セキュリティの原則とは?
改めて、「セキュリティの原則」とは何だろう?と考えた。
セキュリティとは、C(Confidentiality:機密性)・I(Integrity:完全性)・A(Availability:可用性)の維持、と簡単に説明する事が多い。これは、ISO/IEC 27000に記載されている。
CEHのテキストでは、CIAに加えて、Authenticity:真正性、non-repudiation:否認防止を情報セキュリティの要素(Element of Information Security)として、テキストの最初の方に記載があった。
それ以外に、Accountability:責任追及性、Reliability:信頼性、を追加して、7要素としている情報も見受けられる。
それらの要素を維持するための原則がいろいろ存在するようです。
以下のブログで、基本原則が7つ紹介されています。
- Defense In Depth(多層防御)
- Least Privilege(最小権限の原則)
- System Hardening(システムの堅牢化)
- CIA Triangle Triad(セキュリティの3原則)
- Separation of Duties(職務分掌)
- AAAs of Security(認証・認可・監査)
- Patch Vulnerable Systems and Software(パッチ・マネジメント)
前述の7要素に対する原則かと思いきや、CIAが含まれていたりして、少し混乱。
OWASP SAMMの中にセキュリティ原則(security principles)に関する記述があった。
セキュリティ原則のリストを作りましょう、それには以下などが含まれる。
- defense in depth
- securing the weakest link
- use of secure defaults
- simplicity in design of security functionality
- secure failure
- balance of security and usability
- running with least privilege
- avoidance of security by obscurity
etc.
多層防御/最小権限の原則は、前述の7原則と重複している。
最後が、etc.になって、それ以外にも存在する、ということか。
SAMMに関しては、ソフトウェア開発における原則、という側面が強い。
こちらでも、アプリケーションのセキュリティに関して7つの原則を挙げている。
- Least Privilege
- Separation of Duties
- Defense in Depth
- Failing Securely
- Open Design
- Avoiding Security by Obscurity
- Minimizing Attack Surface Area
前述のブログやSAMM、どちらともかぶっている。
「security principles」で検索していると、CISSPのテキストが出てきたりして、似たような、それでいてまた別のことを言っていたりする。
www.pearsonitcertification.com
まとめ
セキュリティの原則、に明確な回答はなく、セキュリテイの7つの要素を守るための考え方・行動を端的にまとめたものが該当するのか、と思いました。
- Confidentiality:機密性
- Integrity:完全性
- Availability:可用性
- Authenticity:真正性
- non-repudiation:否認防止
- Accountability:責任追及性
- Reliability:信頼性
広く情報を集めて、守るべきシステム・資産に応じて組み合わせていくのがよいのでしょうか。