セキュリティ

情報セキュリティ とは、情報資産を脅威から保護し、安全に利用できる状態を維持することです。情報セキュリティの基本は CIA と呼ばれる3つの要素で構成されます。

要素	英語名	説明	具体例
機密性	Confidentiality	許可された人だけが情報にアクセスできる	パスワード保護、暗号化、アクセス制御
完全性	Integrity	情報が正確で改ざんされていない	デジタル署名、ハッシュ値の検証
可用性	Availability	必要なときに情報やシステムを利用できる	冗長化、バックアップ、UPS

この3つの要素はトレードオフの関係にあることもあります。例えば、機密性を極端に高めるとアクセス手順が複雑になり可用性が低下する場合があります。バランスのとれた対策が重要です。

CIAに加えて、以下の要素も情報セキュリティにおいて重要です。

• 真正性（Authenticity） — 利用者やシステムが本物であることを確認できる
• 責任追跡性（Accountability） — 誰がいつ何をしたかを追跡できる
• 否認防止（Non-repudiation） — 行為者が後から自分の行為を否定できない
• 信頼性（Reliability） — システムが意図したとおりに一貫して動作する

情報セキュリティを理解するうえで、脅威・脆弱性・リスク の関係を押さえる必要があります。

用語	意味	例
脅威	情報資産に損害を与えうる原因	サイバー攻撃、自然災害、人的ミス
脆弱性	システムや運用上の弱点	ソフトウェアの欠陥、設定不備、教育不足
リスク	脅威が脆弱性を悪用して損害が発生する可能性	個人情報の漏えい、サービス停止

リスクは「脅威 × 脆弱性 × 情報資産の価値」で評価されます。組織はリスクの大きさに応じて対策の優先度を決定します。

情報セキュリティポリシー は、組織が情報セキュリティに関する方針を体系的にまとめた文書です。以下の3階層で構成されます。

1. 基本方針 — セキュリティに対する組織の基本的な考え方や姿勢を宣言
2. 対策基準 — 基本方針を実現するための具体的な規則やルール
3. 実施手順 — 対策基準を実際の業務で実行するための詳細な手順書

マルウェア（malware） は「malicious（悪意のある）+ software」の造語で、コンピュータに被害を与えるソフトウェアの総称です。

種類	特徴
コンピュータウイルス	他のプログラムに寄生して自己複製する。宿主プログラムの実行時に動作する
ワーム	単独で自己複製し、ネットワークを通じて自動的に拡散する。宿主不要
トロイの木馬	有用なソフトウェアを装い、裏で不正な動作を行う。自己複製しない
ランサムウェア	ファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求する
スパイウェア	ユーザーの操作情報やパスワードを密かに収集して外部に送信する
キーロガー	キーボードの入力内容を記録し、パスワードなどを窃取する
ボット	攻撃者の遠隔指令で動作するプログラム。多数のボットで構成されるネットワークを ボットネット と呼ぶ
ファイルレスマルウェア	ファイルとして保存されず、メモリ上で動作するため検出が難しい

マルウェア以外にも、さまざまなサイバー攻撃手法が存在します。

フィッシング は、実在する企業やサービスを装った偽のメール・Webサイトで個人情報やパスワードを騙し取る手法です。フィッシングが成功する理由は、人間の心理（「アカウントが停止されます」という緊急性や、銀行・公的機関を装う権威性）を巧みに悪用するためです。対策としては、メール内のリンクではなくURLを直接確認する、二要素認証を導入する、不審メールの送信元アドレスを確認する、といった方法があります。近年は スミッシング（SMS + フィッシング） やSNSを利用したフィッシングも増加しています。

標的型攻撃 は、特定の組織や個人を狙って巧妙に仕組まれたサイバー攻撃です。業務メールを装って添付ファイルを開かせるなど、長期間にわたって侵入と情報窃取を行います。APT（Advanced Persistent Threat） とも呼ばれます。

DoS攻撃/DDoS攻撃 は、サーバに大量のリクエストを送りつけてサービスを利用不能にする攻撃です。

攻撃手法	説明
DoS攻撃	1台の端末から大量のリクエストを送信
DDoS攻撃	多数の端末（ボットネット）から同時に攻撃
フィッシング	偽サイトで認証情報を窃取
標的型攻撃（APT）	特定組織を狙った高度で持続的な攻撃
水飲み場攻撃	標的がよく訪れるWebサイトを改ざんして感染させる
ゼロデイ攻撃	修正プログラム公開前の脆弱性を悪用する攻撃

