<セキュリティ>

セキュリティとは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つの概念のことです。セキュリティを確保することは、組織の目的や目標に沿って、この3つの概念のバランスを保つことです。

これらの概念を具現化するためのコントロール(制御)とは、以下となります。


・機密性
 データ保護のコントロール

・完全性
 データ更新のコントロール

・可用性
 データ利用のコントロール

これらのコントロールを実現するためのソフトウェアのテクノロジーとは、以下の3つです。


・認証
 アクセスできるユーザを特定する技術。ユーザIDとパスワード、指紋認証、SSO(シングルサインオン)など


・認可
 アクセスできる範囲を決定する技術。RBAC、DAC、DACなど


・暗号化
 データを見えなくする技術。AES、TDES、RSAなど

これらの技術は、継続的に新しい技術が開発されており、たくさんの技術があふれています。
導入・運用の難易度、コスト、適合性などを総合的に判断して、導入していく必要があり、継続的なアップデートも必要です。

システム構成において、セキュリティを実現する箇所は、次となります。

・アプリケーション
 開発するソフトウェア、パッケージアプリケーションなど


・データベース
 RDBなど


・OS
 WindowsやLinuxなど


・ネットワーク
 LAN、WAN(インターネット)など

これらはクラウドで構築されるケースも多いでしょう。その場合、特にデータに関して、セキュリティの責任分担を明確にし、クラウドベンダーに任せる部分、自社内で実現する部分を認識し、一枚岩にする必要があります。

■ まとめ

「攻撃は、セキュリティを忘れたところに、やってくる」

セキュリティには、お金も、時間も、労力もかかります。めんどくさいので、どうしても、無視したり、軽んじられることも珍しいことではありません。
しかし、一度、攻撃にあってしまうと、そのインパクトは大きく、個別の業務だけではなく、会社全体にさえ大きな影響を与えます。精神的にもダメージを受けるでしょう。
防災だと思って、必要な事前準備をしておくことが、身を守るための唯一の手段です。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です