いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

セキュア (セキュア) とは | 意味や読み方など丁寧でわかりやすい用語解説

作成日: 更新日:

セキュア (セキュア) の読み方

日本語表記

安全 (アンゼン)

英語表記

secure (セキュア)

セキュア (セキュア) の意味や用語解説

セキュアとは、英語の "secure" に由来し、「安全な」「確実な」といった意味を持つ言葉である。IT分野においては、情報システムやデータが、外部からの攻撃、内部からの不正操作、偶発的な事故といった様々な脅威から保護され、安全な状態が保たれていることを指す。単にウイルス対策ソフトを導入しているといった個別の対策を示すのではなく、システム全体として、またその運用も含めて総合的に安全性が確保されている状態を示す包括的な概念である。システムエンジニアを目指す上で、このセキュアという考え方は、システムを設計、開発、運用するすべての工程において極めて重要な基盤となる。利用者が安心してサービスを利用できること、企業が保有する重要な情報を守ること、これらすべてがセキュアな状態を維持することで実現される。 セキュアな状態をより具体的に理解するためには、情報セキュリティの3つの基本的な要素、すなわち「機密性」「完全性」「可用性」を理解することが不可欠である。これらはそれぞれの英単語の頭文字をとって「CIA」と呼ばれることもある。まず「機密性(Confidentiality)」とは、認可された利用者だけが情報にアクセスできることを保証する性質を指す。例えば、パスワードで保護されたファイルは、パスワードを知っている人物しか中身を閲覧できない。このように、情報が漏洩しないようにアクセスを厳密に制御し、守ることが機密性の確保にあたる。次に「完全性(Integrity)」とは、情報が破壊されたり、改ざんされたり、消去されたりすることなく、正確かつ完全な状態が維持されていることを保証する性質である。銀行システムの口座残高が勝手に書き換えられたり、重要な契約書のデータが不正に変更されたりすることがないように、情報の正しさを守ることが完全性の確保である。最後に「可用性(Availability)」とは、認可された利用者が、必要な時にいつでも情報やシステムを利用できることを保証する性質を指す。例えば、ウェブサイトがサイバー攻撃によって停止してしまい、サービスが利用できなくなる事態を防ぐことが可用性の確保にあたる。システムは、これら機密性、完全性、可用性の3つの要素がバランス良く保たれて初めて「セキュアである」と言える。 セキュアな状態を脅かす要因、すなわち脅威は多岐にわたる。外部からの脅威としては、マルウェアへの感染、不正アクセス、DDoS攻撃のようなサービス妨害攻撃、フィッシング詐欺などが挙げられる。これらは悪意を持った第三者が引き起こすもので、システムの脆弱性を突いて侵入し、情報を盗み出したり、システムを破壊したりする。一方で、脅威は外部からだけもたらされるわけではない。内部からの脅威も存在する。例えば、従業員による意図的な情報の持ち出しや、操作ミスによるデータの誤削除、設定の不備などがこれにあたる。また、地震や火災、停電といった物理的な災害も、システムの可用性を損なう大きな脅威となる。これらの多様な脅威に対抗し、セキュアな状態を維持するためには、多層的な対策が必要となる。技術的な対策としては、ファイアウォールの設置による不正な通信の遮断、侵入検知システム(IDS)や侵入防止システム(IPS)の導入による攻撃の検知と防御、データの暗号化による機密性の確保、アクセス制御による権限管理、ウイルス対策ソフトの導入などがある。また、物理的な対策として、サーバー室への入退室管理や監視カメラの設置、耐震・免震構造の採用、自家発電装置の準備なども重要である。 システムエンジニアにとって、セキュアという概念はシステム開発のライフサイクル全体を通じて意識すべきものである。開発の初期段階である要件定義や設計のフェーズでセキュリティを考慮することを「セキュア設計」や「セキュリティ・バイ・デザイン」と呼ぶ。この段階で、どのような脅威が想定されるかを分析し、それに対する防御策をシステムの仕組みとして組み込んでおくことで、後から対策を追加するよりも効率的かつ堅牢なシステムを構築できる。開発・実装のフェーズでは、「セキュアコーディング」が重要となる。これは、SQLインジェクションやクロスサイトスクリプティング(XSS)といった代表的な脆弱性を生み出さないように、安全なプログラミング技法を用いてコードを記述することである。完成したシステムをリリースする前には、脆弱性診断を実施し、潜在的なセキュリティ上の問題点がないかを確認する。そして、システムが稼働を開始した後も、セキュリティ対策は終わりではない。新たな脆弱性が発見されたり、新たな攻撃手法が出現したりすることに対応するため、OSやミドルウェア、アプリケーションにセキュリティパッチを適用し、常に最新の状態に保つ必要がある。また、システムのアクセスログを定期的に監視し、不審な挙動がないかを確認することも、運用における重要なセキュリティ対策となる。このように、セキュアな状態とは一度構築すれば完了というものではなく、継続的な監視と改善を通じて維持していくものである。システムエンジニアは、技術的なスキルだけでなく、こうしたセキュリティに関する知識と意識を常に持ち続けることが求められる。