ゼロデイ攻撃 は修正パッチが存在しないため特に危険です。対応策としては、WAFやIPSで暫定的に防御する、不要なサービスやポートを停止する、ネットワークを分離して被害を局所化する、といった多層防御が求められます。

Webアプリケーションを狙った攻撃も頻出テーマです。

• SQLインジェクション — Webフォームの入力欄にSQL文を挿入し、データベースを不正に操作する攻撃。対策: プレースホルダ（バインド変数）の使用
• XSS（クロスサイトスクリプティング） — Webサイトに悪意のあるスクリプトを埋め込み、閲覧者のブラウザで実行させる攻撃。対策: 入力値のサニタイジング（エスケープ処理）
• CSRF（クロスサイトリクエストフォージェリ） — ログイン中のユーザーに、意図しないリクエストを送信させる攻撃。対策: トークンによるリクエスト検証
• ディレクトリトラバーサル — ファイルパスを操作して、本来アクセスできないファイルを読み取る攻撃

技術的な攻撃だけでなく、人間の心理的な弱点を突く ソーシャルエンジニアリング も大きな脅威です。

手法	説明
なりすまし	システム管理者や上司を装って情報を聞き出す
ショルダーハッキング	後ろからパスワード入力画面を覗き見る
トラッシング	廃棄された書類やメディアから情報を拾う
テールゲーティング	正規の入室者に続いてセキュリティエリアに侵入する
プリテキスティング	もっともらしいシナリオを用意して情報を引き出す

技術的な対策だけでなく、従業員への セキュリティ教育 と セキュリティ意識の向上 が防御の基盤となります。

暗号化 とは、データを第三者に読めない形に変換して保護する技術です。暗号化には 鍵 を使い、暗号化の方式は大きく 共通鍵暗号方式 と 公開鍵暗号方式 に分かれます。

項目	共通鍵暗号方式	公開鍵暗号方式
鍵の種類	暗号化と復号に同じ鍵を使用	公開鍵（暗号化用）と秘密鍵（復号用）のペア
代表的なアルゴリズム	AES, DES	RSA, 楕円曲線暗号
処理速度	高速	低速
鍵の配送	安全に共有する必要がある（課題）	公開鍵は誰にでも公開できる
通信相手数と鍵数	n人で n(n-1)/2 個	n人で 2n 個

共通鍵暗号方式 は高速に処理できますが、通信相手が増えると管理する鍵の数が膨大になります。これを 鍵配送問題 と呼びます。具体的には、n人が互いに通信する場合、共通鍵は n(n-1)/2 個必要です。例えば100人の組織なら4,950個の鍵を管理しなければなりません。公開鍵暗号方式 なら各人が公開鍵と秘密鍵の2個を持つだけで済み、100人でも200個です。ただし公開鍵暗号方式は処理速度が遅いという特徴があります。

実際の通信では、両方の長所を組み合わせた ハイブリッド暗号方式 が使われます。なぜハイブリッドが必要か？ 共通鍵暗号は高速だが鍵を安全に渡す方法がない。公開鍵暗号は鍵配送が安全だが処理が遅い。この2つの弱点を互いに補うのがハイブリッド方式です。SSL/TLS（HTTPS通信）でも採用されています。

1. 送信者が共通鍵をランダムに生成する
2. その共通鍵を受信者の 公開鍵で暗号化 して送付する（安全な鍵配送）
3. 受信者は自分の 秘密鍵で共通鍵を復号 する
4. 以降のデータ通信は 高速な共通鍵暗号方式 で行う

つまり、公開鍵暗号は「共通鍵を安全に渡す」ためだけに使い、実際のデータ暗号化は高速な共通鍵暗号で行います。これにより、鍵配送の安全性とデータ通信の高速性を両立しています。

ハッシュ関数 は、任意の長さのデータから固定長の値（ハッシュ値、メッセージダイジェスト）を算出する関数です。

特徴	説明
一方向性	ハッシュ値から元のデータを復元できない
衝突耐性	異なるデータから同じハッシュ値が生成されにくい
固定長出力	入力の長さに関係なく、常に同じ長さの出力
代表アルゴリズム	SHA-256（256ビット出力）、SHA-3

ハッシュ関数はパスワードの保存、データの改ざん検知、デジタル署名に利用されます。

デジタル署名 は、公開鍵暗号方式とハッシュ関数を組み合わせた技術で、送信者の 本人確認 とデータの 改ざん検知 を同時に実現します。

デジタル署名の手順:

1. 送信者が文書のハッシュ値を計算する
2. そのハッシュ値を送信者の 秘密鍵 で暗号化する（これがデジタル署名）
3. 受信者は送信者の 公開鍵 でデジタル署名を復号し、ハッシュ値を取り出す
4. 受信者が受け取った文書からもハッシュ値を計算し、両者が一致すれば改ざんがないと確認できる

公開鍵が本物であることを保証する仕組みが PKI（Public Key Infrastructure: 公開鍵基盤） です。

認証局（CA: Certificate Authority） が公開鍵の持ち主を審査し、デジタル証明書（電子証明書） を発行します。Webサイトの場合は SSLサーバ証明書 としてHTTPS通信で利用されます。

SSL/TLS は、インターネット通信を暗号化するプロトコルです。HTTPにSSL/TLSを適用したものが HTTPS です。

項目	説明
SSL	Secure Sockets Layer。初期の暗号化プロトコル（現在は非推奨）
TLS	Transport Layer Security。SSLの後継。現在の標準
HTTPS	HTTP + SSL/TLS。Webの暗号化通信
サーバ証明書	Webサーバの身元を証明するデジタル証明書

認証（Authentication） とは、アクセスしようとしている人やシステムが本物であることを確認するプロセスです。認証の手段は 3つの要素 に分類されます。

認証要素	説明	具体例
知識情報（Something you know）	本人だけが知っている情報	パスワード、PIN、秘密の質問
所有情報（Something you have）	本人だけが持っている物	ICカード、スマートフォン、ワンタイムパスワードトークン
生体情報（Something you are）	本人の身体的特徴	指紋、虹彩、顔、静脈、声紋

多要素認証（MFA: Multi-Factor Authentication） は、上記の認証要素のうち 2つ以上の異なる要素 を組み合わせて認証する方式です。なぜ複数要素が必要か？ パスワード（知識情報）だけでは、漏えいした時点で不正アクセスを防げません。スマートフォン（所有情報）を加えれば、パスワードが漏れても物理デバイスがなければログインできません。さらに指紋（生体情報）を加えれば、デバイスを盗まれても本人以外は認証を突破できません。要素を増やすほど安全性が高まります。

認証方式	説明
二段階認証	認証を2回行う。同一要素（パスワード＋秘密の質問）でも可
二要素認証	2つの異なる要素を使う（パスワード＋指紋など）。二段階認証より安全
多要素認証（MFA）	2つ以上の異なる要素を使う。二要素認証を含む広い概念

注意: 「パスワード + 秘密の質問」は両方とも知識情報なので、二要素認証にはなりません。「パスワード + ワンタイムパスワード（スマホアプリ）」は知識情報 + 所有情報なので二要素認証です。

複数のサービスに1回の認証でアクセスできる仕組みが シングルサインオン（SSO: Single Sign-On） です。利便性が向上する一方、SSOの認証が破られるとすべてのサービスに不正アクセスされるリスクがあります。

Webサービスの認証・認可に関連する技術:

技術	役割
SSO	1回の認証で複数サービスにアクセス
OAuth	「この人に代わって○○する許可」を与える認可のプロトコル。認証ではない
OpenID Connect	OAuthの上に「この人は本当に○○さんか」という認証機能を追加したプロトコル
SAML	企業間のSSOを実現するXMLベースの標準規格
CAPTCHA	人間とボットを判別するための仕組み。歪んだ文字の入力や画像選択

CAPTCHA はログインや登録画面で自動化されたボット攻撃を防ぐために使われます。最近では画像認識や行動分析による reCAPTCHA が広く利用されています。

アクセス制御 は、情報資産に対する操作（読み取り・書き込み・実行など）を制限する仕組みです。

方式	英語名	説明
任意アクセス制御	DAC (Discretionary Access Control)	リソースの所有者が権限を設定する。柔軟だが管理が煩雑
強制アクセス制御	MAC (Mandatory Access Control)	セキュリティレベルに基づいてシステムが強制的に制御する
役割ベースアクセス制御	RBAC (Role-Based Access Control)	役割（ロール）にアクセス権限を割り当て、ユーザーに役割を付与する

