公開ネットワークへの依存度が高まり、個人情報、金融情報その他の機密情報の開示を防ぐために、情報セキュリティが長年にわたって進歩してきました。Mitnick^[1]や Vladimir Levin^[2]事件などの数多くの事例が起こる度に、あらゆる業界の企業は、情報の送信と開示などの取扱い方法の見直しを迫られてきました。さらにインターネットの普及は、データセキュリティにおける一層の努力を喚起する最も重要な進化の 1 つとなりました。

個人のコンピューターからインターネット上のリソースにアクセスする人の数は増え続けています。リサーチや情報収集から電子メールや電子商取引に至るまで、インターネットは 20 世紀の最も重要な進歩の 1 つと見なされています。

しかし、インターネットとその初期のプロトコルは、信頼ベースのシステムとして開発されました。つまり、インターネットプロトコルはそれ自体がセキュリティ保護されるものとしては設計されませんでした。TCP/IP 通信スタックには承認されたセキュリティ標準が組み込まれておらず、ネットワーク全体で潜在的に悪意のあるユーザーやプロセスに対して無防備な状態になっています。最近の開発によりインターネット通信の安全性は高まっていますが、依然として全国で注目されるような事件も起こっており、完全に安全なものはないという警告になっています。

2000 年 2 月には、分散サービス妨害 (DDoS: Distributed Denial of Service) 攻撃が、インターネット上のトラフィックの最も多いサイトのいくつかに仕掛けられました。攻撃者は ping flood とも呼ばれる大型の ICMP パケットを送信してルーターを数時間使用不可能にし、yahoo.com、cnn.com、amazon.com、fbi.gov および他のいくつかのサイトを通常のユーザーから完全にアクセス不能にしました。この攻撃は、不明の攻撃者が特別な目的で作成された広く出回っているプログラムを使ってなされました。これらのプログラムは、脆弱なネットワークサーバーをスキャンし、サーバーに トロイの木馬と呼ばれるクライアントアプリケーションをインストールし、それに感染したサーバーが犠牲サイトを溢れさせ、かつそれらを利用不可能して攻撃のタイミングを設定します。使用されるルーターやプロトコルがパケットの目的や送信先にかかわらず、すべての受信データを受け取ってしまう構造になっている点に根本的な弱点があると、多くの人が非難しました。will possibly be removed

2007 年には、Wired Equivalent Privacy (WEP) 無線暗号化プロトコルの広く知られた脆弱性を悪用するデータ侵害により、世界中の金融機関から 4500 万件を超えるクレジットカード番号が盗まれました。

残念なことに、システムとネットワークのセキュリティ問題は複雑化する可能性があるため、組織の情報に対する捉え方や、使用法、処理方法、および送信方法などの複雑な要素を十分に把握しておくことが求められます。組織 (および組織を構成する人々) がビジネスを行う方法を理解することは、適切なセキュリティ計画を実施する上で非常に重要になります。

すべての業界の企業は、米国医師会 (AMA: American Medical Association) や米国電気電子学会 (IEEE: Institute of Electrical and Electronics Engineers) などの標準化推進団体によって作成される規制やルールに従っています。情報セキュリティにも同じことが言えます。多くのセキュリティコンサルタントやベンダーは機密性 (Confidentiality)、保全性 (Integrity)、可用性 (Availability) の頭文字をとった CIA として知られる標準セキュリティモデルを採用しています。この 3 階層モデルは、機密情報のリスク評価やセキュリティ方針の確立において一般的に採用されているモデルです。以下でこの CIA モデルについて説明します。

物理的コントロールは、機密資料への認証されていないアクセスの抑止または防止のために、明確な構造でセキュリティ対策を実施することです。物理的コントロールの例は以下の通りです。

技術的コントロールでは、物理的な構造物やネットワークにおける機密データのアクセスや使用を制御するための基盤となる技術を使用します。技術的コントロールは広い範囲に及び、以下のような技術も含まれます。

管理的コントロールは、セキュリティの人的要素を定義します。これらは組織内のあらゆるレベルの人員に関連するもので、次のような手段によって、誰がどのリソースや情報にアクセスするかを決定します。