高瀬里見情報セキュリティって、難しそうに聞こえるけど、大切なものを守る気遣いのことだよ。CIA三要素と情報資産・脅威・脆弱性、一緒に整理していこう
今回登場する用語
| 用語(略語) | 読み方 | 一言説明 | 身近な例え |
|---|---|---|---|
| 情報セキュリティ | じょうほうせきゅりてぃ | 情報を守るための取り組み全般 | 大切な日記に鍵をかけること |
| 機密性(C) | きみつせい | 許可された人だけが情報にアクセスできる性質 | 日記を家族に読まれないように鍵をかける |
| 完全性(I) | かんぜんせい | 情報が正確で改ざんされていない性質 | 日記の内容が誰かに書き換えられていないこと |
| 可用性(A) | かようせい | 必要なときに情報やシステムを使える性質 | 読みたいときに日記が手元にあること |
| 真正性 | しんせいせい | 情報や利用者が本物であることを確認できる性質 | 日記が確かに自分の手書きであること |
| 信頼性 | しんらいせい | システムが意図した通りに動作する性質 | 日記帳のページが乱れずきちんと綴じられていること |
| 情報資産 | じょうほうしさん | 企業や個人が保護すべき価値ある情報 | 日記・住所・パスワード・写真など |
| 脅威 | きょうい | 情報資産に損害を与える可能性のある出来事や行為 | 空き巣・のぞき見・火事など |
| 脆弱性 | ぜいじゃくせい | 脅威につけ込まれる可能性のある弱点 | 鍵をかけ忘れた窓・簡単すぎるパスワードなど |
物語本編
■ 結城の独白
結城美雪……慎也は何も知らない。まだ時間はある
深夜。ひとり画面を見つめる結城は、左手でマグカップを持ったまま動きを止めた。
メタCのタイムラインに、見覚えのある名前が流れていた。「yama_shin」——山本慎也のアカウントだ。
また里見と一緒か……
投稿された写真には、夕焼け色に染まったVRワールドの空と、ならんで立つ二人のアバターが写っていた。慎也の作ったワールドだとすぐにわかった。一年半付き合っていたのだ。あの独特なライティングの癖は見間違えない。
結城はゆっくりとスクロールして、里見のプロフィールを確認した。大手IT企業勤務。情報処理安全確保支援士。——フォロワーのコメントに「年収高そう」と書いてあるのを見て、小さく鼻を鳴らした。
お金で繋ぎとめているだけだ。慎也は気づいていない。
私なら……慎也が何も持っていなくても、ずっと一緒にいてあげられる。それが本当の愛情じゃないのか。
結城はゆっくりとスクロールして、慎也のワールドの公開情報を確認した。ワールド名、公開設定、アクセス制限の有無。エンジニアとしての目で見れば、ひとつひとつの設定がどれだけ甘いか、すぐにわかる。
セキュリティの「セ」の字も知らないまま、あいつは大切なものを無防備に晒している。
慎也のまわりから、あの女がいなくなれば——きっと気づく。自分のそばに、ずっといてくれた人間が誰だったか。
結城はマグカップを静かにデスクに置いた。
……まだ急ぐことはない。今はただ、見ていればいい。
■ メタCのワールドにて
週末の夕方。慎也と恋人の里見は、慎也が制作中の新しいワールドで待ち合わせていた。
「あ、来た来た。——どう、このライティング?」
「いい感じだよ。夕暮れっぽくて、落ち着く」
里見はアバターをゆっくり歩かせながら、ワールドの隅々を見渡した。空の色の変化、木の影の落ち方。慎也のワールドはいつも、細部まで丁寧に作られている。
「ねえ、里見」慎也は少し照れくさそうに言った。「前からずっと気になってたんだけど……セキュリティって、なんでそんなに大事なの?」
里見がアバターを慎也の方へ向けた。
「急にどうしたの?」
「いや、この間のフィッシングの件で佐藤さんから色々言われてから、なんか頭に残ってて」
里見は少し考えてから、穏やかな声で答えた。
「まず、守るべきものが何かを知ることが、一番最初の一歩だよ」
■ 里見の解説:情報セキュリティとは
「情報セキュリティって、ひとことで言うと『大切な情報を守る取り組み』全体のことなんだけど——実は、守るべき性質が3つある。CIAって呼ばれてる」
「CIA? アメリカの諜報機関?」
「略語が同じだけで別物。機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)、この三つの英語の頭文字を取ってCIAって言うんだ」
高瀬里見守るべき性質は3つある。CIAって覚えてね
里見はVRの空間に、手書き風の図を出現させた。
【情報セキュリティのCIA三要素】
機密性(C):許可された人だけがアクセスできる
完全性(I):情報が改ざんされていない
可用性(A):必要なときに使える状態にある「日記で考えるとわかりやすい。機密性は『家族に読まれないように鍵をかける』こと。完全性は『誰かが勝手にページを書き換えていないこと』。可用性は『読みたいときに手元にある』こと」
「なるほど……全部ないとダメなんだね」
「そう。どれかひとつが欠けても困る。たとえばバックアップを取り過ぎてどこにあるかわからなくなったら、可用性が下がってる。暗号化しすぎて自分でも開けなくなったら、それも可用性の問題」
慎也は自分のワールドを見回しながら呟いた。「じゃあ、このワールドのデータも……」
