セキュリティ概論(セキュリティのセの字を知る)


カテゴリー:セキュリティ

タグ   : , , , ,

2012年03月05日に書きました。


コメントをどうぞ

前回の自己紹介で、ズバリ、月2回!とか書いといて気づけば2月が終わってしまっていました。
お楽しみの方が万が一おられましたら、まことにもってごめんなさい。
忙しかったのかと問われたならば、そうでもございませんでした・・・。
3月からは頑張ります、目標月2回で。

ところで、前回軽くバックグラウンドに書いた通り、わたくし、セキュリティの仕事に携わっていた経験があります。あれはそう、さかのぼること10年前の2002年10月(もうすぐ丸10年ですね)、入社したばかりの私に、最初の上司が(変な時期に入社したばっかりに部長の直付きでした)言いました。

「タケダ君、ちょっとセキュリティポリシー作ってくれるかな」

おっとびっくり、ノー経験値のわたくしでしたが、「とある開発用システムのポリシーだから、社内のやつをベースに作ってくれればいいよ」ってことで企業人としてのはじめての業務がセキュリティという分野で幕を開けた訳であります。

その後、2006年3月末までセキュリティ関連の業務に携わったのですが、その合計3年半の時間の中で、次のような仕事をし、スキル(技術・知識)を身につけていきました。

  • セキュリティポリシーの策定
  • セキュリティサービスの運用
  • セキュリティ診断サービス事業の立ち上げ
  • セキュリティ認証取得支援(ISMS)

ということで、順番に行きましょう。

 

セキュリティとは、「情報セキュリティ」

今回は、「セキュリティポリシー」ってなんやねん、を軽い感じで説明してみたいと思います。ポリシー・・・、一時期「ポリシーがないのがポリシー」なんて適当なことを言ってた時期が実はあるんですが、それはさておき、まずは、ポリシーの前に「セキュリティ」ってなんやねん、から。これから何回かに分けて書いてみようと思っている「セキュリティ」ですが、セキュリティには、物理的なセキュリティやら、ITセキュリティやらと、色々な切り口がありますが、一般的な、最も大きなくくりとしてのセキュリティとは、何らかの「情報」を守るという広い意味での「情報セキュリティ」を指すことが多いと感じます。「セキュリティ」という表現は、インターネット上だとどちらかというと、ネットワークだとかOS含むソフトウェアだとかの技術的なセキュリティを指すことが多いように感じますが、大小問わず、組織内で用いられる表現では、この情報セキュリティを指すことが多いと思います。

 

セキュリティのCIA

セキュリティはCIAと呼ばれる要素を、保証する(担保する)ことができていて初めて「セキュリティが守られる」という状態であると言われます。そのCIAとは、

  • Confidentiality (機密性)
  • Integrity (完全性)
  • Availability (可用性)

この三つです。機密性、というのは、「その情報が、知られるべき人のみに、適切に開示されている状態」についての保証です。完全性、というのは、「その情報が、改ざんされることなく、正しく伝わる状態」についての保証です。可用性、というのは「その情報が、損なわれることなく、きちんと伝わる状態」についての保証です。

このように、TPOに応じて、適切な人が、適切な情報を、改ざんされたり失われることなく、取り扱うことができる、という状態を、「セキュリティが守られている(CIAが保たれている)」といいます。

 

ポリシーはドキュメントありき

次に、セキュリティポリシー、の話に移りましょう。なんとかポリシーというと、サイトポリシー、プライバシーポリシー、など色々とありますが、セキュリティポリシーというのは、上述のCIAをどのように保証するか、というような観点をドキュメント化したものになります。

このドキュメント群は、ピラミッド上の体系になっていて、上位からポリシー、スタンダード、プロシージャで構成されることが多いです。ポリシー(方針)というと、大きな方針のみが書かれており、頻繁には更新されないようなレベルでの記述のみですが、スタンダード(基準)、プロシージャ(手順)となるにつれて、細かい個々の企業におけるルールが詳細に記述されているようなイメージです。

「セキュリティポリシー」 で検索すると、政府の「情報セキュリティに関するガイドライン」が出てきました。このような感じで、サイクルをまわして運用することが推奨されています。

また、早稲田大学の情報セキュリティポリシー、は公開されてるみたいです。

いずれも少し古いですが、参考になるかもしれません。

 

さて、今回はこの辺で。こういうところでは明らかにできないことも多々あります故、セキュリティについてざっくり知りたいという方は是非是非声をかけてください。関西の方でしたら呑みにでも行って語らいましょう^^

では次回こそは、3月中にもう一度お会いしましょう。
(たまには真面目に書くのもいいものですね、昔の仕事を想い出しました^^)

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です