最近、ネット攻撃を受ける企業が続出しています。富士フイルム株式会社、鹿島建設、キーエンス、日本製粉、などなどググってみれば、次から次への出てきます。企業にとってネット攻撃を受けると被害甚大となります。防御しているつもりでも、隙を突いて攻撃されます。日々是決戦のつもりでセキュリティーを高めることが必要になってきます。それでは、セキュリティーの基本とは何かを考えていきたいと思います。
まず、セキュリティの三要素と追加要素を並べてみましょう。
目次
機密性
許可した人のみが情報に触れることができる。
機密性が侵害されることで発生するセキュリティ上の問題に、情報漏洩があります。情報漏洩とは機密であるべき情報が外部に出ることをです。機密性を担保する技術に「暗号技術」「認証技術」などがあります。
完全性
情報が本来想定した状態から改ざんされておらず、信頼に足る状態である。
関税性が侵害されることで発生するセキュリティ上の問題に、改ざんがあります。改ざんとは第三者によって情報が書き換えられることです。IDとパスワードが簡単に推測できるような場合や、使用するソフトウェアの脆弱性を突かれる場合なでで発生します。
可用性
情報にアクセスできる人は、いつでもその情報にアクセスできる。
可用性が侵害されることで発生するセキュリティ上の問題に、サービス妨害があります。大量にサービス要求でサーバーがダウンしたりして、正当なユーザーにサービス提供ができなくなる、などがあります。
真正性
署名や認証などを用いて、利用者が適正であることや、データが改ざんなどを施されていない。
責任追及性
いつ何が起こったのかを適切に追跡/追求できること
ログが改ざんされておらず、システムなどの挙動を追跡するためのものがそろっていること
否認防止
発生事象や作成されたデータを、後でなかったことにされないようにすること
信頼性
情報システムの処理が適切であり、矛盾なく動作できるような構成であること
参考文献:「セキュリティの基本」, みやもとくにお/大久保隆夫, SB Creative