プログラムのバグが原因で情報漏えいが起きたりすると、とんでもないことになります。
情報セキュリティという言葉を聞いたことがあるでしょうか。
プログラミングのスキルを磨いてシステム構築できるようになることもとても大切なことですが、今の世の中、情報セキュリティのことを理解していないと発注先の担当者と話がかみ合わないことがあります。
会社では当たり前となっている情報セキュリティのことをよく知っておきたい。
そんな方に向けた記事です。

本記事の内容
・なぜ情報セキュリティの意識が必要なのか?
・情報セキュリティは経営課題
・どうしたらよいの?
■なぜ情報セキュリティの意識が必要なのか?
時々、個人情報の漏えいがニュースになります。
あなたが作ったプログラムが原因で個人情報の漏えいが起きたらどうでしょう?
そんなこと関係ないよ、と言えるでしょうか。
少なくとも良心の呵責にさいなまされるでしょう。
会社に勤めている方は、おそらく会社内で耳にタコができるくらい、情報漏えい防止のことを聞かされていると思いますので、常識ですよね。
情報セキュリティの中でもシステムに関するセキュリティのことを知って理解しておくことはフリーランスのプログラマーにとっても必須の知識です。
よく理解しておきましょう。
情報セキュリティの定義は「情報の機密性、完全性、可用性を維持すること」です。
機密性、完全性、可用性と言われてもピンとこないですよね。普段使う言葉ではありませんから、わからなくても当然です。
・機密性(Confidentiality)
情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
・完全性(Integrity)
情報が、破壊、改ざん又は消去されていない状態を確保すること
・可用性(Availability)
情報へのアクセスを認められた者が、必要時に中断することなく、情報及び資産にアクセスできる状態を確保すること
この3つの頭文字を取って、情報システムのセキュリティのことをCIAと呼ぶことがあります。
覚えておきましょう。アメリカのCIAとは関係ありませんよ。
これだけだとまだよくわからないですよね。
もう少し具体的にしてみましょう。
あなたがインターネット上で便利そうなサービスを見つけました。
無料の会員登録が必要なので、氏名・住所・電話番号・メールアドレスなどを入力し登録しました。
するとユーザIDとパスワードがメールで送られてきました。
翌日、あなたはそのユーザIDとパスワードでログインしました。
これが機密性の確保です。
あなたのユーザIDとパスワードが他人も使えるようになっていたら嫌ですよね。
知らない誰かがあなたのユーザIDとパスワードで自由にログインしてサービスを利用していたら、そんなサービスを提供している会社のことは信用できなくなってしまうはずです。
また、サービスにログインした時に、あなたの住所や電話番号がまったく関係ない他人の情報に変わっていたらどうでしょうか。
これも嫌ですよね。
あなたが登録した住所や電話番号がちゃんと登録されていること、これが完全性です。
誰かに改ざんされたり、消去されていたら、安心してサービスを利用することはできません。
そして数日後、あなたがそのサービスを利用しようとして、ログインをしてみたらログインすることができません。
当然、サービスを利用することもできません。
こんなことが起きたらどうですか。
嫌ですよね。
使いたい時に使えないサービスなら、意味がないと思いますよね。
このサービスを使いたい時に、ちゃんと使えるようにしておくことが可用性です。
意味は理解できましたね。
■情報セキュリティは経営課題
今の世の中、個人情報の漏えいに対して、非常に厳しくなっています。
個人情報の漏えいはその会社の信用を揺るがす大問題なのです。
ひとたび個人情報の漏えいが発覚すると、会社に多大な損害を与えるとともに、下手をすると社長の首が飛ぶ可能性も十分にあります。
そうしたこともあり、情報セキュリティは経営問題になっているのです。
個人情報をはじめ、機密情報の漏えいにはとても敏感な空気が流れており、極端に言えばお金はかかってもよいから情報セキュリティを強化しろ!というのが経営者の意向です。
フリーのプログラマーといっても、そうしたことを理解しておかないといけません。
■どうしたらよいのか?
情報セキュリティのことを理解して、発注先に対応をするとか、アドバイスを送ると、とても喜ばれると思います。
情報セキュリティのことを意識して発注している方はあまり多くないと思いますので、情報漏えいのリスクがないかどうか確認して、対策を提案すると受注につながる可能性が高いです。
特に、情報セキュリティの中でもインターネット関連のサイバーセキュリティに関することを提案できるととても良いと思います。
アドバイスは以下の点を意識してください。
・ネットワーク上の情報漏えい → SSLなどの暗号化を行っているか
・ウイルス感染 → ウイルス対策ソフトを導入しているか
・データベースやファイルのバックアップ → 定期的に取って保存しているかどうか
・FireWall → 必要ないポートは閉じてあるか
・WAF(Web Application Firewall) → 導入しているか
・不正侵入検知/不正侵入防止 → 導入しているか
発注先のビジネスに対して、リスクが顕在化することを未然に防ぐ方法を伝えてあげることは、顧客のことを心配してよく考えているいるという印象を与えることができるでしょう。
実際、会社で働いている身としては、そういった適切な提案やアドバイスを受けると信頼性が高まり、お願いしたいという気持ちになります。
ぜひ、プラスアルファの提案やアドバイスを心がけてください。
イラスト図解式 この一冊で全部わかるセキュリティの基本