セキュリティの三要素

セキュリティを考えるときは、セキュリティの三要素「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を考えるとわかりやすくなります。情報セキュリティマネジメントシステムの国際基準であるISO/IEC 27002においても、情報セキュリティとは、「情報の機密性、完全性、および可用性を維持すること」と定義されています。とはいえ、この三要素はわかりにくい言葉であることは否定できません。順番に何を意意味している言葉なのかを確認していきましょう。

まずは機密性です。機密性は、許可した者だけが情報にアクセスできるようにすることです。情報の漏洩を防ぐことが、機密性を守ることになります。例として、IDやパスワードの設定によって、情報のアクセスをコントロールすることが挙げられます。近年、個人情報の漏洩が大きな問題となることが多くなっていますが、それは機密性が侵害されているのです。

続いて、完全性です。完全性は、情報が想定した状態から改ざんされていないという意味です。完全性が保たれていなと、情報は信頼に値しないということになります。Webサイトの改ざんは、完全性が侵害された典型例です。

最後に可用性ですが、可用性とは、許可された者が必要な時に情報に確実にアクセスできることです。攻撃対象に過度なアクセスを集中させることで、サービス不能に陥れる、DoS攻撃や自然災害によるシステムのダウンを防ぐことで実現することができます。

これらの三要素は、英語の頭文字をとって、CIAなどと呼ばれることもあります。情報セキュリティを語る上で重要な言葉ですので、イメージを掴んでおきましょう。

スマートフォンへの脅威

近年、スマートフォンは急速に普及し、今では持っていない人を探す方が難しくなってしまっています。スマートフォンは、自由にアプリをインストールすることで、さまざまな機能を利用することができます。

このスマートフォン、いわゆるガラケーと呼ばれた携帯電話から進化したものと考えられがちですが、セキュリティの観点から考えると、携帯電話というよりもパソコンに近い特性をもっています。つまり、パソコンと同様のセキュリティ上の脅威がスマートフォンには存在しているのです。そのため、スマートフォンにおいてもセキュリティ対策をきちんとすることを心掛けておく必要があります。

まず、スマートフォンを狙うウイルスというものが存在しています。ウイルスは通常のアプリと同じような形で流通しており、ユーザーがインストールすることで感染します。正体を偽装されることも多く、ゲームを装ったウイルスなども散見されます。ウイルスの機能としては、スマートフォンの端末情報を盗んだり、別のウイルスをダウンロードしたりするものが確認されています。これはパソコンと全く同じ状況です。

続いて脆弱性です。スマートフォンもプログラムで構成されていますので、残念ながらバグをゼロにすることはできません。そのため悪用可能なバグである脆弱性も当然存在しています。脆弱性を放置しておいた場合、ユーザーが許可したものを超える操作が行われる可能性があります。

スマートフォンにも、パソコンと同様の脅威が存在することをご理解いただけましたでしょうか?しかし、大変便利なスマートフォンを使うな、といっても無理のある話です。そのため、セキュリティに配慮しながらうまく付き合っていくことが必要です。

スマートフォンのセキュリティ対策については、IPAが「スマートフォンを安全に使用するための6箇条」としてまとめています。こちらを参考にしてみてください。どれも基本的なことですが、重要な示唆に富んでいます。

特に重要なのは、信頼できるサイト以外からアプリをインストールしないことです。きちんとアプリの審査や安全性の確認を行っている公式サイトからダウンロードすることを心掛けましょう。