けものフレンズを見て、何もかも忘れましょう。
ではなく・・・
セキュリティの話を詰めるのは大体疲れます。
Q.ウチくらいの会社なら、httpsを使わなきゃダメだろ!
A.いや、イントラネットですやん。
Q.システムをいつ誰が使用したか、正確にトラッキングしよう!
A.トラッキングして何に使うんですか?その前に社員がパスワードを付箋でPCに貼ってるのなんとかしましょう。
Q.権限管理、ロール管理をしよう。さぁあとは宜しく。
A.部門リストと権限リストは業務要件なので提示してくださいね。あと社員がパスワードを付箋で―
システム部門がないか、あっても機能していないところは、その辺詰めるのすごく大変です。 あと、多くの場合“Q”になっていないことも特徴です。
話を詰めるときは、まずその場における"セキュリティ"を定義することが一番大切です。(まぁ大体の会議はそうですが)
さぁ、セキュリティを定義しましょう!
・・・
“セキュリティ"って、何だ?
吉○沙○里さんを雇うことでしょうか?
おそらく違うのではないかと思います。今は本人が戦うんじゃなくて、ポケモン戦わせてるので。(そういう問題じゃない
そもそも対象になってるのは情報システムです。
というわけで、セキュリティについて調べて"情報システムにおけるセキュリティ"を、可能な限り汎化して定義することが今回の目的です。
Wikipedia
まずはWikipediaいってみましょう。
ちなみに余談ですが、私のChromeはChrome拡張「ジャパリペディア」のおかげで、Wikipediaがジャパリ図書館化しています。
それは置いといて。
「セキュリティ」のページは曖昧回避みたいな感じになってます。このあたりからも、"セキュリティ"っていう言葉の曖昧さがわかりますね(つまり誤認識が生まれやすく、人によって解釈もスコープも異なる)。 今回はあくまで、私のようなSIerが直面するであろう、それらしい次の3つの概要を引っ張ってきました。
コンピュータシステムを災害、誤用および不正アクセスなどから守ることである。\たのしー!/また、ハードウェア、ソフトウェア、データ、ネットワークのいずれについてもその機密性、完全性、可用性を維持することである。
―――概要から
ジャパリペディアのせいで余計な吹き出しが入り込んでますが、概ね楽しくはないと思います。ちなみに吹き出しの入る箇所、内容は毎回ランダムです(Chrome拡張の宣伝みたいになってますね。広告料くだちい)
不正な利用とは、第三者による秘密情報へのアクセス、許可されていない操作の実行、ネットを介した詐欺(架空請求、ワンクリック詐欺など)が含まれる。この語は、しばしばコンピュータセキュリティ(安全性)を保つための仕組みや技術を指すために用いられる。また、コンピュータセキュアとも呼ばれる場合もある。\って言うんだー!/
―――概要から
って言うらしいですよ。
情報セキュリティは、JIS Q 27002(すなわちISO/IEC 27002)によって、情報の機密性、完全性、可用性を維持することと定義されている。それら三つの性質の意味は次のとおりである。 - 機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること - 完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること - 可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること これら三つを、英語の頭文字を取って、情報のCIAということもある。 JIS Q 27001 では、これらを次のとおりに定義している。\へーきへーき!/これらは、ISO/IEC 27001 の定義を翻訳したものである。ここで、エンティティとは、団体などを指す。\でも騒ぐほどでもないか/
―――定義から
は、はい。認識は違ってなかったので、騒ぐほどでもないですね。 セキュリティ畑の人たちって、やっぱりJISとかISOの番号、暗唱できるんですかね?
基礎を成すコンピュータネットワークのインフラの規定、無資格者のアクセスからネットワークとネットワークからアクセスできる資源を守るためにネットワーク管理者によって導入される方針、および一貫した継続的な監視とその効果(場合によっては欠陥)の評価までの作業から成り立つ。
―――概要から
言葉としてのネットワーク・セキュリティと情報セキュリティは、しばしば同様に使われるが、一般にネットワーク・セキュリティは組織の境界線における防御の提供と理解され、この防御はハッカー、スクリプトキディなどの悪さをする人間を遠ざけるものである。今日ネットワーク・セキュリティ・システムはその効果が十分なものであるため、焦点は組織内の人々による攻撃あるいは単純な間違いから資源を守ることに移っている。
―――情報セキュリティとの比較から
以上です。
証券 - Wikipedia など、そのほかのセキュリティについても、ITから見て無関係ではありませんが、今日は汎用的な話にしたいので、割愛します。興味はありますが、沼りそうなので。
Wikipediaでは上記3つが並列のように見えますが、現実の事象を考えるともう1階層作ったほうがよさそうな気がします。
- コンピュータセキュリティ
- 情報セキュリティ
- ネットワークセキュリティ
冒頭で話題に出したような前提知識のない人に対して説明するとなると、階層に従って説明したほうがブレークダウンできそうですね。
総務省
総務省にもこんなページがありました。
情報セキュリティって何?|はじめに|国民のための情報セキュリティサイト
私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それが情報セキュリティ対策です。
なんとも平易な文面・・・と思いきや、"情報セキュリティ対策“に違和感を覚えるのは私だけでしょうか? 正しくは"情報セキュリティ施策"だと思います。
対策だと、攻撃者側の表現になるんじゃないでしょうか?
経産省
経産省にもこんなページが。
“バンダル"って初めて聞きました。
バンダル - 意味・説明・解説 : ASCII.jpデジタル用語辞典
へー。モビルフォースのことかと思った
ググってましたが、なかなかIPAのページが出てこないと思い、直接アクセスしてみました。
特に"セキュリティ"というものの解説はないですね。
IPAでは"セキュリティ対策“って書いてますね・・・
すごく違和感はありますが、やはりこれが一般的な表現なんでしょうか。
最近読んだ ソフトウェアシステムアーキテクチャ構築の原理 第2版 には次のように書いてありました。
本書ではセキュリティを、システムリソースの所有者が、どのリソースに、だれがアクセスできるかを、確実に制御できるようにするプロセスとテクノロジーのセットとして定義する。ここでいう誰かとは、人間やソフトウェアなど、システムでセキュリティアイデンティティを持つアクタの集合を指し、セキュリティスペシャリストは、通常、そういうアクタを主体と呼ぶ。リソースとは、サブシステムやデータ要素、操作など機密とみなされるシステム部分(つまり、アクセス制御をしなければならない対象)である。
これは、Wikipediaで分割して書かれてた3つの観点を、ひとまとめにしてる感じがありますね。 特に最初の一文。単語さえ平易にすれば、かなり汎用的になりそうです。
現時点でのまとめ
その他、各サイトで表現の違いはあれど、新しい登場人物やアクションは出てこないので、まとめてしまっても良さそうです。
今のところ、 ソフトウェアシステムアーキテクチャ構築の原理 第2版 の次の文面が、一番自分の中で汎用的だと思っています。
システムリソースの所有者が、どのリソースに、だれがアクセスできるかを、確実に制御できるようにするプロセスとテクノロジーのセット
あとは、説明する相手の習熟度によって、例え(データ、データの中の情報、PC端末、ひいては会社のフロア自体、など・・・)を変えるだけで、かなり通じそうな気がします。
またブレークスルーあれば書きます。