セキュリティに関連する専門用語の知識について

セキュリティに関連する専門用語は情報セキュリティや物理的セキュリティやネットワークセキュリティなど幅広い分野にまたがります。ここでは各分野で重要になる考え方と代表的な技術を説明します。

●情報セキュリティ
情報セキュリティはデータの機密性と完全性と可用性を守ることを目的とします。以下は情報セキュリティで特に重要な概念です。
1. 機密性 (Confidentiality)
機密性とは許可された人やシステムだけが情報へアクセスできる状態を保つことです。暗号化やアクセス制御や認証などの技術で実現します。
2. 完全性 (Integrity)
完全性とは情報が正確であり不正に変更されていない状態を保つことです。改ざんや破壊を検知するためにチェックサムやハッシュ関数などを用います。
3. 可用性 (Availability)
可用性とは必要な時に情報やシステムを利用できる状態を保つことです。バックアップや冗長化や災害復旧計画が重要になります。
●物理的セキュリティ
物理的セキュリティは施設や設備や資産を物理的な脅威から守ることを目的とします。以下は重要な要素です。
1. アクセス制御
施設への立ち入りを制限し許可された人だけが特定エリアに入れるようにします。バイオメトリクスやRFIDカードやPINコードなどが使われます。
2. 監視と監査
施設内外を監視するために監視カメラや警報システムを設置します。また定期的な監査を行いルールの遵守状況を確認します。
3. 環境制御
設備を守るために温度や湿度や電力供給などを管理します。UPSやHVACシステムなどが利用されます。
●ネットワークセキュリティ
ネットワークセキュリティはネットワーク基盤を保護しデータ通信の安全性を確保することを目的とします。以下は主要な技術です。
1. ファイアウォール
ファイアウォールは信頼できるネットワークと信頼できないネットワークの間に配置され不正なアクセスを遮断します。方式にはパケットフィルタリングやステートフルインスペクションやアプリケーションレベルゲートウェイなどがあります。
2. VPN (Virtual Private Network)
PNはインターネット上で安全な通信を行うための技術です。暗号化トンネルを作りデータの機密性と完全性を保護します。
3. IDS/IPS (Intrusion Detection System/Intrusion Prevention System)
IDS/IPSは攻撃を検出し必要に応じて阻止するための仕組みです。検出方法にはシグネチャベース検出と行動ベース検出があります。
●アプリケーションセキュリティ
アプリケーションセキュリティはソフトウェアを脅威から守ることを目的とします。以下は重要な技術です。
1. セキュアコーディング
セキュアコーディングは脆弱性を作り込みにくいコードを書くための考え方です。入力検証やエラーハンドリングやデータの暗号化などを行います。
2. アプリケーションファイアウォール
アプリケーションファイアウォールはウェブアプリケーションを保護するための仕組みです。SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃を防ぎます。
3. セキュリティテスト
脆弱性を見つけるためにペネトレーションテストやコードレビューなどを行います。代表的な手法は動的解析（DAST）と静的解析（SAST）です。
●セキュリティ運用管理
セキュリティ運用管理はセキュリティポリシーを実施し維持するための取り組みです。以下は重要な要素です。
1. セキュリティインシデント管理
セキュリティインシデント管理はインシデントの検出と対応と回復を進めるプロセスです。組織内にインシデントレスポンスチームを置くことが多いです。
2. ログ管理
ログ管理はシステムやネットワークの活動を記録し監視することです。SIEM（Security Information and Event Management）でリアルタイム分析とアラートを行います。
3. コンフィギュレーション管理
コンフィギュレーション管理は設定を管理しセキュリティの一貫性を保つことです。自動化ツールで変更を監視し未承認の変更を防ぎます。
●セキュリティのフレームワークと規格
フレームワークや規格は組織がセキュリティを効果的に管理するための指針を示します。以下は代表例です。
1. ISO/IEC 27001
ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）の国際規格です。リスク管理プロセスの導入とセキュリティ対策の実施を求めます。
2. NISTサイバーセキュリティフレームワーク
NISTサイバーセキュリティフレームワークは米国国立標準技術研究所（NIST）が策定した指針です。識別と保護と検知と対応と回復の5つの機能に基づき整理します。
3. PCI DSS (Payment Card Industry Data Security Standard)
PCI DSSはクレジットカード情報の保護に関する規格です。12の要件が定められておりデータ保護やアクセス制御や監視などが含まれます。
●サイバー攻撃の手法と対策
サイバー攻撃にはさまざまな種類があります。代表的な手法と対策は次のとおりです。
1. フィッシング
フィッシングは偽のサイトやメールで機密情報をだまし取る手法です。教育と啓発やフィルタリングソフトの導入や2要素認証の実施が有効です。
2. マルウェア
マルウェアは悪意のあるソフトウェアの総称です。ウイルスやワームやトロイの木馬などが含まれます。アンチウイルスソフトの導入と定期更新とパッチ適用が基本です。
3. DDoS攻撃
DDoS（Distributed Denial of Service）攻撃は大量の通信を送りサービスを停止させる攻撃です。トラフィック監視とフィルタリングに加えCDN利用や対策サービス導入が有効です。
4. ランサムウェア
ランサムウェアはファイルを暗号化し解除と引き換えに身代金を要求するマルウェアです。定期バックアップとメール対策とユーザー教育とセキュリティソフト導入が重要です。
結論
セキュリティの専門用語は分野ごとに広がっており必要な技術や対策も異なります。各領域の要点を理解して運用に落とし込むことが大切です。さらに脅威は日々変化するため最新情報を継続的に確認し状況に合った対策を進めることが求められます。