RBAC は現在最も広く採用されている方式です。「管理者」「一般ユーザー」「閲覧者」などの役割を定義し、役割に応じた権限を一括管理します。ユーザーの異動や退職時にも、役割の変更だけで権限を適切に管理できます。

最小権限の原則（Principle of Least Privilege） も重要な考え方です。ユーザーには業務に必要な最小限の権限のみを付与し、不要な権限は与えません。

組織的に情報セキュリティを管理するための枠組みが ISMS（Information Security Management System: 情報セキュリティマネジメントシステム） です。国際規格 ISO/IEC 27001 がISMSの要求事項を定めており、認証を取得することで組織のセキュリティ管理体制を対外的に証明できます。

ISMSは PDCAサイクル で継続的に改善します。なぜ終わりがないのか？ サイバー攻撃の手法は常に進化し、新たな脆弱性も日々発見されます。一度対策を講じても、新たな脅威が生まれるため、継続的にセキュリティを見直し改善し続ける必要があります。

フェーズ	内容
Plan（計画）	セキュリティポリシーの策定、リスクアセスメントの実施
Do（実施）	セキュリティ対策の導入・運用
Check（点検）	監査や評価によるセキュリティ状況の確認
Act（改善）	問題点の是正と改善策の反映

リスクアセスメント は、組織の情報資産に対するリスクを特定・分析・評価するプロセスです。

段階	内容
リスク特定	情報資産を洗い出し、脅威と脆弱性を把握する
リスク分析	リスクの発生確率と影響度を評価する
リスク評価	分析結果に基づき対応の優先順位を決定する

リスク評価の結果に基づく リスク対応 には4つの選択肢があります。

リスク対応	説明	例
リスク低減	セキュリティ対策を実施してリスクを下げる	ファイアウォールの導入
リスク回避	リスクの原因となる活動をやめる	危険なサービスの利用中止
リスク移転	保険やアウトソーシングでリスクを第三者に移す	サイバー保険の加入
リスク受容	リスクを認識したうえで、あえて対策しない	影響が軽微な場合

セキュリティインシデント（事故や事件）が発生した際の対応体制も重要です。

CSIRT（Computer Security Incident Response Team） は、組織内のセキュリティインシデントに対応する専門チームです。インシデントの検知・分析・対処・再発防止を担当します。

SOC（Security Operation Center） は、ネットワークやシステムを24時間365日監視し、サイバー攻撃の兆候を早期に検知する組織です。

組織/チーム	役割
CSIRT	インシデント発生時の対応・調査・再発防止
SOC	24/365のネットワーク監視・攻撃検知
NISC	内閣サイバーセキュリティセンター。政府のサイバーセキュリティ戦略を推進
IPA	情報処理推進機構。脆弱性情報の収集・公開、セキュリティ啓発
JPCERT/CC	日本のCSIRT。国内外のインシデント対応の調整

インシデント発生時の対応手順:

1. 検知・連絡 — 異常を検知し、関係者に速やかに報告
2. 初動対応 — 被害の拡大防止（ネットワーク遮断等）
3. 調査・分析 — 原因の特定と影響範囲の把握
4. 復旧 — システムの正常な状態への回復
5. 事後対応 — 再発防止策の策定と実施、報告書の作成

情報セキュリティに関連する主要な法規を押さえておきましょう。

法律	概要
不正アクセス禁止法	他人のID・パスワードを使った不正アクセスや、それを助長する行為を禁止。技術的な不正侵入 行為 を罰する法律
個人情報保護法	個人情報の適切な取り扱いを事業者に義務づける。5,000件以下も対象。個人 情報の管理 に関するルールを定める法律
マイナンバー法	特定個人情報（マイナンバー）の利用範囲と厳格な管理を規定
サイバーセキュリティ基本法	国のサイバーセキュリティ戦略の基本理念と体制を定める
プロバイダ責任制限法	プロバイダの損害賠償責任の範囲と発信者情報の開示を規定
電子署名法	電子署名に手書き署名・押印と同等の法的効力を認める

個人情報 とは、生存する個人に関する情報で、特定の個人を識別できるものです。氏名、住所、メールアドレス、顔写真などが該当します。要配慮個人情報 には、人種・信条・病歴・犯罪歴などがあり、取得に本人の同意が必要です。