IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

クラウド時代のネットワーク事情

CTC 教育サービス

 [IT研修]注目キーワード   OpenStack  OpenFlow/SDN  情報セキュリティ  Python  システムトラブルシュート 

情報セキュリティの三要素 (大喜多利哉) 2015年1月

 今回は「情報セキュリティ」について整理してみたいと思います。「情報セキュリティ」という言葉を使うと、「情報漏洩対策」というイメージに固定化されているような印象を受けた経験はないでしょうか。「情報漏洩対策」は「情報セキュリティの一部」であって、「情報セキュリティそのもの」ではありません。「情報セキュリティ」という言葉の定義する範囲はもっと広いものです。JIS Q 27002(ISO/IEC 27002)では、情報セキュリティとは「情報の機密性、完全性、可用性を維持すること」と定義されております。そしてそれぞれの意味は以下の通りです。

  • 機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
  • 完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること
  • 可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること

 機密性とは「情報が漏洩しないようにする」ことであり、それを確保する対策として、「情報にアクセスする際の認証および権限の管理を適切に実施する」「不正アクセスを検知し対処できる仕組みを整備する」等があります。これが一般的な「情報セキュリティ」のイメージに最も近いのではないでしょうか。実際にはこれに加えて2つ定義されています。

 完全性とは「情報を改ざんされないようにする」ことであり、機密性に近しいところがありますが「情報にアクセスする際の認証および権限の管理を適切に実施する」ことが基本となり、それに付随して「バックアップ取得と復旧手順を明確にしておくこと」「外部から悪意のあるコードを実行されないようOS/ミドルウェア/ソースコードレベルでの脆弱性検査および対策を実施する」等の対策があります。

 可用性とは「システムがダウンしないようにする」ことであり、対策として「バックアップ取得と復旧手順を明確にしておくこと」「ディザスタリカバリ対策を策定し実施すること」「システムの冗長化構成を組むこと」等があります。

 いずれも問題が発生した際のビジネスインパクトは非常に大きいものがあります。そのため、どの組織においてもしっかりと対策をとっていただきたいのですが、情報セキュリティ対策と言いますと、どうしても「それをしたからといって儲かるわけではない」ということで、あまり予算をかけていただけない部分であるのも事実としてあります。

 一方で「システムの安定稼働(無停止稼働)」はお客様としても非常に重視されるポイントであります。そのための対策として「24時間365日の有人監視体制・障害発生時の迅速な対応」や「レスポンスタイムの常時監視」や「DRサイトの構築・切替手順の明確化」などに取り組んでおります。私はここに「ネットワークセキュリティ」を加えるべく活動しております。

 DDoS攻撃によってネットワークがダウンすれば、当然ユーザはサービスが利用できなくなる状態になるわけで、広く外部に公開されているWebサービスであれば、そのビジネスインパクトは甚大です。ですが「情報セキュリティ=情報漏洩対策」というイメージが非常に強いので、システムの安定稼働対策としてセキュリティという言葉を使用してもピンとこられないようです。ところが情報セキュリティには「可用性」が含まれておりますので、「ネットワークセキュリティ対策を強化することでシステムの可用性を向上させ、ビジネスリスクを低減する」ことは理にかなっていると言えます。

 次回以降は「ネットワークセキュリティ」における具体的な対策について解説していきたいと思います。

 


 

 [IT研修]注目キーワード   OpenStack  OpenFlow/SDN  情報セキュリティ  Python  システムトラブルシュート