あいさつ

こんにちは。SHIFT ナショナルセキュリティGのaです。
私は元々アジャイルグループに所属し、主にソフトウェアテストに取り組んで来たのですが、現在はITインフラの設計・構築案件に関わっています。「ソフトウェアテスト」と「インフラ設計・構築」って、全然違う領域ではあるのですが、ご縁があり現在インフラの設計・構築現場で奮闘しております。新しい分野に挑戦するのは大変ですが、それも成長の一環として楽しんでいます。

現在も現場でセキュリティについて考えることが多々あるのですが、現場にいない人でもセキュリティについて知っておいてほしいなという思いから、今回は「絵でわかるセキュリティ用語」というテーマでブログにまとめました。
セキュリティの分野でよく聞く言葉をイラストとたとえ話を用いながら、できるだけわかりやすく解説してみたので、よかったら最後まで読んでもらえると嬉しいです。

改めまして、私の経歴ですが、新卒でシステムの運用保守を担当し、その後2022年にSHIFTに入社しました。そこで約1年間、テスト案件に従事し、その後セキュリティ案件を経て、現在はインフラ設計・構築の案件に取り組んでいます。

サイバーセキュリティってなに

サイバーセキュリティは、コンピュータやネットワークを保護するための技術や対策のことを指します。
嫌な話ですが世の中悪意のある攻撃がたくさんあるので、それらからシステムやデータを守ることを考える必要があるんです。
例えば、インターネットバンキングのログイン情報を守るために使用される暗号化や、不正アクセスを防ぐためのファイアウォールがサイバーセキュリティの一部です。

用語解説

暗号化
暗号化は、特別な「カギ」で情報を守る方法です。
例えば、あなたが友達に秘密の手紙を送りたいとします。でも、その手紙が途中で誰かに読まれたら困りますよね？そこで、暗号化を使います。
秘密の手紙を「暗号」に変えると、他の人が見ても「意味のわからない文字列」になります。
これを解くには、友達だけが持っている特別なカギが必要です。このカギで暗号を解くと、元の秘密の手紙が読めるようになります。これが暗号化の基本的な考え方です。
「暗号化について詳しく勉強したい！！」と思ったらIPAがすごくいい教材を公開していますので見てみてください。
独立行政法人情報処理推進機構 暗号鍵管理ガイドライン

ファイアーフォール
ファイアウォールは、デジタル世界であなたのコンピュータやネットワークを守るための「門番」のような存在です。お城を守るために、外から入ってくる人を全員中に入れるわけにはいきませんよね？門番がいることで、危ない人や泥棒が入らないように見張っています。

ファイアウォールも同じで、インターネットから入ってくるデータを監視して、「怪しいもの」や「危険なもの」をブロックします。逆に、あなたのコンピュータから外へ出て行くデータもチェックして、不要な情報が外に漏れないようにします。 「ファイアーウォールについて詳しく勉強したい！！」と思ったらまたまたIPAがすごくいい教材を公開していますので見てみてください。
「Web Application Firewall (WAF)読本」

サイバーセキュリティってなんで必要なの？

サイバーセキュリティが必要なのは、コンピュータやネットワークには悪意を持った攻撃者（ハッカー）がいるからです。これらの攻撃者は個人情報や企業の機密情報を盗むために様々な手法を使います。

例えば、メールで送られるフィッシング詐欺や、ランサムウェアによってファイルを見えないようにされてしまう攻撃があります。これらを防ぐためには、やはり適切なサイバーセキュリティ対策が不可欠です。

例えるなら、サイバーセキュリティは、インターネットの世界で私たちの「デジタルなお家」を守るためのものです。
自分のお家には鍵をかけますよね？泥棒が入らないように窓も閉めますし、時には防犯カメラもつけたりします。それと同じように、サイバーセキュリティではコンピュータやスマホ、ネットワークに「鍵」をかけたり「監視」したり「中を隠したり」するのです。

用語解説

フィッシング詐欺
フィッシング詐欺は、「偽のお店」に例えることができます。街に歩いていて、「ここで無料のプレゼントをあげるから名前と住所を教えてね」と言われたら、つい信じてしまうかもしれませんよね。でも、実はそのお店は偽物で、あなたの個人情報を集めて悪用しようとしているのです。

フィッシング詐欺もこれと同じです。インターネット上で、銀行やショッピングサイトの偽のメールやウェブサイトを使って、あなたのパスワードやクレジットカード情報を盗もうとします。

ランサムウェア
ランサムウェアは、泥棒があなたの大切な物を奪い、「これを返してほしかったら、お金を払え」と脅迫する「人質事件」に似ています。
家の鍵やお財布を取り上げられ、返してもらうためにお金を要求されるのと同じように、ランサムウェアはコンピュータの中のデータを「人質」にとり、解放してほしければお金を払うように求めてきます。

CIAについて

さて、サイバーセキュリティの大事な3つの要素が「CIA」です。
サイバーセキュリティと似ていることばとして情報セキュリティというのがあるのですが、JIS Q 270000:2019には、情報資産の機密性・完全性・可用性を保護することを情報セキュリティと定義されています。

CIAは、まるで家を守るための3つの鍵のようなものです。家を安全に保つためには、外から誰でも勝手に入れないように（機密性）、家の中の家具や財産が壊れたり盗まれたりしないように（完全性）、そして家に住む人がいつでも安心して家に帰れるように（可用性）を、守る必要があります。

サイバーセキュリティの観点でも、同じようにデータやシステムをこれら3つの要素から守ることが重要です。例えば、銀行システムや病院のデータは、外部からの不正アクセスを防ぐことだけでなく、データが正確に保たれ、常に利用できる状態にあることが求められます。

C：機密性（Confidentiality）
→他の人が大事な情報を勝手に見れないようにすること
I：完全性（Integrity）
→情報が正しく、改ざんされていないこと
A：可用性（Availability）
→必要な時にいつでも情報にアクセスできること

認証とは？

ここで認証の話に移りましょう。セキュリティに携わっていると「認証」というキーワードもよく出てきます。認証は、秘密のクラブに入るための「合言葉」に例えることができます。友達が開いている秘密のクラブに入るためには、正しい合言葉を知っていないとドアを開けてもらえません。
間違った合言葉を言うと、ドアは閉まったままです。
認証は、この合言葉を使って「あなたが本当にその人かどうか」を確認する手続きです。

インターネットでも同じです。メールアカウントや銀行のオンラインサービスにログインするとき、パスワードなどを使って「あなたが本当にそのアカウントの持ち主かどうか」を確認することを「認証」といいます。

最後に

いかがでしょうか。今回は「たとえ話と絵でわかるサイバーセキュリティ」ということで、普段セキュリティに関わっていない人にも興味を持ってもらえるような内容になっていたら嬉しいです。セキュリティの世界はまだまだ広く奥が深いので、これからもセキュリティに関する情報発信はしていきたいと思います！

参考

[1]「JIS Q 27000:2019」https://kikakurui.com/q/Q27000-2019-01.html#google_vignette
[2]「IPA 独立行政法人情報処理推進機構　情報セキュリティ」https://www.ipa.go.jp/security/crypto/guideline/ckms.html
[3]「IPA 独立行政法人情報処理推進機構　Web Application Firewall 読本」 https://www.ipa.go.jp/archive/files/000017312.pdf
[4]記事中画像：Canvaにて作成 https://www.canva.com/ja_jp/

お問合せはお気軽に
https://service.shiftinc.jp/contact/

SHIFTについて（コーポレートサイト）
https://www.shiftinc.jp/

SHIFTのサービスについて（サービスサイト）
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/

PHOTO：UnsplashのFlyD