CIAは確かに大切だけど、ショッピングサイトと個人ブログページに同じレベルのコストはかけないよね?って話

例えば、ショッピングサイトで情報漏洩/フィッシングサイトがあれば大問題にもなるし、損害額が大きくなる。だから、セキュリティにもコストをかけたほうが良いだろうということ。 そのために多段認証だとか、ワンタイムパスワードとかちょっとめんどくさくして安全性を確保している。

便利さと心配性のバランスを見誤ると息苦しくなるか、パンデミックが起こるか…

なんとなく、体系的に学習したことをまとめたくなったので、こんなことをしてみた。 技術的なことのほうは結構書きやすいけど基本の基本の部分ってあまりアウトプットしないよね…本を一回読んで流したり(理解したような気分に)しがちだけども、かなり重要だよね。