いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

セキュリティ (セキュリティ) とは | 意味や読み方など丁寧でわかりやすい用語解説

作成日: 更新日:

セキュリティ (セキュリティ) の読み方

日本語表記

安全 (アンゼン)

英語表記

security (セキュリティ)

セキュリティ (セキュリティ) の意味や用語解説

セキュリティとは、情報資産を様々な脅威から保護し、その価値を維持するための活動の総称である。今日の情報社会において、企業や組織、個人が扱う情報は膨大であり、それらが適切に管理・保護されなければ、多大な損害や社会的な信頼失墜を招く可能性がある。情報セキュリティの究極の目的は、情報の「機密性」「完全性」「可用性」という三つの要素を確保することにある。機密性とは、許可された者だけが情報にアクセスできることを指し、完全性とは、情報が正確であり、改ざんや破壊がされていないことを意味する。そして可用性とは、許可された者が、必要なときに情報やシステムにアクセスできる状態が維持されていることを指す。これらの要素が一つでも損なわれると、情報セキュリティは破綻したとみなされる。 情報セキュリティに対する脅威は多岐にわたり、常に進化している。代表的な脅威の一つに「マルウェア」がある。これは悪意のあるソフトウェアの総称であり、コンピュータウイルス、ワーム、トロイの木馬、ランサムウェアなどが含まれる。コンピュータウイルスは他のプログラムに寄生して感染を広げ、ワームは単独でネットワークを通じて自己増殖する。トロイの木馬は無害なプログラムに見せかけてシステムに侵入し、バックドアを開いたり情報を盗み出したりする。ランサムウェアはシステムやファイルを暗号化してアクセス不能にし、解除と引き換えに金銭を要求する。これらのマルウェアは情報漏洩、システム破壊、サービス停止などを引き起こす。 「不正アクセス」も深刻な脅威である。これは、正規の権限を持たない者がシステムやネットワークに侵入し、情報の窃取、改ざん、システムの破壊などを試みる行為だ。代表的なものに、脆弱性を突いた攻撃、パスワードの推測や総当たり攻撃、SQLインジェクションのようなアプリケーションの脆弱性を狙った攻撃、そしてDoS(Denial of Service)攻撃やDDoS(Distributed Denial of Service)攻撃といったサービス妨害攻撃がある。DoS/DDoS攻撃は、大量のデータやリクエストを特定のサーバーに送りつけ、システムを過負荷状態に陥らせて正常なサービス提供を妨害する。 また、「フィッシング」や「ソーシャルエンジニアリング」といった人的な弱みを突く攻撃も存在する。フィッシングは、金融機関や有名企業を装った偽のメールやウェブサイトで個人情報を詐取する手口である。ソーシャルエンジニアリングは、人間の心理的な隙や無知、信頼を利用して、情報やアクセス権限などを不正に取得する手法を指す。例えば、従業員になりすまして機密情報を聞き出したり、不用意な操作を誘発したりする。内部の人間による情報漏洩や過失も、情報セキュリティ上の大きなリスクとなる。 これらの脅威に対抗するためには、多層的なセキュリティ対策が必要となる。まず、システムや情報へのアクセスを制限する「認証」と「認可」が基本である。認証はユーザーが本人であることを確認するプロセスであり、パスワード、多要素認証(パスワードに加えて生体認証やワンタイムパスワードなど複数の認証要素を用いる方式)、生体認証(指紋や顔、虹彩など)などが用いられる。認可は、認証されたユーザーがどの情報や機能にアクセスできるかを制御する。 データの保護には「暗号化」が不可欠である。データが送受信される際やストレージに保存される際に暗号化することで、万が一情報が漏洩しても、内容を容易に解読されないようにする。ネットワークレベルでは、「ファイアウォール」が外部ネットワークからの不正なアクセスを防ぎ、「IDS(Intrusion Detection System:侵入検知システム)」や「IPS(Intrusion Prevention System:侵入防御システム)」が不審な通信を検知・遮断する。個々のコンピュータには「ウイルス対策ソフトウェア」を導入し、マルウェアの検出と駆除、侵入防御を行う。 ソフトウェアの「脆弱性管理」と「パッチ適用」も極めて重要である。ソフトウェアに存在するセキュリティ上の欠陥(脆弱性)を放置すると、それを悪用した攻撃のリスクが高まるため、常に最新の状態に保ち、提供される修正プログラム(パッチ)を速やかに適用する必要がある。さらに、万が一のシステム障害や災害に備え、「バックアップ」や「冗長化」を行うことで、データの損失を防ぎ、システムの可用性を確保する。 情報セキュリティは技術的な対策だけでなく、組織的・人的な側面も重要だ。明確な「セキュリティポリシー」を策定し、従業員全員に周知徹底するとともに、定期的な「セキュリティ教育」を実施してセキュリティ意識を高めることが求められる。サイバー攻撃は日々巧妙化しており、IoT機器の普及やクラウドサービスの利用拡大など、新たな技術環境の進展に伴い、常に新しい脅威が出現している。そのため、セキュリティ対策は一度行えば終わりではなく、継続的な見直しと改善が不可欠である。システムエンジニアを目指す者にとって、セキュリティは技術の根幹をなす要素であり、その重要性を深く理解し、常に最新の知識と対策を学ぶ姿勢が求められる。