概論編「なぜセキュリティ対策する必要があるのか」を再考する研修で教えてくれない!

セキュリティ対策ってなんだか面倒くさいし、技術部などの専門部署に任せておけばいいんじゃない? 本当のセキュリティ対策は、技術部だけでがんばっても限界がある。個人からボトムアップしていくセキュリティ対策の重要性をもう一度考えてみよう。

» 2007年07月11日 14時01分 公開
[渡辺俊雄,ITmedia]

 セキュリティ対策ってなんだか面倒くさいし、技術部とかの専門部署に任せておけばいいんじゃない? 本当のセキュリティ対策は、社員各人の総合力が問われる。技術部だけでがんばっても限界があるのだ。個人からボトムアップしていくセキュリティ対策の重要性をもう一度考えてみよう。まずは、メデア商事株式会社の営業部3課の新人・小林ケンタと、先輩・高柳ワタルの会話から──。

小林 顧客情報がインターネットに流出した件、今日も記事になってましたね。

高柳 そうみたいだな。担当するシステム管理者は大変だろう……。

小林 うちは大丈夫ですよね。

高柳 おいおい。他人任せなことを言うなよ。

 高柳は、小林の一言に不安になった。

高柳 ところで、“セキュリティ”という言葉は知っているよね。

小林 もちろんです。コンピュータを外部の攻撃から守ることですよね。機密保持とか。

高柳 そうだな。それから?

小林 それから……ですか? うーん。あっ、ウイルス対策とか。

高柳 ウイルスって攻撃じゃないのか? さっき言った「外部の攻撃から守ること」とどう違うんだ?

小林 ……。

高柳 いいか、セキュリティというのは、コンピュータに対する信頼をどのように確保するかという問題だ。たとえば、ここにあるPCの調子が悪くてエラーを頻発するようだと安心して使えるか? 同じように、うちの会社のサーバが不安定だとどうする? お客は信頼してくれるのか?

小林 信頼してくれないと思いますが、それが何かセキュリティと関係あるんですか?

 一般に、「セキュリティ」というとコンピュータの中にある情報を守るという側面が強調される。もちろん、コンピュータ内部にある顧客情報や経理情報、顧客と取り交わした文書などを関係者以外の目に触れないように保護することは重要なセキュリティの一面である。しかし実際には、そのデータが正しいことを示せるようにすることや、常に安定してコンピュータを使うことができることもセキュリティの一部なのだ。

高柳 セキュリティには3つの側面がある。1つ目は、君が言った「機密性」。2つ目が、そのデータの「正確性」。3つ目が「可用性」だ。2つ目の正確性は「完全性」「保全性」「信憑性」と言われたりもする。

小林 機密性はなんとなく分かりますが……。

高柳 正確性とは、たとえばプログラムのバグとかによってデータが破壊されたり、故意とか不注意によって情報の改変が起こってしまうことを防ぐことだ。以前、商品の価格を間違って付けてしまい、大騒ぎになった事件を覚えてないか?

小林 ああっ、覚えてます。超格安の価格をつけてしまい、注文が殺到し、その保証をどうするかといった話になりましたよね。

高柳 そうだ。あの事件だって、別の誰かが入力をチェックするとか、あり得なさそうな数字が入力されたらアラートを出すようになっていたら起こらなかったはず。つまり、データの正確性を保障するシステムではなかった──ということだ。

小林 なるほど。じゃ、可用性というのはどうなんでしょう。

高柳 可用性という言葉は聞き慣れないと思うが、要は“使える”ということ。システムが効率よく稼働していて、大きな障害が発生してもすぐに完全に回復できることだと考えればいい。自然災害などから復旧する「ディザスタリカバリ(Disaster Recovery)」とか最近聞いたことないか? ちなみに、可用性の反対の概念が“使用不能”、すなわち“Denial of Service(サービス不能)”だ。

