情報セキュリティはね、選んだ特性しか助けられないんだ。
魔術特性をご存知だろうか。
いや今画面を閉じかけた方は少し待ってほしい。ちゃんとまたセキュリティの話するから。
掴みは大事っていうじゃん。ねっ。
ということで戻そう。魔術特性をご存知だろうか。
型月でいうと、投影や転換などがこれにあたる。
ちなみに火とか水とか地とか虚数とかは属性。型月の魔術はざっくりと「<属性>な<特性>」みたいな分類がされるらしい。
火を用いた強化とか、剣の投影とか、虚数の吸収とか、そんな感じな。
で、そもそも特性というのは特徴的、特有の性質を指す。
同じように情報セキュリティという魔術っぽいものにも特性があるのだ。これを今回は確認していこう。
情報セキュリティには三つの特性と、さらに四つの付加的特性がある。
ファンタジーあるあるだよね、「最初から七つって言えよ」っていう。型月も五大元素の属性以外になんかいくつかあるし。「───ただし、ここに例外がある。」だし。
さて、まずは三大元素、間違えた、三つの特性を確認してみよう。
以下の三つである。
・機密性/コンフィデンシャリティ(Confidentiality)
・完全性/インテグリティ(Integrity)
・可用性/アベイラビリティ(Availability)
この三つが、時に情報セキュリティの三要素とも言われる特性そのものである。
なお、英語嫌いの私は漢字にカタカナ読みのほうがテンション上がるのでカタカナにした。
ナイス判断。
そしてスペル打つの嫌で検索かけたら「頭文字をとってC.I.A.とか出てきた。かっこいいかよ。
さて、この三つだが名前に痺れてる間に内容を確認していきたい。
・機密性/コンフィデンシャリティ(Confidentiality)
名前から察しがつくだろうか。アクセス権の管理などがこれである。
特定の選ばれた者・システムだけがアクセスでき、それ以外はアクセスできなくすることだ。
聖杯戦争でいうところのマスター権はこれの一種だろう。
マスター権を得た者だけが聖杯の召喚システムにアクセスし、召喚した本人だけが契約したサーヴァントを使役できる。
契約を切るのはこの使役権限の削除、再契約は使役権限の付与かな。
もちろん、複数の魔術を組み合わせているなら、魔術同士も適切に作用するようにしたりとか。いらんところに繋がらないようにとか。
この機密性が情報セキュリティを守る要のひとつなのである。
まあただファンタジーだとこれ破ってこそみたいなところがあるので侵害する例のほうが浮かぶんですけどね。
キャス子のルルブレとか。まほよのお美しい赤い人とか。FGOのアガルタとか。
サーヴァント取られるし。管理地があれそれだし。
ここらへんでも言えることだが、機密性が守られない場合、突破されることそのものというよりその後の悪用がとても怖いわけだ。
ここらへん並べると、機密性の大切さと守ることの難しさがよくわかると思う。
・完全性/インテグリティ(Integrity)
カッコいい…….。
かっこいいけど、内容は思ったより普通で、改ざんなどのない、元の完全なデータであるという保証みたいなものだ。
代表的なのはハッシュ関数。
データをもとに作られるIDみたいなもので(かっこいい!)、160または256の二進数の桁(ビット)(かっこいい!)で表現され、少しでも改ざんがあれば大きく変わるため元のデータではないことを確認できるもので(かっこいい!!)、またこの関数から内容を割り出すことができないとされるものである(かっこいいExtra Attack!!!)
