サイバーセキュリティとは?
サイバーセキュリティとは
サイバーセキュリティという単語を情報セキュリティと同じ意味として使われているように思います。 書籍などでは、情報セキュリティと表現されています。これは、簡単には企業や組織の情報資産を守ることとよく説明されます。
特に、企業では経営資源を「人、モノ、金」とよく言いますが、最近ではここに「情報」を加えて、「人、モノ、金、情報」と言ったりするようです。 情報の大切さは、みなの納得するところでしょう。
では、情報資産とは具体的に何を言うのかって疑問に思うと思います。 「資産」というぐらいですから、これは「価値」があるものことを指します。 なので、「価値」がないものは「情報資産」には含めないようです。 例えば、次のようなものは情報資産には含まれないようです。
- 企業所在地
- 事務所電話番号
- Webページ上で発信している情報
みんなが知っているようなものは、情報として「価値」がなく資産でない上に、守ることができませんね。 ただし、標的型攻撃はこれらの情報を入り口に攻撃を開始するので軽く見てはいけないとは思いますが。
話を戻して、情報資産の例を挙げると
- 顧客情報
- 製品設計・開発情報
- 経営戦略情報
などが、「価値」のある「情報資産」と言えそうです。このような情報資産を守るのがサイバーセキュリティです。
サイバーセキュリティが満たすべき3つの性質
サイバーセキュリティはどうあるべきなんでしょうか?それを評価する性質として、次に示す3つの性質があると言われています。
機密性(confidentiality)
ある情報資産へのアクセスを許可されたものと許可されていないものと区別し、許可されたものだけが付与された権限の範囲で情報資産にアクセスできることを言います。 秘匿性と呼ぶこともあるようです。 一般に、暗号化や認証、アクセス制御によって実現される性質です。
完全性(integrity)
ある情報資産について、毀損や改ざんがされていないことを言います。 正真性(しょうしんせい)とも呼ぶようです。 例えば、通信の際にデータを暗号化することによって機密性は確保される(つまり、アクセスの制御ができている)が、それが送り主が送りたかったオリジナルのデータと同一であるかどうかという観点で見た場合に、満たされるべき性質です。 暗号化された状態でデータの一部が改変されるたような場合は、機密性は失われていないが完全性は失われたことになります。 ハッシュ関数やデジタル署名はこの完全性を確保するための技術です。
可用性(availability)
ある情報資産やITシステムなどにアクセスする際に、正常にサービスを利用できるような状態に保つことを言います。 システムがダウンして、利用できないようなことが無いことです。 つまり、使えなかったら、意味ないよねってことですね。
最近では、さらに4つの性質も満たすべき
実は、サイバーセキュリティの満たすべき性質は3つだけではなく、次に示す4つの性質も含まれるように考えられているようです。
真正性 (authenticity)
利用者、プロセス、システム、情報などが本物であることを確実にする性質のことです。 なりすましや受信した情報が偽の情報でないことを確実にする必要があります。
責任追跡性 (accountability)
利用者、プロセス、システムなどの操作や動作について、その主体と内容を一意に追跡できることを確実にする性質です。 「誰が」、「いつ」、「何を」、「どうした」のような情報を残し、セキュリティインシデントの原因や攻撃者の特定などをするために必要な性質です。
否認防止 (non-repudiation)
ある活動や事象が起きたことを、後になって否認されないように証明できる性質です。 例えば、AさんがBさんに「商品の注文情報を送信した」が、後になってAさんは「商品の注文情報など送信していない」と否認された場合、「商品の注文情報を送信した」ことを証明できなければ、電子商取引が円滑に進められません。そのため、AさんがBさんに「商品の注文情報を送信した」と証明できる必要があります。これが否認防止です。
信頼性 (reliability)
システムや処理の結果が矛盾なく動作すること、期待された結果と整合性がとれており、一貫して動作することです。 そもそものシステムにバグや欠陥がなく、正しく動作すると信頼できる状態である必要があります。
サイバーセキュリティの対象の分類
ここまで、サイバーセキュリティがどういうものかを見てきましたが、対策の対象になるものを整理します。 情報資産を守るために、何に対して対策が必要かということです。 大きく対象を分けると、物理的なセキュリティと、論理的なセキュリティがあります。 論理的なセキュリティはさらに、システム的なセキュリティ、管理的・人的セキュリティに分けられるようです。
物理的なセキュリティ
建物や設備などを対象にしたものです。 具体的には、次のITインフラ周りの設備です。
これらは、火災や災害などから情報資産への被害を最小限にします。 さらに、
- サーバルーム等の入退出管理
- 監視カメラ
なども含まれます。 不審な人物を情報資産に物理的にアクセスさせず、破壊や窃取されることを防ぎます。
論理的なセキュリティ
論理的なセキュリティとは、一般に、物理的なセキュリティ以外のことを指し、次のように分類されることが多いようです。
システム的なセキュリティ
暗号技術、認証技術や、アクセス制御技術など、ITシステムやネットワークにおける技術的なセキュリティ対策のことを言います。
管理的・人的なセキュリティ
情報セキュリティポリシの策定・運用・監査・見直しなどの組織やシステムの運用管理面における対策と従業員などに対するサイバーセキュリティの教育や訓練、セキュリティインシデントへの対処などの対策のことを言います。
サイバーセキュリティ対策では、これらの対象に対して、どのように対策を立てるかが問われるようです。