• 前回は、情報セキュリティについて解説しました。
  大切な情報を正しく安全な状態に保つことが情報セキュリティということになります。
  そして、それを評価するための3つの要素として、機密性、完全性、可用性があります。
  本日はその中の1つである、機密性について、詳しく解説していきます。

①機密性とは

• 機密性とは、重要な情報が外部に流出しないように徹底的に保護・管理するということです。
  重要な情報というと、顧客の個人情報や、会社の取引情報、新サービスの企画書、社員の評価査定書などがありますよね。
  そういった重要な情報が外部に漏れないということだけでなく、権利を持った人だけが見られたり、修正できるようにしておくことが機密性です。
  ここで大切なのは、「権利を持った人のみが」ということです。
• 権利ってなんか難しそう。。
• 例えば、ぐらみん君が使っているLINEのメッセージは、他の人にはあまり見られたくないですよね？
  でも、ぐらみん君自身も見られなければLINEの意味がありません。
  この場合、ぐらみん君はぐらみん君自身のLINEのメッセージを見る権利があるということなのです。
  また、社員の給与明細や、評価査定などは一般社員に見られるのは良くありませんが、社長や部長などの役職者は見ることができ、修正できないといけません。
  この場合には、社長や部長は社員の給与明細や、評価査定を見たり、修正できる権利があるということになります。
  このように、特定のファイルやサービスにアクセスできる権利のことをアクセス権と言い、アクセス権を設定して、機密性を高める仕組みのことをアクセス制御と呼びます。
  いくら重要な情報であっても、だれも使えないのであれば宝の持ち腐れとなってしまいますから、アクセス制御を適切に設定するということも機密性を高める上で重要なことなのです。
  アクセス制御の方法としては、パソコンにログインする際のIDで人を特定し、例えばその人が部長であれば、部長クラスが見られるファイルのみを閲覧できるように設定しておきます。
  また、顧客の個人情報が載った名簿などは機密性が高いので、なるべく紙のリストでは残さず、スキャンして電子データとして残すようにします。
  さらに、電子化したファイルを開くために必要なパスワードを設定したり、ファイル自体を暗号化しておいて、必要なときだけ復号化するなどの工夫をして機密性を高めています。

②認証

• 機密性を高めるためによく用いられるのは認証です。
  認証というと難しく聞こえますが、IDとパスワードを使って本人を特定する方法だと思ってください。
• ぼくもアプリで、IDとパスワードを作ったことがあるよ！
• この辺りは、ぐらみん君のようにスマホのサービスなどで作った経験がある人は多いはずです。
  それと同じような仕組みで、身近なのは銀行のATMで使うキャッシュカードです。
  これはカードがIDで暗証番号がパスワードとなります。
  銀行側はキャッシュカードで「誰か？」を特定し、暗証番号で「カードを持つ本人か？」を確認して、その人が預けているお金を自動で引き出せる仕組みを作りつつ、他の人には引き出せないようにするといった機密性を確保しているのです。
  ただ、最近ではオンラインバンクも増えてきました。
  インターネット上で銀行口座の残高を確認したり、他の口座に振込を行えるなど、とても便利です。
  その反面、IDとパスワードが漏れてしまえば、悪用されてしまうという事例も増えてきました。
• でもさ、IDとパスワードって、誰にも教えなければバレないんじゃない？
• いや、プログラミング技術を悪用すれば、そういったこともできてしまうのです。
  それを可能にするのがブルートフォースアタックと呼ばれる手法です。
• また出た！必殺技っぽい用語！
• ブルートフォースアタックとは、総当たり攻撃のことです。
  例えば、簡易的な鍵として使うダイヤル錠がありますよね？
  あの番号を忘れてしまって、0000～9999まで数字を変えて試してみたという経験をした人はいると思います。
  それをインターネットのサービスで行うわけです。
  そうですね・・・、ぐらみん君が使っているオンラインバンクのIDがguraminだとしましょう。
  悪意のあるユーザは、そのguraminをIDで固定して、考えられるパスワードを全て試す形でログインを試みるのです。
• えっ、そんなの大変じゃん。
• 確かに自力でやると気が遠くなるほど時間がかかるものですが、多くの場合プログラムされたコンピューターが行っている場合がほとんどです。
  例えば、英数字で作られた4文字のパスワード（h53rなど）はコンピュータを使うと1分で見破られてしまいます。
  一方で、英数字だけでなく、記号も含めて8文字のパスワード（3#qe7Gh%）にした場合、コンピュータを使ったとしても解読に8時間、12文字だと34000年も掛かるそうです。
  なので、パスワードはなるべく英数字だけでなく、記号も含めて8桁以上にするということも機密性を高めるためには重要なことなのです。

③様々な認証の仕組み

• しかしながら、インターネットサービスを使っているユーザが全員、記号も含めて8桁以上のパスワードを使っているわけではありません。
  複雑なパスワードにすると覚えるのが大変だと思う人も多いですよね。
• 機密性以前の問題じゃん。
• 最近では、2段階認証がよく使われていますよね？
  例えば、IDとパスワードを入力した後に、登録しているスマートフォンにショートメールで4～8桁くらいの数字も入力させるといった2段階の認証方法です。
  この方法であれば、例えIDとパスワードが外部に漏れたとしても、登録しているスマートフォンが無ければ、ログインは成功しません。
  このときに用いられる1回きりのパスワードをワンタイムパスワードと呼びます。
  その他にも、IDとパスワードを入力した後に、指紋や顔の認証も加えた2段階認証は最近のスマートフォンでよく使われています。
  指紋や顔、手の指の静脈のように、固有性の高い人間の身体的特徴を使って本人確認に用いる認証方式をバイオメトリクス認証（生体認証）と言います。
  また秘密の質問を登録しておいて、その質問に答えさせるような2段階認証もあります。
  2段階認証以外にも、システムで防ぐ方法というのもよく用いられます。
  例えば、IDとパスワード以外に、ゆがんだ文字を入力させる認証方法もありますよね。
  パスワードはブルートフォースアタックで無作為に入力できますが、コンピュータでは判別できない文字も一緒に入力させることで、プログラムによる自動入力を防ぐといった手法です。
  この歪んだ文字を入力させる認証方法をCaptcha（キャプチャ）と言い、パスワード入力以外にも、ブログのコメントなどをコンピュータで自動投稿するのを防止するときにも使われます。
  また、ログイン時にある一定の回数、誤ったIDもしくはパスワードを入力した場合には、その後、何分間かはログインできないようにするといった制御を行うこともあります。
  なかのりPGがシステム開発時に作るログイン認証システムでは、必ずこの機能は入れているそうですよ！
• なかのりPGハンパないって！

まとめ

1. 機密性とは、重要な情報が外部に流出しないように徹底的に保護・管理するということ。
2. 大切な情報を漏れないようにするだけでなく、アクセス制御を使い、適切な人が正しい権利で情報を扱えるようにすることが大事。
3. 最近ではワンタイムパスワードやバイオメトリクス認証などを組み合わせた2段階認証が用いられるようになってきている。