これにより、何らかの被害を事前に防止したり、早期に発見することができるのである。
Fate/stay nightで士郎くんが早めに学校の違和感に気付いてたあれあるでしょ。あれのもっとすげー版ですな。
・可用性/アベイラビリティ(Availability)
メンテ地獄。仕方がないとわかっていても終わるまでそわそわするものである。
この可用性というのはいわば「いつでも必要なときに利用できる、提供できる」こと。
FGOが少し前からたまに「メンテせずにアップデート」をし始めたのもこれのアップですね。
これについてはstay nightのセイバーがいい例でしょう。
士郎と契約した当初のセイバーは魔力が足りなくて宝具を何度も打てません。
セイバールートではアインツベルンの森まで士郎を助けに行ったときに戦えませんでしたよね。
あと凛ルートでもキャスターを倒した直後は力が出なくて十分に戦えなかったり。
これはセイバーというより、セイバーの宝具の可用性(アベイラビリティ)が不足していたと言えるでしょう。
この後セイバーは魔力供給やら魔力パス繋ぎ直しやら凛と再契約やらで魔力を十全にしてエクスカリバーを打てるようにした=宝具の可用性を高めたわけです。
さて、ここまでお話しました三つの特性ですが。
覚えておきたいのは「全て完璧にするのは無理」という話です。
強いサーヴァントを召喚したら魔力を喰うので可用性が落ちます。
特にギルガメッシュなんて言うこと聞きませんし、とても優秀なシステムではあっても可用性が低いから時臣からしたら扱いにくかったりしましたよね。
でも。言峰はそれほど困っていませんでしたよね?ギルガメッシュに気に入られていたと言うのもあったと思いますが…そもそも言峰の行動や計画には、四次でも五次でもギルガメッシュは最低限しか組み込まれていません。
扱いにくいなら扱うのを最小限にすればいい。使えなくてもいい、必須としては組み込まない、そんな位置にしてましたよね。
ここでお気づきでしょうか。そう、使い方や目的によっては可用性って下がってもいい、という事実があるのです。
同じように。それほど機密性は重視しない、でもいつでも動いてほしい……そんなシステムといえば切嗣の衛宮邸結界が近いでしょうか。
あれは敵意がある人が入ったことが中の人に伝わればいいものです。
なので、音を聞く人にも入る人にも制限は設けていないのですよ。より広く使える便利システムでもあるのです。
これにより、あの結界は家の人を守る、それこそ藤ねえみたいな魔術と無関係な人まで助けられる作りにもなっているわけなのです。
魔術も情報セキュリティもどうしても「リソース」の限界があります。
魔力量とか、金銭面とか、人的コストとか、ときには技術レベルとかも限界があるでしょうか。
その範囲の中で、「そもそも何をどうして守りたいのか」。
それを考えてバランスを取るのが今回の「三つの特性」となるのです。
切嗣は、選んだ人しか助けられないと言ってましたが、情報セキュリティもまた、選択して守る正義の味方なのですね。
付加的特性もこの記事で紹介してしまうつもりでしたが区切りがいいので続きはまた別の記事にて。
今夜か明日にでも、対策と機能についてもあわせてまとめられたらなと。
→早速連続更新止まりますが、今週中にでもまた更新します!参考書は進めてますので!(9/11 夜)
情報セキュリティはだいたい魔術の秘匿のこと
まず、これから当分の間犠牲になる参考書をご紹介しよう。
情報処理教科書 情報処理安全確保支援士 2018年版 翔泳社 https://www.amazon.co.jp/dp/B075ZT1H39/ref=cm_sw_r_sms_awdb_c_7QqLBbQQTCSBT
せっかく最初の記事で資格の名前を伏せたのに意味がなかった。
ご存知の方もいるかもしれないが、わりとランクは高いが新しい資格である。
「お前、みそっかすなのにこれ受けるの?パスポートとかせめて基本情報か応用情報受けない?」というツッコミは至極真っ当だが、何回かチャレンジして取るつもりでいたので私も少し焦ってはいる。
