セキュリティ3要素~前編

IT業界が全般的に全般的に活気が薄い。ITバブルがはじけたから云々というよりは、ITに求められるニーズがだいたい埋まり、そろそろ目新しいことが少なくなって来ているという印象を受ける。
そんなIT業界の中でも熱く活気付いている業界もある。それがセキュリティ関連業界だ。最近はWeb書き換え事件やウィルス騒動でますます注目され、特に、エンドユーザーでは個人情報の漏洩事件などもあわせて関心が高まっている。

そのような中、漠然と「セキュリティ」という言葉が一人歩きしているようだが、そもそも「セキュリティ」、或は所謂「セキュアな状態」と言うのはどういう状態を指すのだろうか?

情報セキュリティマネジメントの事実上の国際規格となっているBS7799によれば、

  1. 機密性
  2. 完全性
  3. 可用性

の3つが保たれることがセキュリティに課される条件として挙げられている。

ここで、おや?と思った人も多いのではないだろうか。
まず、そもそも機密を取り扱うべきセキュリティにおいて国際標準が何ゆえ成立するのかということが不思議ではなかろうか?公開されている国際規格のセキュリティ基準が出まわって、それが尊守されているのなら、その抜け穴を探すのも簡単のではないかと思う方もいるだろう。

上の3項目を個別に見ると、「1.機密性」がセキュリティに関係するのは当然、また情報の「2.完全性」はその機密性から見て当然(機密性が高ければそれにアクセスすることができず完全なままのはずだから)として、「3.可用性」というのは何なのだろうか、アクセスされてしまっては意味がないのではないのかと思う方もいるだろう。

この2つの疑問にこそ、日本における情報セキュリティへの大きな誤解が潜んでいる。それは、情報セキュリティは「情報にアクセスさせないこと、それのみ」という根源的な認識である。

しかし、国際的に論じられる情報セキュリティとは、往々にして「特定の人のみが特定の時に特定の情報にのみ確実にアクセス出来る」ということであり、その派生として「特定の人以外を『情報にアクセスさせないこと』」ということがあるのである。それゆえ、セキュリティはバランス良く論じなければならない非常に面倒臭いものであり、可用性、完全性と言うのは、セキュリティを構成する上で機密性とともに独立して重要なものなのである。

そうした「可用性」の意味を考えると、セキュリティに、公開された国際標準があることも不自然ではないだろう。鍵そのもの(実際のセキュリティ運用)の公開は非常に問題があるが、鍵のメカニズム(セキュリティのマネジメント手法など)を公開したところで、直接的に守るべき情報の機密性に影響を与えるわけではないのである。もちろん他方で、鍵のメカニズムそのものから開発していては時間もお金もかかってしまい、とても現実的ではないという理由もある。
だから、セキュリティのマネジメント手法は「論理的に『特定の人のみが特定の時に特定の情報にのみ確実にアクセス出来る』ことを保証する」ものであり、それに基づいて実際のマネジメントをどうするかによって、そのセキュリティの強度などが決まってくるといえる。

----- EXTENDED BODY: