◆◆◆◆◆◆ 情報セキュリティの基本 ◆◆◆◆◆◆
情報セキュリティと聞くと、たいていの人は、「暗号化する」「セキュリティ危機を設置する」など技術的な対策が思い浮かびと思います。
実は、情報セキュリティには経営寄りの考え方が不可欠になっているのです。
情報セキュリティの目的と考え方
JIS Q 27001:2023(ISO/IEC 27001:2022)では、情報セキュリティを確保するためのシステムである情報セキュリティマネジメントシステム(ISMS)について次のように説明しています。
ISMSの採用は、組織の戦略的決定である。組織のISMSの確立及び実施は、その組織のニーズ及び目的、セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模及び構造によって影響を受ける。
影響をもたらすこれらの要因すべては、時間とともに変化することが見込まれる。
つまり、情報セキュリティの考え方とは、
「組織の戦略によって決定され、組織の状況によって変わる」ということです。
情報セキュリティの定義
情報セキュリティについては、JIS Q 27000:2019(ISO/IEC 27000:2018)に、
情報の機密性、完全性及び可用性を維持することと定義されています。
これらの要素の正確な定義は次の通りです。
※ここでいう「エンティティ」とは、情報を使用する組織や人、情報を扱う設備、ソフトウェア、物理的媒体などを意味しています。
-
- ① 機密性(Confidentiality)
認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また、開示しない特性
機密性を維持するとは、許可した人以外には情報を見られないようにすること。
例:暗号化や施錠など、情報を見られないように隠すことなどが対策として有効。
-
- ② 完全性(Integrity:インテグリティ)
正確さ及び完全さの特性
完全性を維持するとは、情報を書き換えられないようにすること。
例:Webページが改ざんされないように、サーバへのアクセスを制限する、
タイムスタンプを使用するなどが対策として有効。
-
- ③ 可用性(Availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
可用性を維持するとは、情報をいつでも見られるようにすること。
例:サーバが故障してデータが見られなくなることがないように、
サーバを二重化するなどが対策として有効。
この3つの頭文字をとって【CIA】とも呼ばれます
さらに、次の4つの特性も情報セキュリティの要素を含めることがあります。
-
- ④ 真正性(Authenticity)
エンティティは、それが主張するとおりのものであるという特性
-
- ⑤ 責任追跡性(Accountability)
あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性(JIS X 5004)
-
- ⑥ 否認防止(Non-Repudiation)
主張された事象又は処置の発生、及びそれらを引き起こしたエンティティを証明する能力
-
- ⑦ 信頼性(Reliability)
意図する行動と結果とが一貫しているという特性
企業活動の目的は、事業を継続して利益を出すことです。
そのため、流出すると損失を出すおそれがあるものを保護し、利益を確保して事業を継続させるために、情報セキュリティを確保します。
単に、情報を見られないこと(機密性)を考えるだけでなく、完全性や可用性も見落とさないようにしようというのが、情報セキュリティの3要素(CIA)の考え方です。
ここで問題です。
情報セキュリティにおける機密性、完全性および可用性と、1~3のインシデントによって損なわれたものとの組合せとして、ア~エの中で適切なものはどれか。
1,DDos攻撃によって、Webサイトがダウンした。
2,キーボードの打ち間違いによって、不正確なデータが入力された。
3,PCがマルウェアに感染したことによって、個人情報が漏えいした。
| 1 | 2 | 3 | |
| ア | 可用性 | 完全性 | 機密性 |
| イ | 可用性 | 機密性 | 完全性 |
| ウ | 安全性 | 可用性 | 機密性 |
| エ | 完全性 | 機密性 | 可用性 |