なお、この資格は維持するのに金がかかるというアレな資格である。だが資格課金と思えばまあ妥協できると思う。
この書籍自体はまだあまり読めていないがわかりやすくまとまっていて読みやすい。真面目に勉強して資格を取りたいならお勧めだと思う。まともなブログもそう書いてた。
でも私はまともではないので、これを参考にしながら自分がわかりやすいようにまとめてみようと思う。順はこの本の章の順になるのでお持ちの方はアホさ加減にゲラゲラ笑いながら楽しんでほしい。
さて、今回は基礎編からはいる。
そもそもセキュリティの意味をご存知だろうか。
私は英語に関してうんこ、つまりはファッキン英語スキルの持ち主なのでなんとなく勘違いしていたのだが「安全」という意味である。安全を守るのではなく「安全」そのものなのだ。
よって、今回から学んでいく「情報セキュリティ」は「情報の安全」を指すということになる。
ただし、安全というのは確保しなければ存在しないものであり、維持しなければ失われるものだ。
衛宮士郎だって安全の確保ができなかったからランサーに殺されたし、その後セイバーという衛宮士郎セキュリティを守るサーヴァントを手放すと維持ができなくなって死ぬ。
だから、「安全」というのは同時に「確保して維持する」までを含んで成立する概念である。情報セキュリティもまた、セイバーを召喚して契約を継続する衛宮士郎のように、確保して維持しなければならないのである。
さて、この情報セキュリティだが、実は二種類に分けられる。
ひとつは物理的セキュリティ。これは建物などを守る物理的な安全を指す。耐震だとか防火だとか入退室管理のロックキーなんかも含め、色んな設備が物理的セキュリティである。
これは型月でいうと、結界だ。
衛宮邸で切嗣が作ったあの警報なんかも物理的セキュリティ、hollow遠坂邸の鍵代わりの詠唱、極め付けはZero遠坂邸でハサンがすいすいやっていたのも物理的セキュリティである。
そう思うと、衛宮邸より遠坂邸のほうが物理的セキュリティ金かかっているのがわかる。さすが御三家だが、これについてはそのうち別の記事で後述する予定の特性とそのバランスが関わってくるので頭の片隅に残しておいてほしい。
そしてもうひとつはというと論理的セキュリティ。
物理的セキュリティ以外のものすべてを指すとされる。
まあたださすがにこれでは大雑把すぎたのか抽象的すぎたのか、論理的セキュリティはさらに三種類に分類され、その中で定義づけされている。
ひとつはシステム的セキュリティ。
情報セキュリティと言われてパッと浮かぶような、アクセス制御、認証や暗号化、マルウェア対策などがこれにあたる。
ソラウがしなかった黒子の魅了を弾く防御魔術とかもこれだ。魔術の防御はだいたいがシステム的セキュリティである。
次に管理的セキュリティ。
情報の安全確保維持の方針策定や、運用や監査、ライセンス管理など。
まあわかりやすくいうと(?)聖杯戦争の監督役、時計塔の法政科がこれだ。
魔術の秘匿性を守るために方針やルールを取り決め、管理するのである。
うーん、こう思うと魔術って情報セキュリティだよな。
そして最後に人的セキュリティ。
これは雇用契約や委託契約におけるセキュリティ対策や教育、対処などのルール、契約を指す。お察しの方もいると思うが管理的セキュリティの一部とされることもある分野となるのだが、人間に関するものがここに入る。
先程の例でいうなら実際の違反者に監督役や法政科が制裁を加えたり、封印指定執行者や代行者がする仕事が近いのではないだろうか。封印指定についてはさながら、「魔術師で貴重な発見をしたものは本人含めて技術の保存に協力すること」みたいな人的セキュリティといえるだろう。
ここまでが情報セキュリティの概念の話である。
こうしてまとめてみると情報セキュリティはとても魔術的でワクワクするものに見えてこないだろうか。
こんな感じで、オタク的にまとめながら自分で覚えていきたいと思っているので、なんとなく追ってくれると嬉しい。
ただ全部で70章くらいあるうちの1章、しかも一番基礎でこれなので、多分途中からかなりまとめてになったりカットするがそのあたりはご容赦願いたい。
