🚀 ニフティ’s Notion

2024-09-26

🛡️ 【セキュリティ2024 #2】セキュリティ基礎

セキュリティとは

AIに聞いてみました

image block

様々なものから大切なものを守り安全を確保することが大きい意味でのセキュリティです。

エンジニア的な事に限らず、「家に鍵をかける」「暗い夜道は歩かない」といったこともある意味ではセキュリティです。

今回の講義では、情報セキュリティについてのみ触れます。

情報セキュリティとは

情報の機密性、完全性、可用性を保全することです。

情報の真正性、説明可能性、否認防止性、信頼性の保全も含めるという考えもあります。

  • 機密性(Confidentiality)
    許可された人だけが利用できる状態であること
    例) アクセス制限
  • 完全性(Integrity)
    改竄や破壊が行われず、内容が正しい状態であること
    例) アクセス制限 アクセス履歴
  • 可用性(Availability)
    障害が発生しにくい状態であること 発生した際も影響が小さく抑えられ、復旧までの時間が短い状態であること
    例) バックアップ 冗長構成

上記3つでCIAと呼ぶことがあります。

  • 真正性
    情報へのアクセス元が許可されたものであることが確実である状態のこと
    例) 利用されたID/PASS が第三者によるアクセスではないことが確実である状態
  • 説明可能性
    人やデータの動きが追跡できる状態であること
    例) ログ
  • 否認防止性
    操作が後から否認できない状態であること
    例) ログ デジタル署名
  • 信頼性
    データやシステムの動作が意図したとおりの結果を出す状態のこと
    例) テスト マニュアル

リスクとは

情報セキュリティでのリスクとは「情報資産、脆弱性、脅威が重なるところに存在するもの」です。

例えば、「顧客情報」が「脆弱性のあるサーバ」に保存されていて、「攻撃者が存在する可能性がある」という場面はリスクになります。

一方、この3つが重なると確実に損失が出るというわけでもありません。リスクが現れる事により安全が不確実なものになります。

まずはそれぞれを正しく認知することが大切です。

情報資産

企業や組織が収集した「ヒト・モノ・カネ」に関する情報のこと。

資産としての価値がある情報のこと。

例) 製品情報 顧客情報 ノウハウ

組織によって価値があるものは異なるので、「何を守るのか」を明確にする必要があります。

脆弱性

安全を脅かす欠陥や、付け込まれると被害が発生する弱い所。

例) ソフトウェア・ハードウェアの欠陥やバグ(セキュリティホール) 悪意のある人間 ルールを守らない人 ルールそのもの

脆弱性を完全になくすことは実質的に不可能なので、正しく認知し、脆弱性をできるだけ作らないこと、影響の大きい脆弱性を潰す必要があります。

脅威

情報資産を脅かす存在。

悪意のあるものと、悪意のないものが存在する。

脅威は主に以下のように分類することができます。

  • 物理的脅威
    物体に直接被害を与えるもの
    例)ハードウェア破壊、電源喪失
  • 人的脅威
    悪意のある人、悪意のない人が存在する。
    前者は、興味本位・悪戯・金銭目的など。
    後者は、ケアレスミス・無知・怠慢など。
    例)意図的なマルウェア使用、ソーシャルエンジニアリング、トラッシング、誤操作、紛失
  • 技術的脅威
    技術的な原因で損失が発生する場合と、第三者が技術的な手法を用いて損失を発生させる場合が存在する。
    例)プログラムのバグ
  • 災害による脅威
    人災と自然災害が存在する。
    例)地震、水害、雷、火災

脅威となるものが脆弱性を狙い、資産を奪ったり破壊したりします。
(泥棒も、鍵付きドアを正面から突入せず窓ガラスを割って入りますよね?)

漠然とリスクに対応するのではなく、情報資産、脆弱性、脅威を正しく認知し、「何を守るのか、何から守るのか、どうやって守るのか」を考える事が大切です。

情報セキュリティ対策
対策の基本方針

「情報資産、脆弱性、脅威が重なるところに存在するもの」であるリスクですが、情報資産を無くす事は基本的に難しいです。

脅威は、減らせるものもあれば減らせないものもあります。悪意を持った人的脅威は残念なことに減らすことが難しいです。脆弱性があれば、そこに付け込む攻撃を大量に受けます。
https://windowsreport.com/if-youre-running-windows-xp-and-turn-off-the-firewall-in-2-hours-your-pc-will-be-overrun-by-malware/

一方、悪意のない人的脅威はルールや仕組みによって防ぐことができる場合もあります。

脆弱性は、最新のセキュリティパッチを適用することで防ぐことができる場合が多いです。

損失と対策の必要性

現代社会では当然とされていますが、情報セキュリティ対策は必要です。

対策をしないとリスクが表面化し、情報漏洩等のセキュリティ事故が発生します(セキュリティインシデント)。

セキュリティ事故は多くの損失を生みます。金銭的な損失に加え、ブランドイメージの低下といった金額で見えづらい損失もあります。そのため、対策は必須です。

セキュリティインシデントの例

(社内の例 非公開)

セキュリティ事故による損失の例

対策はトレードオフの関係になる

セキュリティとリスクはトレードオフの関係にあり、どちらかが高くなるともう一方は低くなります。

利便性

例えば、「セキュリティ強化のためにパスワードを30文字の記号含む乱数にし、毎週変更する」というルールにしたらどうなるでしょうか。

過度なセキュリティ対策は利便性を損ねますし、むしろリスクが増加する場合もあります。

コスト

例えば、「利用者5名・月100円のサービスの正常稼働率が現状90%なので、99.5%に上げるために1000万円かけて対策する」とどうなるでしょうか。

リスク対策の手法

上記の通り、なんでもかんでもリスク対策をするべきではありません。

リスクによって影響範囲、発生可能性などが異なるため、優先順位をつける必要があります。

また、対策には4つの選択肢があり、いずれか、または複数を選択することで、リスクとコストを最適化します。

  • リスク軽減
    リスクの発生確率を下げる事。または発生した際の影響度を小さくすること。
    リスク全般に用いられる。
    例)冗長構成、耐震工事、BCP準備
  • リスク 回避
    リスクを生じさせる原因そのものを取り除くこと。
    発生確率・影響度が共に大きい場合に用いられる。
    例)リスクの大きい新規事業そのものをあきらめる
  • リスク転嫁
    リスクを組織の外へ移転すること。
    発生確率が低く、影響度が大きい場合に用いられる。
    例)保険の加入、オンプレからクラウドサービスへ移行
  • リスク受容
    対策せずにその状態を受け入れる事。
    発生確率・影響度が共に小さい場合に用いられる。

エンジニア定例 セキュリティ回 2024