情報セキュリティ (ジョウホウセキュリティ) とは | 意味や読み方など丁寧でわかりやすい用語解説

情報セキュリティ (ジョウホウセキュリティ) の読み方

日本語表記

じょうほうセキュリティ (ジョウホウセキュリティ)

英語表記

information security (インフォメーションセキュリティ)

情報セキュリティ (ジョウホウセキュリティ) の意味や用語解説

情報セキュリティとは、情報の機密性、完全性、可用性を維持し、保護することである。現代社会において、個人情報や企業の経営戦略、技術情報といったデータは極めて重要な資産であり、これらが漏洩、改ざん、紛失といった事態に陥ると、個人や組織に深刻な損害をもたらす。そのため、情報資産を様々な脅威から守るための技術的、物理的、組織的な取り組み全般を情報セキュリティと呼ぶ。システムエンジニアは、システムの設計、構築、運用を行う上で、この情報セキュリティの概念を深く理解し、実践することが不可欠である。 情報セキュリティを構成する最も基本的な要素として、「機密性」「完全性」「可用性」の三つが挙げられ、それぞれの英語の頭文字を取って「CIA」と呼ばれる。機密性（Confidentiality）とは、認可された者だけが情報にアクセスできる状態を確保することである。許可なく情報が第三者に漏れることを防ぐのが目的であり、これを実現するための代表的な技術がアクセス制御と暗号化である。アクセス制御は、利用者IDとパスワードによる認証や、役職に応じた権限設定によって、情報へのアクセスを制限する。暗号化は、データを特定のルールに基づいて意味のない文字列に変換し、たとえデータが盗まれても正規の鍵がなければ内容を読み取れないようにする技術である。 次に、完全性（Integrity）は、情報が破壊、改ざん、または消去されることなく、正確かつ完全な状態が維持されていることを保証するものである。例えば、送金システムのデータベースで金額データが不正に書き換えられたり、重要な契約書ファイルの内容が一部削除されたりする事態を防ぐことが求められる。完全性を担保する技術としては、ハッシュ関数やデジタル署名がある。ハッシュ関数はデータから一意の値を生成するもので、データのわずかな変更も検知できる。デジタル署名は、送信者が本人であることと、データが改ざんされていないことを同時に証明する仕組みであり、データの信頼性を高めるために用いられる。 そして、可用性（Availability）は、認可された者が、必要な時にいつでも情報やシステムを利用できる状態を確保することを指す。システムが停止してしまうと、業務が滞り、顧客にサービスを提供できなくなるなど、大きな機会損失につながる。可用性を脅かす代表的な例が、大量のデータを送りつけてサーバーをダウンさせるDDoS攻撃や、システム障害、自然災害である。これらに対処するため、サーバーやネットワーク機器を二重化する冗長構成の採用、定期的なバックアップの取得、災害対策設備の導入といった対策が講じられる。 近年では、このCIAの三要素に加えて、真正性、責任追跡性、否認防止といった要素も重要視されている。真正性（Authenticity）は、利用者やデータが、主張どおり本物であることを確実にすることである。責任追跡性（Accountability）は、いつ、誰が、何を行ったかを記録し、後から追跡できるようにすることであり、アクセスログの管理がこれにあたる。否認防止（Non-repudiation）は、データの送受信などの行為を行った事実を、当事者が後から否定できないようにする仕組みである。 情報セキュリティへの脅威は、マルウェア感染や不正アクセスといった技術的なものだけでなく、従業員の不注意や内部不正といった人的なもの、地震や火災といった物理的なものまで多岐にわたる。したがって、対策も単一の方法に頼るのではなく、複数の防御策を層のように重ねる「多層防御」の考え方が基本となる。具体的には、ファイアウォールやウイルス対策ソフトといった「技術的対策」、サーバルームの施錠管理や監視カメラの設置といった「物理的対策」、そしてセキュリティポリシーの策定や従業員教育といった「組織的・人的対策」を組み合わせ、総合的にセキュリティレベルを高めていく必要がある。システムエンジニアは、これら全ての側面を考慮し、堅牢なシステムを構築する責任を負っている。