セキュリティとは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つの概念のことです。セキュリティを確保することは、組織の目的や目標に沿って、この3つの概念のバランスを保つことです。
これらの概念を具現化するためのコントロール(制御)とは、以下となります。
・機密性
データ保護のコントロール
・完全性
データ更新のコントロール
・可用性
データ利用のコントロール
これらのコントロールを実現するためのソフトウェアのテクノロジーとは、以下の3つです。
・認証
アクセスできるユーザを特定する技術。ユーザIDとパスワード、指紋認証、SSO(シングルサインオン)など
・認可
アクセスできる範囲を決定する技術。RBAC、DAC、DACなど
・暗号化
データを見えなくする技術。AES、TDES、RSAなど
これらの技術は、継続的に新しい技術が開発されており、たくさんの技術があふれています。
導入・運用の難易度、コスト、適合性などを総合的に判断して、導入していく必要があり、継続的なアップデートも必要です。
システム構成において、セキュリティを実現する箇所は、次となります。
・アプリケーション
開発するソフトウェア、パッケージアプリケーションなど
・データベース
RDBなど
・OS
WindowsやLinuxなど
・ネットワーク
LAN、WAN(インターネット)など
これらはクラウドで構築されるケースも多いでしょう。その場合、特にデータに関して、セキュリティの責任分担を明確にし、クラウドベンダーに任せる部分、自社内で実現する部分を認識し、一枚岩にする必要があります。
![](https://itresourcetech.net/wp-content/uploads/2024/01/image-8.png)
■ まとめ
「攻撃は、セキュリティを忘れたところに、やってくる」
セキュリティには、お金も、時間も、労力もかかります。めんどくさいので、どうしても、無視したり、軽んじられることも珍しいことではありません。
しかし、一度、攻撃にあってしまうと、そのインパクトは大きく、個別の業務だけではなく、会社全体にさえ大きな影響を与えます。精神的にもダメージを受けるでしょう。
防災だと思って、必要な事前準備をしておくことが、身を守るための唯一の手段です。