情報セキュリティ

【情報Ⅱ】情報セキュリティ：安全なデジタル社会を築くために

皆さん、こんにちは！この章では「情報セキュリティ」について学んでいきます。「情報Ⅰ」で学んだ基礎を一歩進めて、より高度な技術や組織的な守り方について見ていきましょう。
「セキュリティって難しそう…」と感じるかもしれませんが、大丈夫です。私たちの身近なスマホやSNSを守る技術だと思えば、ぐっと身近に感じられるはずです。一緒に楽しくマスターしていきましょう！

1. 情報セキュリティの3つの柱（CIA）

情報セキュリティを守るとは、具体的に何をすることでしょうか？専門家の間では、次の3つの頭文字をとってCIAと呼ばれています。

(1) 機密性（Confidentiality）

許可された人だけが情報にアクセスできることです。
例：友達とのDM（ダイレクトメッセージ）が、他の人には見られないようになっている状態。

(2) 完全性（Integrity）

情報が書き換えられたり、壊されたりせず、正しい状態であることです。
例：銀行の残高が、勝手に増えたり減ったりせず正確に記録されている状態。

(3) 可用性（Availability）

必要な時にいつでも情報が使えることです。
例：地震やトラブルがあっても、ウェブサイトやアプリが止まらずに動いている状態。

【ポイント！】
これまでは「隠すこと（機密性）」ばかりが注目されがちでしたが、現代では「いつでも使えること（可用性）」も同じくらい重要視されています。

★豆知識：
最近ではこれに加えて、真正性（本人のものか）、責任追跡性（誰がやったか追えるか）、否認防止（やってないと言わせない）、信頼性の4つを加えた「7要素」と言われることもあります！

【ここまでのまとめ】
セキュリティは「隠す・正しさを保つ・いつでも使える」の3拍子が揃って初めて完成します。

2. 暗号技術：情報の「カギ」を理解しよう

情報を守る最強の武器が「暗号」です。ここでは「共通鍵暗号方式」と「公開鍵暗号方式」の違いをスッキリ整理しましょう。

(1) 共通鍵暗号方式

暗号化するカギと、元に戻す（復号）カギが同じ方式です。
・メリット： 処理スピードが非常に速い。
・デメリット： 相手にカギを渡すときに盗まれるリスクがある（カギ配送問題）。
例：家にある「南京錠」のようなもの。同じカギで開け閉めします。

(2) 公開鍵暗号方式

「公開鍵（みんなに配るカギ）」と「秘密鍵（自分だけが持つカギ）」のペアを使う方式です。
・仕組み： 公開鍵でロックしたものは、ペアの秘密鍵でしか開けられません。
・メリット： カギを渡すリスクがない。
・デメリット： 計算が複雑で、処理に時間がかかる。
例：郵便ポスト。誰でも手紙を入れられる（公開鍵でロック）けれど、中身を取り出せるのは管理人の自分だけ（秘密鍵）。

(3) ハイブリッド暗号方式

現代のインターネット（HTTPSなど）では、両方のいいとこ取りをしています。
1. 公開鍵暗号を使って、安全に「共通鍵」を相手に送る。
2. その後の実際のデータのやり取りは、速い共通鍵暗号で行う。
\( \text{安全性} + \text{スピード} = \text{最強のセキュリティ} \) というわけです！

【よくある間違い】
「公開鍵で暗号化して、公開鍵で復号する」というのは間違いです！必ずペアになる別のカギを使います。

【ここまでのまとめ】
カギを受け渡すときは公開鍵方式、大量のデータを送るときは共通鍵方式を使うのが現代のルールです。

3. デジタル署名と認証

ネットの世界では「なりすまし」や「改ざん（書き換え）」が怖いです。それを防ぐのがデジタル署名です。

デジタル署名の仕組み（ステップ解説）

1. 送信者がデータの要約（ハッシュ値）を作る。
2. その要約を、送信者の秘密鍵で暗号化する（これが署名になります！）。
3. 受信者は、送信者の公開鍵でそれを復元し、中身が正しいか確認する。
※「自分の秘密鍵でロックできるのは本人だけ」という性質を利用しています。

PKI（公開鍵基盤）

「この公開鍵は本当にAさんのもの？」という疑問を解決するために、第三者機関の認証局（CA）が「デジタル証明書」を発行して保証してくれます。

【ポイント！】
ブラウザのURLの横に「カギのマーク」がついているのは、この仕組みを使って「このサイトは本物ですよ」と証明されているからです。

4. ネットワークセキュリティと攻撃への対策

システムを守るための具体的な「壁」について学びましょう。

(1) ファイアウォール

ネットワークの境界に立ち、怪しいパケット（データの塊）が通過するのを防ぐ「防火壁」です。許可された通信だけを通します。

(2) IDSとIPS

・IDS（侵入検知システム）： 怪しい動きを見つけたら管理者に知らせる「監視カメラ」のような役割。
・IPS（侵入防止システム）： 見つけるだけでなく、その攻撃を自動で遮断する「警備員」のような役割。

(3) VPN（Virtual Private Network）

公衆のインターネットの中に、自分たち専用の「仮想的なトンネル」を作る技術です。外からは中身が見えないため、安全にやり取りできます。

★豆知識：
最近では「境界を守るだけでは不十分」という考えから、たとえ社内からの通信であっても全て疑って確認するゼロトラストという考え方が主流になっています！

5. リスクマネジメント：100%安全はありえない？

残念ながら、セキュリティに「絶対100%安全」はありません。だからこそ「リスク」をどう管理するかが重要です。

リスクへの4つの対応

1. 低減： ウイルス対策ソフトを入れるなど、被害の確率を下げる。
2. 回避： 危険なサービスは使わない。個人情報を持たない。
3. 移転（転嫁）： 保険に入ったり、専門業者に委託したりしてリスクを他へ移す。
4. 保有（受容）： 対策費用が高すぎる場合、小さなリスクなら受け入れる。

【ここまでのまとめ】
全てを完璧に防ぐのは無理。だからこそ、「何が一番大事か」を考えて、賢く対策を使い分けるのがプロのやり方です。

最後に：これからの学習に向けて

最初は用語が多くて大変に感じるかもしれませんが、暗号のカギのやり取りや、リスクの考え方は、パズルのようで面白い分野です。
まずは「機密性・完全性・可用性」という3つの言葉を覚えるところから始めてみてください。それが、あなたのデジタルリテラシーを一段階引き上げる第一歩になります！
応援しています！