小林 あっ、サービス不能攻撃のDoSって、そこから来てるんですか。

 セキュリティとは、実はかなり幅の広い概念である。しかし基本は「起こり得る危険」に対してどのように対策するかを考えることだ。日常的にも、パスワードを共有したり、紙に貼ってディスプレイの横に貼っておくという笑えないものから、ノートPCに砂糖のたっぷり入ったコーヒーをこぼすといったことまで含めてリスクが存在する。

小林 そうかぁ。セキュリティとは、コンピュータを安全に、かつ確実に使えるようにすることなんですね。

高柳 おっ、飲み込みがいいな。次に、考えられる“危険”にはどんなものがあるか言ってみろ。

小林 そうですね。たとえば、何者かがシステムに侵入するとか、ウイルスによって問題が起こるとか、そういうことですよね。

高柳 半分正解。この問題を考えるときには、“弱点”と“脅威”、そして“対策”と分けるといい。弱点とは、システムが問題を起こす原因となるもの。プログラムの脆弱性とか、情報管理のしかたなど、いろいろ考えられるだろ。ハード、ソフトよりも、人間が一番怖いかもしれないぞ。間違いをしょっちゅうするしな。

小林 ドキドキ……。私のことを言ってますか?

高柳 なんだ。心当たりがあるのか(笑)。それから脅威とは、弱点が原因で発生する事柄。対策とは、保護するする手段だ。

小林 そうなのかぁ。しかし弱点を考えるって、すごく幅広そうですね。システムに対する知識も必要でしょう?

高柳 そうだな。でも、普通に考えられることもいっぱいあるんだぞ。システムのある場所に無関係な人を入れないとか、情報を勝手に持ち出さないとか、業務に関係ないことはしないとか。

小林 それって、昼休みに会社のPCでネットサーフィンしたりする、PCを私用で使うことを言ってます?

高柳 半分な。

小林 うげっ。まずいかも。

高柳 まぁ、それはともかく、セキュリティを考える上では、まず弱点を洗い出すことが重要だ。だって、弱みがなければ付け込まれないだろ?

 弱点を考えるには、さまざまな視点が必要になる。ハードウェアやソフトウェアばかりでなく、記憶媒体やネットワークへのアクセスの管理といったように常にその範囲を広げていくことが大切だ。実際、未熟な管理者や複雑なオペレーションも弱点になり得ることを思いつくには、現場からの意見の収集がなければいけない。

高柳 仕事もあるし、そろそろまとめてよう。

小林 セキュリティとは、安全かつ確実にコンピュータを使えるようにするために何をしなければいけないかを“弱点”と“脅威”、そして“対策”という形で考えて実行していくことですね。

高柳 おおっ、よくできたな。付け加えるなら、全体像をきちんとイメージすること。技術担当者に任せればいいというのではなく、自分自身に何ができるかを含めて参加すること。個々の問題にとらわれすぎないことが大切だ。情報を保護するために暗号化すればいいとか、ウイルス対策ソフトを入れればOKということではなく、関係する人間が力を合わせるという総合力が問われる問題なんだ。セキュリティは。

用語解説
用語 本文中での解説
機密性 コンピュータ内部にある情報を関係者以外の目に触れないように保護すること
正確性 プログラムのバグなどによってデータが破壊されたり、故意や不注意によって情報の改変が発生してしまうことを防ぐこと
可用性 システムが効率よく稼働していて、大きな障害が発生してもすぐに完全に回復できること

著者紹介 渡辺俊雄(わたなべ・としお)

某大手広告代理店の写真部に在職中、何気に触れたコンピュータに興味を示し、まるで畑違いの業界に転身。F社やI社でSEとしてシステム設計を担当。その後、アスキーで書籍編集に。個人的な趣味や興味でコンピュータサイエンスやネットワーク、UNIX関係の本ばかりを企画。現在は、インターネット関連企業の広報支援を中心に活動している。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