• 前回はサイバー犯罪の1つである、フィッシングについて解説しました。
  フィッシングとは、銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、相手を騙す行為です。
  緊急性を装うメール文と偽サイトを使って、個人情報や金銭を盗み出す詐欺で、その手口や対策を説明しました。
  今回からは、これまでお話したサイバー犯罪を防ぐための「情報セキュリティ」について学んでいきます。

①情報セキュリティとは

• セキュリティは普段の生活でもよく見聞きしますが、英語で安全を意味します。
  つまり、”情報”を”安全”にすることが”情報セキュリティ”ということになります。
  例えば、自分の個人情報が漏洩する。
  自分のパソコンがマルウェアに感染する。
  こういった事態が起こるのを防ぐことが情報セキュリティということになります。
• そうだね・・・もうマルウェアは懲り懲りだよ。
• そうですね。
  ただ、この動画を見ている学生さんは成人を迎え、社会に出る人も多いでしょう。
  そうなると、企業レベルで情報セキュリティを考える必要があります。
  ・顧客や企業の重要情報をサイバー犯罪から守る
  ・悪意のあるユーザにデータやWebサイトなどを改ざんされないようにする
  ・企業が提供しているサービスをいつでも安全に使えるようにする
  さらには、地震や火災といった自然災害にも備えるといったことも、情報セキュリティとして考える必要があります。
  企業レベルで考えた場合、情報セキュリティが甘く、このような被害に遭ってしまった場合には、会社経営を揺るがすくらいのダメージを負うことも少なくありません。最悪、倒産となることもあります。
  だからこそ、情報セキュリティを学び対応できるようにしましょう。

②情報セキュリティの3要素

• ここで考えてほしいのが「どのような状態が情報セキュリティが高い」と言えるのかってことです。
  例えば、プロ野球で良いバッターはどういった要素で評価されるのかと言うと・・・
  どのくらい高確率でヒットを打てるかという打率、どのくらい点を叩き出しているかという打点、どのくらいホームランを打てるかという本塁打数の3つの要素で評価されます。
  例えば、皆のヒーロー大谷翔平選手は3つの要素がどれも高いですが、一方で、イチロー選手は打率が特に高い選手として評価されます。
  また、楽器の演奏においてはリズム、メロディー、ハーモニーの3つの要素で評価されます。
  プロのピアニストやバイオリニストは、この3つの要素がバランス良く構成されているということですね。
  情報セキュリティにおいても3つの要素をバランスよく整えていくことが、情報セキュリティが高いと言えるでしょう。
• じゃ、その情報セキュリティの3要素って何なのさ。
• いい質問ですね。
  機密性、完全性、可用性の3つです。
• よく分からん。ぼくには機密性がギリ理解できるレベルだね。
• まぁ、そのよく分からんを日本一わかりやすく説明するのがルークススクールですから、ご安心ください。

③機密性、完全性、可用性

• では1つずつ説明していきましょう。
  まずは、ぐらみん君がギリ分かる機密性からです。
  機密性は重要な情報が外部に流出しないように徹底的に保護・管理するということです。
  重要な情報というと、顧客の個人情報や、会社の取引情報、新サービスの企画書、社員の評価査定書などがありますよね。
  そういった重要な情報が外部に漏れないということだけでなく、権利を持ったユーザのみが見られるようにしておくことが機密性です。
  次に、完全性です。
  これは、データが改ざんされず、正しい正確な情報が保たれているということです。
  例えば、オンラインバンクで送金処理を行う際に、私がぐらみん君に1万円入金するところを100万円入金するに変えられてしまったら大変なことになりますよね？
• ぼく的には超ラッキー！
• また、企業のWebサイトの情報が勝手に書き換えられると、ユーザに誤った情報が伝わってしまいます。
  このようなデータの書換や改ざんが起こらない正しい状態に保ち、さらにデータやファイルが損失・破壊されないようにすることを完全性と言います。
  最後に可用性です。
  これは、情報やサービスをいつでも使える状態にしておくことです。
  例えば、TwitterやFacebookなどのSNSは24時間365日使うことができます。
  当たり前のように思われるかもしれませんが、このような世界中で何億人というユーザが利用しているサービスを常に稼働し続けられるのは、とても凄いことなのです。
  また、火災や地震などによる停電が起こった際にも、サービスが稼働し続けられるように対応しておくことは重要です。
  ちなみに、ぐらみん君は重要な情報が外部に流出しないようにする方法として、何か思いつくものはありますか？
• そうだな。
  重要な情報が入ったパソコンは宝箱に入れて鍵を掛けて、鎖を巻いて厳重管理するとか。
• うーん。
  間違ってはいませんがナンセンスですね。
  それだと重要な情報が外部に流出する危険性は下がりますが、その重要な情報にアクセスできなくなりますよね。
  例えば、ぐらみん君の個人情報はぐらみん君本人は見てもいいわけですよね。
  逆に見られないと困ります。
  また、社員の評価査定書などは社長や部長といった会社の管理職は見られないと困るわけです。
  つまり、機密性ばかり高くって、可用性が低くなるとサービスとして成立しないわけです。
  逆に、可用性を高くしようとして、誰もがいつでも、どのファイルも見られるようにすると、今度は機密性が損なわれて情報漏えいつながりやすくなります。
  一般的な方法としては、IDとパスワードを入力させて一致した時にデータにアクセスできるようにする。
  IDでユーザを識別して、管理職以上であれば重要ファイルへのアクセスを許可するといった方法でしょうか？
  そうすれば、機密性も確保でき、情報を利用したいユーザが適切にアクセスできるといった可用性も高くなりますよね。
• なるほど。
• このように、セキュリティの３要素はバランスよく調整することが大事だということも押さえておいてください。
  機密性、完全性、可用性については大事なので、この後の動画で3回に分けてそれぞれを詳しく説明していきます。
  セキュリティの３要素である機密性、完全性、可用性は「漏れず、正しく、いつでも使える」とおぼえてください。

まとめ

1. 大切な情報を守ることを、情報セキュリティと言う。
2. 情報セキュリティの高さを評価するための3つの要素として、機密性、完全性、可用性がある。
3. 情報セキュリティの３要素である機密性、完全性、可用性は「漏れず、正しく、いつでも使える」と覚えよう。