| セキュリティ・システムの主要な働き
一般に、コンピュータ・セキュリティのシステムが万全であるためには、次の5つの働きが必要であるとされている。
1 可用性(availability)
所定のユーザーが、必要な時にいつでも確実にシステムにアクセスできるようになっていること。許可されている範囲で、あらゆるユーザーが自在にシステムを利用できるようにすることは、セキュリティの最も基本的な条件である。しかしハッカーにとっても、可用性は一番容易にダウンさせることのできる部分である。
2 アクセス制限(access control)
許可を受けたユーザーにシステムの利用を認め、それ以外のユーザーからのアクセスを防止するメカニズム。アクセス制限には、コンピュータ・ルームへの立入りを制限するなどの物理的手段もあるが、より重要なのは電子的手段であり、パスワード、バイオメトリクス、デジタル・キーなどは、このようなアクセス制限システムの例である。
3 認証(authentication)
アクセス制限が正常に機能するためには、各ユーザーを「許可を受けた者」と「許可を持たない者」とにふるい分ける身元確認能力が必要である。コンピュータ・システムでこの身元確認の役割を果たすのが認証機能である。例えば、アクセス制限の中では、ログイン名とパスワードが認証システムに当たる。原則的には、正しいパスワードを知っているのは本人だけのはずなので、両者が揃えば「本人に相違ない」と判断するわけである。また、ネットワーク上で複数の当事者(個人または機械)が通信を行うという状況でも、メッセージの真贋性を判断するために認証が必要とされる。
4 守秘性(confidentiality)
システム上に保存された特定個人や組織のデータを他者にアクセスできないようにする機能。データに守秘機能が働くと、許可を受けた者以外は閲覧できなくなる。データの内容を改変し、正しいキーを持った者だけに内容が伝わるようにする暗号化技術は、この守秘性を根本的目的としたメカニズムである。守秘性は、特にネットワークを使った情報の伝送において重要な意味を持つ。それは、第三者が不正に通信内容を傍受する危険性が高まるからである。
5 完全性(integrity)
システム上に存在するデータが、許可を受けたユーザー以外の手で改変されたり削除されていないこと。完全性の保護は、様々なユーザー・グループに異なるレベルの許可を与えることによって行われる。例えば、ある特定のデータに関し、一部のユーザーには「リードオンリー」(スクリーン上に表示して読むだけ)のアクセスを認め、追加・削除・修正も含めたフルアクセスは本当に必要なユーザーだけに認めるといった方法である。
しかし、最近のコンピュータ・システムのセキュリティには上記以外の新しい条件も必要になってきた。例えば、本格的なセキュリティ・フレームワークには、システムに変更が加わるたびにその正当性をチェックするモニタリング機能が不可欠とされている。また、モニタリングに組み合わされる監査機能は、一定期間ごとに管理担当者がシステム上で行われた全ての手続きを検討し、疑わしい行動を洗い出してセキュリティ上の問題を検証するものである。さらに高度なシステムには、内蔵する診断機能で不正な行動を検出して被害箇所を修復し、将来の攻撃を防止する措置を自動的に取ることができるものもある。
現行のセキュリティ・システムは、基本の5大要素を多様な技術によって支えている。例えば、ネットワーク・ファイアウォールは、アクセス制限、認証、可用性を提供するサブシステムであり、暗号化はデータの守秘性と完全性を保護するためのメカニズムといえる。
|
