第1回 情報セキュリティ、基礎の基礎の概念を知る：知ってるつもり？ 「セキュリティの常識」を再確認（1/2 ページ）

今では巷にさまざまなセキュリティプロダクトがあふれかえっている。そもそもこれらは、いったい何の目的で、何のために導入されるものなのだろうか？

[伊藤良孝（三井物産セキュアディレクション CTO），ITmedia]

　いきなり昔話からで恐縮だが、筆者が情報セキュリティという分野に足を踏み入れた1990年前半には（勉強不足だったかもしれないが、少なくとも国内の）インターネットやその基盤となっていたIPネットワークには、「情報セキュリティ」という概念はほとんんど存在しなかったように記憶している。

　当時は、ネットワーク間のコネクティビティを最優先させる「ルーズ・コンセンサス」という概念の下、IPネットワークは瞬く間に巨大なネットワークに変貌しつつあった。Webや何かの書籍で「Morrisワーム事件」や「SATAN」などのスキャンニングツールの存在を知り、それが遠い世界の出来事のように感じられたことを記憶している。

　この頃の最先端セキュリティデバイスと言えば「ファイアウォール」であった。現在ではそんなことを考える人はいないと思うが「このデバイスさえあればIPネットワークにおけるすべての脅威が防御できる」という具合に、まるで魔法の箱のように取り扱われていた。

　しかし、時間とともにその魔法の効果も失せてきた。新たなセキュリティ対策を可能にするものとして「侵入検知システム（IDS）」や「コンテンツフィルタリングプロダクト」「ウイルス対策プロダクト」など、さまざまなセキュリティ関連プロダクトが市場にリリースされ、一方で「プロダクトのみに依存する施策では不十分である」という認識も広がり、これらを受けて情報セキュリティに関するさまざまな指針が少しずつ整備されてきている。

セキュリティプロダクトの洪水に溺れるな

　さて、近年における情報セキュリティ分野の発展や動きには、非常に目覚しいものがある。

　現在、日本国内においては大規模な個人情報漏洩事件の発覚やセキュリティに関連する新たな法制度の施行などにより、政府、自治体はもちろん企業も、その対策や対応に躍起になっている。また、その対策や対応を実現するためのプロダクトと銘打ち、さまざまな機能を持つセキュリティプロダクトが巷にあふれかえっている状態だ。

　その結果、これから情報セキュリティの分野に足を踏み入れようと考えている人や、業務としてこれを行わなければならなくなってしまった人にとっては、現在の情報セキュリティシステム基盤はあまりにも複雑化している。これらがどのようなプロダクトから構成され、各々のプロダクトが何の目的で導入され、その基本動作としてどのようなことを行うのか……製品に振り回されず、効率的にセキュリティ対策を進めるには、これらを全体的に理解することが必須であろう。

　そこで本連載では、約15回に分けて三井物産セキュアディレクションのセキュリティコンサルタントがリレー形式で、主に現在の情報セキュリティシステム基盤を構成するプロダクトや技術に焦点を当てて、その概要について解説していく。巷にあふれるセキュリティプロダクトの情報を前に途方にくれている読者の方々に、俯瞰的な情報セキュリティの知識を持っていただければと思う。

そもそも「情報セキュリティ」って何？

　「情報セキュリティとは何か？」と問いかけられた場合、すぐさま「これこれこう言うことです」と答えることは非常に難しいだろう。

　先に『プロダクトや技術に焦点を当て、解説していく』と言いながら、いきなりこのような観念的なことから話すのは奇異に思われるかもしれない。しかし、この基本を理解する努力をせず単に「技術」のみに興味を持つならば、それは単なる「技術オタク」でしかなく、本当に情報セキュリティに関与している者とは言えないだろう。本連載においてはこのような観念的な部分に重きを置くつもりはないのだが、まずは必要最低限の知識として触れさせてほしい。

　さて、本題に戻ろう。

　われわれがファイアウォールをはじめとするさまざまなセキュリティプロダクトを使用してセキュリティシステムを構築しようとする目的は、いったい何であろうか？　「自分が構築したシステムを無断で他人に使用させたくないため」など、具体的な目的はいろいろと挙げられるが、それらを突き詰めていくと「リスクのコントロール」という概念に行き当たる。

　例えば、前述の例では、CPUパワーやディスク領域などの無断使用による物理的な損失、または当該システムを使用して第三者に影響を及ぼすことによる信頼や評判などの副次的な損失が考えられる。ファイアウォールなどの導入／使用は、このような損失を低減させることを目的とするものである、と言えよう。

　それでは、情報セキュリティにおけるリスクの考え方とはどのようなものであるのだろうか？　もう少し深く考えてみよう。

　現在、情報セキュリティ分野において最も幅広く用いられている「リスク」の考え方は、

リスク（Risk）＝脆弱性（Vulnerability）×資産価値（Asset）×脅威（Threat）

というものであり、着目する主体が内包するリスクは、図1に示す立方体（リスクキューブ）の体積に相当するという概念である。

図1●情報セキュリティにおける「リスクキューブ」

　ここで「脆弱性（Vulnerability）」とは、脅威によって資産が好ましくない事象が引き起こされる可能性を示すファクターである。また「資産価値（Asset）」は脅威から保護しなければならない主体の価値を示すファクターであり、コンピュータシステムなどの物理的実体そのものや、その中に存在するデータ、またそれが行っているサービスの価値等の幅広いものが含まれる。さらに「脅威（Threat）」とは、資産に損失を与える事象を示すファクターである。