【経営情報システム】情報セキュリティはまず3つの要素をしっかり理解しよう!
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
一発合格道場ブログを
あなたのPC・スマホの
「お気に入り」「ブックマーク」に
ご登録ください!
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
sevenseaです!
今回は、大事なのはわかってるつもりだけど、難しくて避けられがちな情報セキュリティのお話です!
難しい技術的な話は置いておいて、一番の基礎である「情報セキュリティの3要素」について掘り下げていきます。
やるよ!合格カフェ!
個性豊かな道場メンバー(先代メンバー含む)と受験生のみなさまで少人数のグループに分かれて相談会を開催します!
Zoomとリアル(東京)で開催します!
申し込みは6月7日(土)20時にアップする記事をご確認ください!
みなさまのご応募を、16代目一同心よりお待ちしております!
情報セキュリティ、大事なのはわかるけどさ…
わからーーーーーーーーーーーーーーーーーん!!!!!
っていう方が多い分野なんじゃ無いかなと思います。ただでさえIT系は横文字が多いのに、暗号化やら、認証やら、署名やら、結構突っ込んだ内容まで試験に出題されるため、理解を諦めている方も多いでしょう。先代の記事では、13代目くまさんの暗号のお話や、
14代目さたっちさんのデジタル署名のお話がありました。
これらもとってもわかりやすいのですが、元々のテーマがとても難しい都合上、理解しきれなかった方もいらっしゃるのではないかと思っています。そこで、今日はこれらの個別論点を学ぶ前に、情報セキュリティの基礎を復習しておこう!という内容です。試験に役に立つのはもちろんですが、中小企業支援や日頃の仕事でも必要不可欠な情報セキュリティの知識を身につけていきましょう!
情報セキュリティって結局なんなの?
情報セキュリティって要するに何をすればいいの…?
それは、情報セキュリティの3要素を守り抜くこと!
情報セキュリティの3要素ってなんだっけ?
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つだよ!
(役割取られた…)
情報セキュリティの3要素とは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つの要素のことで、これらの英単語の頭文字を取ってCIAなんて言われることもあります。
機密性(Confidentiality)とは、秘匿すべき情報がしっかりと保護されており、権限の無い者が情報にアクセスできないようにすることです。
完全性(Integrity)とは、情報が伝達の途中などで改ざんされたり、欠損したりせずに、正しい情報を届けられるようにすることです。
可用性(Availability)とは、情報を活用したいときに、確実に情報を活用できる状態を常に保持することです。
極論を言ってしまえば、情報セキュリティとはこれら3つをとにかく守り抜くことに尽きる、と言っても過言では無いと思います。
え、これだけ…?
と、思う方もいらっしゃるかと思いますが、情報セキュリティのお話は突き詰めれば(ほぼ間違いなく、)これら3つに行き着きます。例えば、暗号はデータを盗み見られたとしても中身がわからない状況を作り出すことで機密性を確保することに繋がりますし、デジタル署名はデータの改ざんの有無を把握することができるため、完全性が確保できているかどうかの確認をすることができます。そう考えると、意外と難しいことをやっているわけではないと思えるのでは無いでしょうか?
情報セキュリティ10大脅威と情報セキュリティ3要素
ここからは、IPAが毎年1月に公開している「情報セキュリティ10大脅威[組織]」の2025年版の上位5つの脅威を題材に、今まさに危険視されている情報セキュリティ上の脅威が、3要素のどれと紐づくか見ていきながら、内容の簡単な解説をしていこうと思います。
1位:ランサム攻撃による被害
ランサムウェアとは、会社などのPCやサーバー内のデータを暗号化するなどして業務の継続を困難な状況に追いやり、「元に戻して欲しければ身代金を払え!」と脅す攻撃のやり方で、完全性や可用性に対する攻撃であると考えられます。2024年の6月には、KADOKAWAが大規模なランサム攻撃の被害に遭い、複数のサービスが停止したことも記憶に新しいかと思います。
加えて、近年ではノーウェアランサムと呼ばれる形態の攻撃事例も見られ、こちらは主にデータを窃取した上で、「盗んだ個人情報などを公開して欲しくなければ身代金を払え!」と脅す攻撃のやり方で、機密性に対する攻撃であるとも考えられます。また、それら2つの攻撃手法を組み合わせる例も見られます。
2位:サプライチェーンや委託先を狙った攻撃
一般的に、大企業はセキュリティ対策にも予算をかける余裕がある一方で、中小企業はそこまで手が回らない、というケースがよく見られます。そこで、上記のランサム攻撃などを一番攻撃したい大企業ではなく、そのサプライチェーンを構成する中小企業に対して仕掛けることでサプライチェーン全体の完全性、可用性、機密性に影響を与えよう、とするものです。
3位:システムの脆弱性を突いた攻撃
ここで言う脆弱性とは、システムの情報セキュリティ上の欠陥やミスなどを指し、それらの脆弱性に関する対策情報が公開される前に、攻撃者が脆弱性を悪用して行う攻撃をゼロデイ攻撃、対策情報は公開されているものの、ユーザーが対策を講じるまでの期間に行う攻撃をNデイ攻撃と言います。これらの手法を使ってランサム攻撃を仕掛けたり、機密情報の窃取をしたりすることで完全性、可用性、機密性に影響を与えようとしてきます。
4位:内部不正による情報漏えい等
「情報セキュリティ」と言うとデジタル空間だけの話に聞こえるかもしれませんが、組織内部の人間がその立場を悪用して機密情報を窃取することなども立派な情報セキュリティ上の脅威であり、機密性に対する攻撃と言えます。ある意味で最も身近な脅威と言っても良いかもしれません。
5位:機密情報等を狙った標的型攻撃
特定の攻撃対象(標的)を決めておき、あの手この手で機密情報を窃取したり、ランサムウェアを仕掛けたりすることで、完全性、可用性、機密性に影響を与えようとする攻撃です。サーバーなどへの不正アクセスによる攻撃の例も見られますが、標的の組織のメールアドレスに対してマルウェアを送りつけ、開封させるというフィッシングと呼ばれる手法を取られることもあるため、社員一人一人が狙われているかもしれない、と警戒心を持つ必要があるのでは無いかと思います。
まとめ
情報セキュリティ10大脅威を見てみると、あの手この手で情報を窃取したり、ランサムウェアで業務の妨害をしたりしてきますが、攻撃する側は攻撃される側の完全性、可用性、機密性にダメージを与えることに繋がるような行動を取っていると考えられるのでは無いでしょうか。逆に言えば、記事の前半でも書いた通り、これら3つの要素を守り抜くことさえできれば、攻撃する側の目的は果たせないこととなり、攻撃に打ち勝つことができるようになります。そして、その実現のために必要となってくるのが暗号や、デジタル署名といった具体的な技術になってきます。まずはこの記事で情報セキュリティの3要素をしっかり覚えて、その上で具体的な技術についても徐々に知識をつけていただければと思います。
明日はまさき!
明日も読みにきてね!
☆☆☆☆☆
いいね!と思っていただけたらぜひ投票(クリック)をお願いします!
ブログを読んでいるみなさんが合格しますように。
にほんブログ村
にほんブログ村のランキングに参加しています。
(クリックしても個人が特定されることはありません)
