【情報セキュリティ】概要編

どうもみなさんこんにちは、IT修行中のななこです！

ここでは、IT超初心者の私が知りたい！と思ったことにスポットを当て、「なるほど！」と感じたことをご紹介します！

今回はセキュリティ関係についての概要をまとめていこうと思います。

技術的な話ではないですが、日々ITに触れている現代社会では必須項目です！

1. 情報セキュリティとは？

今、世界中のインターネットに企業のネットワークがつながれています！

つなぐことでとても便利になるのですが、それと同時にネットワークに潜む悪意ともつながっている、

という危険性も持ってるのです。

たとえば悪意のもった人が自社のネットワークに侵入できてしまうと、

情報の漏洩や、データやファイルの破壊される可能性が出てきてしまいます…。

悪意の持った侵入者はシステムの脆弱性を狙ってきます。

これに対して情報を守るのが、情報セキュリティです！

2. セキュリティマネジメントの3要素

情報を守るために安全を確保することはとても大事です！

ですが！セキュリティのためといって何重ものパスワードを必要とするような強固なシステムにすればするほど、

逆に使いづらいという不便性がでてきてしまいます…。

こうなってしまわないように！

安全性と利便性をどのようにバランスよく保つのか？という部分が

情報セキュリティの基本的な考え方になっています。

機密性、完全性、可用性の３つの要素を管理しバランスを取ることが重要です✨

・機密性（Confidentiality）

許可された人だけが情報にアクセスできるようにして、情報の漏洩を防ぐことを指します。

・完全性（Integrity）

情報が破壊、改ざんや消去されていない、完全な状態を保っていることを指します。

・可用性（Availability）

利用者が必要なときに必要な情報を使用できるようにすることを指します。

この３要素は頭文字をとって【CIA】とも呼ばれています！

3. セキュリティポリシ

組織の中のだれか1人がセキュリティ対策を頑張ればいい！というわけではなく、

なぜ情報を保護するのか、どうやって保護するのか、などなど…

どのように取り組むかを明文化して社内に周知します。

これがセキュリティポリシです！

セキュリティポリシは基本方針と対策基準、実施手順の3段階で構成されてますが、

一般的には基本方針と対策基準を指しています。

4. ソーシャルエンジニアリングに気をつけて！

セキュリティ特化のシステムを作ったとしても、

情報を扱っているのは「人」なので、そこから情報が漏れる可能性もあります。

コンピュータシステムとは関係ないところで、

人の心理的不注意をついて情報を盗みだす行為を、ソーシャルエンジニアリングといいます！

例１．電話で聞き出す方法

企業の人間になりすまして管理者からパスワードを聞き出したり、

管理者になりすましてパスワードを確認する方法です。

電話を利用しているため直接対面しないので情報を引き出しやすく、

昔からよく使われています。

例２．ショルダーハッキング

肩越しからPCやスマホなどをのぞきみて、

IDやパスワードなどの情報を盗む方法です。

外で操作する際は要注意です！

例３．トラッシング

企業や個人で出されたゴミを漁って情報を探し出す方法です。

情報が書いてある紙媒体のゴミを処分する際は、

シュレッダにかけるなど対処が必要です！

ソーシャルエンジニアリングは身近に起こりえることなので、

自分の情報を守るためにも、日頃の注意が必要ですね！

おわりに

皆さん、いかがだったでしょうか。

今の時代は誰かに守ってもらうことを前提にするのではなく、

セキュリティに関する知識をしっかりと身に付けて、

自分の身を守れるように備えることが大事なのかもしれませんね…！

最後まで読んでくださってありがとうございました！

次回もどうぞお楽しみに✨