ITセキュリティとは?
ITセキュリティとは何か?そして何のために必要なのか?
私達がインターネットやコンピュータを使う上で、自分たちが使う情報を守ったり、必要な情報やサービスがいつでも使えるようにしておくことは大切です。しかし、守っておきたい情報が外部に漏れたり、コンピュータウィルス等に感染してデータが壊されたり、はたまた使いたいサービスが使えなくなったりすることが、残念ながらありえます。これらは、第三者の悪意のある行為によってだったり、悪意はなくても不注意やシステムの不備による事故で発生したりします。このような状況を防ぐために必要な対策をすることが、ITセキュリティといえます。
まず基本として、次の3点が、よくITセキュリティの教科書などで紹介されている情報セキュリティの3要素で、これらを維持していくことが、ITセキュリティと定義されます。
- 機密性(Confidentiality):許可された者だけが、情報資産にアクセスできること。つまり、本人だけがその情報を利用できることです。
- 完全性(Integrity):情報及び処理方法が、正確及び完全であること。つまり、間違いなくデータが処理されることです。
- 可用性(Availability):許可された者が、必要な時に情報資産にアクセスできること。つまり、本人だけはいつでもその情報を利用できることです。
マイノート(これまでの私の体験・見聞から一言)
ITセキュリティが必要なことは、大抵の人が理解はしてくれるのですが、ではITセキュリティの対策をどこまでするのか、あるいはどこまで費用をかけるのかは常に議論になるところです。
ITセキュリティ対策を強化すればするほど、コンピュータシステムの利便性が低下する、つまり使い勝手が悪くなったり、ユーザ側に負担が増えたりします。例えば、パスワード解析をされにくくするために、パスワードの文字数や文字の種類を増やして強度を向上させると、ユーザは複雑なパスワードを覚えたり入力したりしなくてはならなくなるので、使い勝手が悪くなります。
また、ITセキュリティ対策に費用をかけても、それ自体で売上や利益を増加させるわけではなく、あくまでセキュリティリスク(危険性)を抑えるだけです。したがって、それらにかける費用は投資というよりかは、保険と同じように考える必要があります。
実際に私自身が以前ITセキュリティ担当だった頃は、社内関係者にとっては耳の痛いことばかりを言わなければならないので、社内で疎まれながらも仕事をしなければならなかった部分はありましたね。