というか普通に勉強した方が早くない?と言われたらほんとなんも反論できない。でもこの方が多分末永く覚えるから。多分。私が。
金がほしいのでセキュリティ屋を目指す
そしてケツをたたくブログを始める。
あなたは人生の転機というものがあっただろうか。
ないという人は少ないだろう。
私もいくつかある。
それは転職を決めたあの夜であり、
新卒の就活で教授に相談した昼下がりであり、
必死に勉強した中学受験でもあった。
大学受験は勉強してなかったので転機ではなく墜落、いやダイビングである。反省している。
そして今、私は何度目かの転機を迎えていた。
二度目の転職……を視野に入れた、自分の専門分野決めである。
私はIT屋の端くれだ。
どれくらい端くれかというと、火サスの崖なんて話ですらなく、風呂の扉の溝くらいの端くれだ。つまりはみそっかすである。
かつてはブラックのプログラマー、今はパソコンを敵と思っていそうなオジ様に囲まれた便利屋である。
社内の色々なアプリや機材の運用保守を申し訳程度にやり、プレゼンして導入したりしながら月に一度はショートカットを作ってほしいと言われて作るような生活である。勘弁してほしい。
それでも今の仕事を始めた当初は嫌でもなかった。半分くらいのオジ様は優しかったからだ。
なにより、上司が若手を育てる気満々だったので未来が明るかったのかもしれない。身バレを避けるため詳細は伏せるが、どういう仕事に将来的に就いてほしいかもなんとなく聞かされていたしそのつもりでいた。
しかしどんな安定企業でも、会社が安定しているからといって内部が安定しているわけではない。
この夏めでたく、上司が変わった結果、諸事情は伏せるが「この会社にいてはまずい」という事態に見舞われた。
念のため補足しておくが新しい上司が悪いわけではない。あの人はあの人なりに企業を守りたいのだ。
単に、それが私の人生設計と著しく噛み合わないだけで。
奇しくも、新上司が決まる前から実は人生設計において弊社はあわないのではないかという予感はあったし、いずれ転職をせねばとは思っていた。そのために勉強せねばとも。
ただ、もう少し先のつもりでいた。弊社のシステムで根幹に関われるのは若くても30代半ばである。多分。
なので、私にきちんと経験できるチャンスが回ってくるのは3〜5年は先なのだ。
その頃までに資格をゆっくりとって、それからその資格をどう活かすか、どこで活かすか。また考えるくらいのつもりでいた。
しかしそんな余裕はなくなった。怖いね、上司変わるって。
あと結構ここ最近金がない。水着サーヴァントとか。ヒロインXXとか。新鯖の宝具5目指して達成まで粘ってしまったのはほぼ初めてだが本当目指すもんじゃないね。星5でやってる人尊敬する。
まあ仰々しく書いたけどようは金が欲しいから資格をとって転職しようという話である。
ありがたいことに数ヶ月前にセキュリティに明るい方と知りあい、セキュリティ分野に関心を持ち始めていた。
とりあえず、たまーにその方のアドバイスをちょっとだけいただきながら、とりあえず今後食うのに困らないだろうセキュリティ屋になろうかという話でもある。
なんかカッコいいし。セキュリティ。エクストラっぽいやん。
そんなアホのような理由で専門分野をセキュリティ屋に決めたが、まあそこは許されたい。
だってなんかカッコいいものはカッコいいし。キッズの心は大切だ。サッカー選手だって佐藤刑事だって衛宮士郎だって幼少期の理想を駆け抜けているのだから今幼少になって高速でセキュリティババァになればいい。
では。
この記事はそもそもなんだ、自分語りかというと、まさしくその通りだ。
そして、多分20年ぶりくらいにまじめに勉強を始めようという決意表明である。
すぐ折れそうな自分のため、本日より数日に一度はこのブログをつけたいと思う。
ついでに自分が楽しくなる解説考えてると覚えることを型月ジャンルで学んだのでキッズの心を満たしながら勉強したい。
勉強しなくなって長いから、クソかよってところ多いと思うけど大目に見てねと思いつつ、なんとなく監視したり応援したり教えてくれたら嬉しいです。
草。