Security
情報やシステムを脅威から守り、機密性・完全性・可用性を維持する取り組み
セキュリティインフラ
「Security」の技術書を見る (182 冊) →Security とは
セキュリティ (Security) は、情報やシステムを不正アクセス・改ざん・破壊・漏洩といった脅威から守る取り組み全般を指す。情報セキュリティの目標は、機密性 (Confidentiality)・完全性 (Integrity)・可用性 (Availability) の 3 要素で語られ、頭文字を取って CIA と呼ばれる。
CIA の 3 要素
| 要素 | 意味 | 損なわれる例 |
|---|---|---|
| 機密性 | 許可された者だけが情報にアクセスできる | 情報漏洩 |
| 完全性 | 情報が正確で改ざんされていない | データ改ざん |
| 可用性 | 必要なときに利用できる | サービス停止攻撃 |
この 3 つはトレードオフの関係になることもあり、可用性を上げるために機密性を緩める、といった判断はリスクを踏まえて行う。
多層防御という考え方
セキュリティは単一の対策に頼らず、複数の防御を重ねる多層防御 (Defense in Depth) が原則だ。ファイアウォール、認証、暗号化、権限の最小化、ログ監視を組み合わせ、一つが破られても次が守るように設計する。最小権限の原則 (必要な権限だけを与える) は、被害範囲を限定する基本中の基本になる。
実務での向き合い方
完璧な防御は存在せず、攻撃は日々高度化する。そのため「侵入される前提」で、早期に異常を検知し被害を最小化するインシデント対応の準備が重要になる。また、技術対策だけでなく、フィッシングや設定ミスといった人に起因するリスクへの教育も欠かせない。セキュリティはコストではなく、事業継続を支える投資として捉える視点が求められる。
体系的に学ぶには関連書籍が助けになる。
この記事は役に立ちましたか?