インターン生、新卒に向けてエンジニアの仕事や考えを紹介する連載です。
今回は「セキュリティ」についてです。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
＜まとめ＞
・全社で守る
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

■ セキュリティ
重要な資産を意図しない脅威から保護することです。

■ セキュリティの3要素
以下の３要素を維持することがセキュリティの一般的な定義です。
・機密性：許可された人だけが情報を見れる
・完全性：情報が改竄されずに正確である
・可用性：必要な時に情報にアクセスできる

■ リスクベース
何をどういう優先順位で守るかを考えます。リスクベースのアプローチが一般的です。システムごとに情報資産、脅威、脆弱性を洗い出し、そこからリスクを分析し対策を考えます。網羅性が重要なため、外部機関による監査も有効です。

■ リスク対策
リスク対策は低減、回避、移転、保有に分類されます。どの対策をとるか費用対効果から考えます。守る範囲を最小限に絞るのが原則です。

■ セキュリティ対策
守りは弱いポイントがあると崩れます。セキュリティ対策には網羅性が求められます。大切なのは守りは総力戦という意識です。1つに技術的対策、物理的対策、人的対策という分類があります。定期的に確認をしましょう。

■ 技術的対策
対策の目的、対象とするレイヤや想定する攻撃で細分化されます。
・対策目的：予防、検知、インシデント対応、被害最小化、復旧など
・対象レイヤ：アプリケーション、ネットワーク、エッジ、物理など
・想定攻撃：侵入、データ搾取、データ破壊、潜伏、業務妨害など

■ 攻撃
攻撃手法の情報も多くあります。攻撃を研究して守りに活かしましょう。

■ ガイドライン
セキュリティガイドラインなるものも存在します。まずは最低限のことをしっかりやります。そしてリスクはゼロにはなりません。対策を継続しましょう。