「うん。情報資産のひとつだよ」
「情報資産?」
「企業や個人が守るべき価値ある情報のことを情報資産って言う。ワールドのデータはもちろん、慎也が登録してるメールアドレス、パスワード、ユーザー同士のやり取りのログ……メタCにはそういうものが山ほどある。10万人分のね」
慎也は少しぞっとした顔をした。「10万人分……それが全部情報資産か」
■ 里見の解説:脅威と脆弱性
高瀬里見脅威と脆弱性はセットで考えるのがポイントだよ
「情報資産がわかったら、次は脅威と脆弱性を理解する番だよ」
「脅威って……攻撃してくる人?」
「それだけじゃない。脅威は『情報資産に損害を与える可能性のある出来事や行為』全般のこと。不正アクセスはもちろん、火災、地震、内部の人間のミスも全部脅威になりうる」
「じゃあ脆弱性は?」
「脆弱性は、脅威につけ込まれる可能性のある弱点のこと。たとえば——」
里見は少し間を置いてから、慎也の目を見て言った。
「このワールドのアクセス設定、パスワードなしで誰でも入れるようになってるよね」
「……あ」
「それが脆弱性。悪意を持った人が入ってきたとき、入り口が開いたままになってる」
慎也は黙って自分のワールドの設定画面を開いた。確かに、アクセス制限の欄が「なし」になっていた。
「脅威と脆弱性がセットで揃ったとき、リスクが生まれる。『鍵をかけ忘れた窓(脆弱性)』に『空き巣(脅威)』がやってきて初めて、被害が起きる可能性が生まれる——それがリスクの正体だ」
慎也は静かに、アクセス設定の画面を操作し始めた。
■ セキュリティの追加特性:真正性と信頼性
「さっきのCIA三要素の他に、試験でよく出る性質がもう2つある」
「まだあるの」
「真正性と信頼性ね。真正性は『情報や通信相手が本物であること』を確認できる性質。たとえば、メタCから届いたメールが、本当にメタC公式から送られてきたものか——それを確かめられることが真正性」
慎也が眉をひそめた。「あ……先月来たメール、本物じゃなかったやつか」
「そう。あれはフィッシングメール。送信元が偽られてた。真正性が確認できなかったから被害に遭った」
「信頼性は?」
「信頼性は、システムが意図した通りに動作することを指す。バグがあったり、予期しない挙動をするシステムは信頼性が低い。ユーザーが安心して使えるかどうか、という視点だよ」
■ 佐藤からの助言
佐藤隆守るものをリストアップするのが、セキュリティの第一歩だよ
翌日、慎也は佐藤に声をかけられた。メタCのオフィス横にある、小さなミーティングルームだ。
「山本くん、ワールドの設定を変えたね」
「あ、はい。里見さんに教えてもらって……アクセス制限かけました」
佐藤はうなずいた。
「それは良かった。実はさ、公開ワールドのアクセス設定を一覧で確認してたんだけど、山本くんのワールド、ずっと制限なしだったから気になってたんだよね」
「気づいてたんですか」
「もちろん。ワールドクリエイターが作ったデータも、メタCの情報資産の一部だから。プラットフォームとして守る責任がある」
佐藤は資料を一枚差し出した。そこには「メタCにおける情報資産の分類」と書かれており、ワールドデータ、ユーザー情報、ログデータなどが整理されていた。
「守るものをリストアップして、何が脅威か、どこに脆弱性があるかを整理する——これがセキュリティの第一歩。山本くんが昨日やったことは、正しいアプローチだよ」
慎也はその資料を受け取りながら、ゆっくりとうなずいた。
■ 恋人の会話、再び
夜、慎也と里見は通話しながらワールドのことを振り返っていた。
「なんか、設定変えただけなのに、すごく達成感がある」慎也は少し笑った。
「それでいいんだよ。最初から完璧にやる必要はない。まず自分が守るべきものを知って、弱点に気づいて、一歩ずつ塞いでいく」
「セキュリティって、もっと難しいものだと思ってた」
「技術的に難しい部分ももちろんあるよ。でも一番最初は、『自分には守りたいものがある』ってことを知ることが大事なんだと思う」
慎也は少し間を置いてから言った。
「里見が守りたいもの、ってなに?」
里見はしばらく黙っていた。それから、少しだけ穏やかな声で答えた。
「……今は、慎也と、二人で作ってきたこと、かな」
慎也の部屋に、静かな夜が流れていた。
■ 結城、画面の前で
結城美雪自信がある人間ほど、油断する
翌朝。結城はメタCのワールド一覧を再び開いた。
「yama_shin」のワールド——アクセス設定が変わっていた。
気づいたか。里見に教わったのか、それとも……
結城は小さく鼻を鳴らした。
慌てることはない。鍵をかけたことに気づいた、その程度でいい。
里見のSNSをもう一度確認する。大手IT企業。支援士資格。発信力。——慎也の投稿との温度差が、結城には鮮明に見えた。
あの女の年収は、慎也の倍以上だろう。それで「一緒にいる」なんて、対等な関係じゃない。慎也が頼らされているだけだ。
でも私は違う。慎也が何も持っていなくても、私はそばにいられる。それが本当の意味で「裏切らない」ということだ。
セキュリティの基礎を知り始めた人間は、自信を持ちやすい。そして自信がある人間は——油断する。
結城はブラウザの別タブを開いた。メタCの公開ドキュメント、開発者向けAPI情報、過去のセキュリティレポート。丹念に、静かに、ページをめくっていく。
急がなくていい。まだ時間はある。
コメント